Privacy

Workshop SLA in de Cloud | 6 april 2011

| 24-03-2011

Op 6 april aanstaande organiseert Heliview samen met Mitopics de workshop SLA in de Cloud. Tijdens de uiterst succesvolle “uitverkochte” eerste editie van Cloud Forum in november 2010 (400 bezoekers) was er veel belangstelling voor het regelen van afspraken met de leverancier, aanbieders van clouddiensten, onder andere tijdens de Mitopics workshop ‘Van de regen in de drup‘.

Professionalisering van privacy in organisaties

| 22-11-2010

Nu steeds meer organisaties zich bewust worden van privacyvraagstukken rijst voor velen van hen de vraag wat privacywetgeving voor hun organisatie betekent. Vanuit verschillende hoeken zijn wij benaderd voor een visie. Hiertoe hebben wij een model ontwikkeld om inzicht te geven in deze vraagstukken.
 
Privacyregelgeving is vanwege de vele en snelle technische ontwikkelingen techniekonafhankelijk geformuleerd. Dit heeft voor veel organisaties die serieus bezig zijn met privacy tot gevolg dat zij zich geconfronteerd zien met veel ‘open’ normen die vaak lastig te doorgronden zijn. Wanneer in wetgeving open normen worden gebruikt is het vaak complex om vast te stellen of een organisatie voldoet aan deze wet- en regelgeving.

Privacyvraagstukken zijn voor organisaties veel meer dan een louter juridisch vraagstuk. Zij raken ook de werkprocessen, de externe relaties, beheersing en de cultuur. Zo kan de technische beveiliging zowel in theorie als in de praktijk optimaal zijn, maar wanneer iemand zijn wachtwoord op een memobriefje aan zijn beeldscherm hangt of collega’s hun wachtwoorden uitwisselen, voldoet men de facto niet aan de beveiligingseisen en zijn daarom privacyproblemen te verwachten. Vanwege de complexiteit van een dergelijk vraagstuk is een multidisciplinaire benadering wenselijk. Te meer omdat het zowel in theorie als in de praktijk neer komt op een combinatie van aspecten op gebied van regelgeving, techniek, management van en cultuur binnen de organisatie. Aspecten van verandermanagement voor het aanpassen van de organisatie op de privacyregelgeving vervullen daarin een rol van belang. In de praktijk betekent die aanpassing immers veelal dat organisaties hun werkwijzen in het kader van privacy verder moeten professionaliseren.
 
Onlangs publiceerde ik samen met enkele collega’s hierover een artikel in het tijdschrift Privacy en Informatie (P&I oktober 2010) waarin wij nader ingaan op deze problematiek. Allereerst gaan wij in op de vraag wat privacy(-wetgeving) voor een organisatie betekent en welke vragen daarbij een rol spelen. Daarna presenteren we een volwassenheidsmodel op basis waarvan organisaties op zoek kunnen gaan naar antwoorden op professionaliseringsvragen als: waar sta ik, waar wil ik naar toe en hoe kom ik daar? Het model wordt vervolgens ter verduidelijking toegepast op een casus. Op ons weblog kunt u meer artikelen verwachten over dit thema.
 

Risico’s bij gebruik van P3P Privacy Policies in Nederland

| 17-11-2010

Een klant vroeg mij: “Onze applicatie maakt gebruik van P3P Privacy Policy en we willen een algemene policy van P3P hanteren. Zijn er nog risico’s of andere aandachtspunten verbonden aan het gebruik van P3P Privacy Policies in Nederland?”

NEN 7510, wie niet volgt is gezien? De hantering van de norm in de zorgsector

| 17-11-2010

De beveiliging van persoonsgegevens in de zorgsector is een gevoelig punt en vraagt om specifieke benadering van de vereisten tot beveiliging. De complexiteit van informatiebeveiliging in de zorgsector door het grote aantal partijen en disciplines en netwerken van zorginstellingen is groot. Al die activiteiten van belanghebbenden bij het verzamelen, opslaan, verwerken en transporteren, betreffen vaak bijzonder gevoelige gegevens die vragen om een adequate beveiliging. De NEN 7510  norm voor de zorg geeft een aantal organisatorische en fysieke beveiligingseisen die hier behulpzaam kunnen zijn. De vraag is hoe dwingend de in de norm vastgelegde eisen zijn.

Cloud computing: David en Goliath

| 06-09-2010

Sommige cloud computing-leveranciers behandelen, als waren zij een moderne Goliath, hun wederpartij als dwergen. Betekent dit dat een kleine ‘David’ elk contractsvoorstel dat zo een Goliath hem voorlegt, moet accepteren? In dit artikel wordt een recent cloudcontract bekeken waarbij twee ‘reuzen’ een overeenkomst hebben gesloten die onderhandelingsmogelijkheden toont die David misschien nog niet had gezien (of had mogen zien). Deze mogelijkheden zouden David nieuwe inzichten kunnen geven voor als hij zich in de cloud waagt, of hij nu een contract sluit met Goliath of met zijn vriendelijke cloudleverancier verderop in de straat.

Cloud Computing in trouble door privacy?

| 01-07-2010

Op de halfjaarlijkse ledenvergadering van Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR) werd het thema Cloud Computing besproken. Een aantal sprekers bogen zich over de verschillende technische, ethische en juridische aspecten rondom dit onderwerp. Ik heb er een tal van lessen uit getrokken en die wil ik graag met jullie delen.

ICT in de zorg en het beroepsgeheim bijten elkaar

| 24-06-2010

Bij Saas (Software as a Service) gaat het om het op afstand ter beschikking stellen van bepaalde functionaliteit. In de laatste nieuwsbrief van het Cbp vraagt het Cbp zich af of de privacy bij het gebruik van SaaS in de zorg voldoende gewaarborgd is.

Artikel 7:457 BW gaat over het beroepsgeheim van de arts. Hierin is bepaald dat de arts geen inlichtingen mag geven over een patiënt aan een ander. Hier zijn een aantal uitzonderingen op namelijk: degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst, als de patiënt daar toestemming voor heeft gegeven of als iemand belast is met het feitelijke beheer van het patiëntdossier. Het Cbp wil deze onduidelijkheid oplossen door nieuwe regels op te leggen aan de zorgsector.

SaaS kan het op afstand ter beschikking stellen van patiëntengegevens inhouden. Hierbij kan het voorkomen dat de SaaS-leverancier in de gegevens kijkt van de patiënt. Het is maar de vraag in hoeverre dit valt onder het belast zijn met het feitelijke beheer van het patiëntdossier.  Bij SaaS gaat het niet uitsluitend om de beveiliging van persoonsgegevens, maar ook over het te allen tijden ter beschikking stellen van de persoonsgegevens aan de arts en het beroepsgeheim van de arts.

Het Cbp is van mening dat de onduidelijkheid rondom het beroepsgeheim en het gebruik van SaaS opgelost moet worden door nieuwe regelgeving of zelfregulering. De veilige en discrete verwerking van de persoonsgegevens door de SaaS-leverancier kan door middel van waarborgen in het contract worden opgelost. Anders dan het Cbp ben ik van mening dat nog verdere juridisering van de zorg niet de oplossing is. Daarnaast moeten artsen niet onnodig bang gemaakt worden voor het gebruik van ICT-diensten als SaaS. Deze diensten kunnen leiden tot het efficiënter werken van de huisarts en tot kostenbesparingen. De beveiliging van de gegevens en het te alle tijden kunnen inzien van de gegevens evenals de geheimhouding kan door middel van een aantal artikelen in de overeenkomst worden opgelost, waaronder de garantie dat de SaaS-leverancier NEN 7510/7511 of 7512 gecertificeerd blijft.

Mocht u meer willen weten over het goed waarborgen van privacy in de zorg met betrekking tot SaaS neem dan contact op met Carolien Jobse.

Gone Google: computing in the cloud. Een kwestie van vertrouwen?

| 18-03-2010

Recent woonde ik een gecombineerde netwerkbijeenkomst van Software~VOC en SaaS~Cloud Netwerk met het thema “ICT 2010 – 2020 en de visie hierop van Microsoft, Google en Gartner” bij waar vele ICT-professionals aanwezig waren die zich wilden laten voorlichten over de betekenis van SaaS, PaaS en Cloud computing voor hun (toekomstige) bedrijfsvoering.

Ik bespreek graag een aantal interessante zaken met u.

Wie wat bewaart geeft wat?

| 18-03-2010

Niet weggooien of bewaren van spullen zorgt vaak voor verrassingen. Heb ik dat nog? Wie wat bewaart heeft wat, maar wat als gevoelige gegevens in het geheugen van een apparaat worden bewaard en voor iedereen leesbaar zijn? Altijd al stukken van uw concurrenten willen bekijken?

Bent u al klaar voor het EPD?

| 05-02-2010

Patiëntgegevens: veilig opgeslagen en toch beschikbaar?

Het elektronisch patiënten dossier (EPD) is in veel ziekenhuizen in meer of mindere mate doorgevoerd. Maar hoe zorg je er als instelling voor dat de gegevens van patiënten veilig zijn? 

De invoering van het EPD brengt risico’s voor de privacy van patiënten met zich mee die enerzijds inherent zijn aan het maken van een dossier en anderzijds te maken hebben met de mogelijkheden die de digitalisering van het dossier biedt. Daarbij is vooral de schaal waarop inbreuk kan worden gemaakt op de privacy van patiënten vergroot.

Eén van de risico’s van een patiëntendossier is dat er verkeerde gegevens in terecht kunnen komen, al dan niet met opzet, waardoor een verkeerde diagnose gesteld kan worden. Het dossier kan bijvoorbeeld vermelden dat peniciline voorgeschreven kan worden, terwijl de patiënt hier allergisch voor is.  

Een ander risico dat met name samenhangt met de digitalisering van patiëntgegevens, is ongeautoriseerde toegang. Bijvoorbeeld door een beveiligingslek waardoor iedereen via internet in het dossier kan kijken. De gevolgen kunnen uiteenlopen van de op zich onschuldige openbaring van NAW-gegevens tot het bekend worden van een compromitterende aandoening wat weer gevolgen kan hebben op bijvoorbeeld carrière of verzekering. 

Op basis van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) moet een zorginstelling ervoor zorgen dat gevoelige medische gegevens goed beveiligd zijn. Hiervoor dient de instelling technische en organisatorische maatregelen te nemen. 

In een onlangs gepubliceerd artikel “Patiëntgegevens: veilig opgeslagen en toch beschikbaar?” in het blad ICT in de Zorg leggen de auteurs uit hoe u maatregelen kunt nemen om de risico’s te verkleinen en hoe u om kunt gaan met de Wbp.

Privacy, risico’s en niveau van compliance

| 22-09-2009

Vele organisaties zijn de afgelopen tijd geconfronteerd met de huidige en toekomstige regelgeving op het gebied van Privacy. Bij privacybeleid gaat het o.a. om risico’s die voortvloeien uit het gebruik van techniek, informatievoorziening, werkprocessen en / of een combinatie van deze drie. Een goed privacybeleid onderkent de relevante risico’s en is in staat deze te ondervangen of te voorkomen.

Een goed privacybeleid is mooi, maar kost ook veel ontwikkeltijd. De eerste vraag is, waar staat mijn organisatie als het gaat om het onderkennen en invoeren van de privacy wet- en regelgeving. Daarna volgt vanzelfsprekend de vraag: welke activiteiten kan ik het beste en in welke volgorde uitvoeren? Om een handreiking te bieden hebben wij hiervoor een overzicht ontwikkeld van vijf fasen.

Hiervoor hebben wij een model ontwikkel d  waarin per fase en per aandachtsgebied aangegeven wordt welke handelingen een organisatie dient uit te voeren in de ontwikkeling van een privacybeleid. Wij hebben vier aandachtsgebieden onderscheiden, te weten:

  • Regelgeving en processen: De organisatie inventariseert aan de hand van  een risicoanalyse wat de gevolgen voor de werkprocessen zijn.
  • Externe relaties: De organisatie inventariseert welke aanpassingen in afspraken (o.a. contracten en SLA’s) met externe partijen gemaakt moeten worden en hoe zij dit gaan aanpakken.
  • Besturing & Beheersing: Aan de hand van de inventarisaties en risicoanalyse wordt gekeken in hoeverre de wijze van belonen en aansturen van de organisatie aangepast moet worden.
  • Cultuur: Medewerkers passen hun gedrag aan en voldoen aan de eisenvan de privacy wet- en regelgeving.

Wilt u weten hoe uw organisatie ervoor staat? Neem dan contact met me op.

Risicoanalyse en privacy in de zorg

| 25-06-2009

Als je niet weet waar risico’s worden gelopen, kun je ook geen serieuze informatiebeveiliging ontwikkelen” zo meldt een publicatie van het College Bescherming Persoonsgegevens . Zonder een goede risicoanalyse kan je ook geen goed privacybeleid voor  informatievoorziening ontwikkelen.Waar gaat het dan in deze risicoanalyses om. Het gaat niet alleen om de risico’s die voortvloeien uit de techniek zoals de mogelijkheid dat iemand op een PC inbreekt om achter credit card nummers te komen. Maar ook om risico’s op gebied van de applicatie / informatievoorziening zelf. Bijvoorbeeld of de portier van het ziekenhuis (onterecht) gevoelige medische gegevens in een verzekeringsapplicatie kan wijzigen. Een andere set van risico’s heeft te maken met de inrichting van de werkprocessen. Kan bijvoorbeeld iedere bezoeker van een ziekenhuis een operatiekamer, waar geopereerd wordt betreden? En om het wat lastiger te maken zijn er ook risico’s die een combinatie van genoemde drie types zijn.

Risicoanalyse beoogt dus de uitvoering van  de werkzaamheden zo te ondersteunen dat uitgaande van de vraagstelling (project, regelgeving als privacy) de situatie wordt onderzocht en vastgesteld of er mogelijke, potentiële en of reële bedreigingen / risico’s zijn. De relevante risico’s dienen tijdig onderkend, voorkomen dan wel ondervangen te worden. Dit laatste betekent ook dat je expliciet vaststelt of een risico via maatregelen wilt voorkomen. Bijvoorbeeld de gevolgen van het neerstorten van een vliegtuig op een kantoorgebouw zullen niet in alle situaties via maatregelen ondervangen worden. Dit klinkt allemaal prachtig maar ook als zeer veel werk. Hoe stel je zo’n analyse op? Is een dergelijke analyse goed onderhoudbaar? Hierop zijn vele antwoorden mogelijk.

Een praktische methode, die ik zelf gebruik is het gebruik van landkaarten. Bij deze methode begin je met het in kaart brengen van de verschillende mogelijke risico’s. Je maakt in wezen een soort landkaart en gaat daarna per risicovol gebied de risico’s verder definiëren. Op deze wijze weet je sneller waar de pijnpunten zitten en waar je wat aan moet doen wat ook erg prettig is voor anderen die er belang bij hebben zoals opdrachtgevers, directie en toezichthouders.

Regelt IT. Al > 20 jaar!

Stavorenweg 4
Postbus 514
2800 AM Gouda
T 0182 573 211
E info@mitopics.nl

RSS feed
Sitemap
Disclaimer
Cookies

Uitgelichte topics