Privacy anno 2016

Privacy anno 2016

DearBytesBlogPrivacy anno 2016

Velen van ons vinden na een fijne vakantie weer de weg naar kantoor en geleidelijk aan gaat het gesprek over alle aankomende plannen. Echter ook in de zomer is er veel aandacht geweest voor nieuwe ontwikkelingen, zoals de langverwachte Algemene Verordening Gegevensverwerking (AVG), die op 24 mei 2016 van kracht is gegaan.

Ook wij als DearBytes hebben het onderwerp Privacy tijdens de warme dagen niet losgelaten. Zo zijn wij aanwezig (en betrokken) geweest bij het Nationaal Privacy Event 2016 en het congres Architectuur in de Zorg. Hierbij een korte terugblik op de genoemde events.

Nationaal Privacy Event 2016 op donderdag 16 juni- Duthler Associates

Duthler Associates organiseerde voor de tweede maal het Nationaal Privacy Event 2016 met een programma waarin de juridische kant nader belicht werd. Maar ook werden uitstapjes gedaan naar o.a. de visie vanuit auditors, accountants en security organisaties.

slot_privacyWij vonden dit een mooie kans om deelnemers kennis te laten maken met onze invalshoek. Namelijk een pragmatische aanpak om aan de informatiebeveiligingseisen te voldoen, die vanuit de WBP en AVG scherp gesteld worden. Een ‘WBP proof model’, waarin een baseline van vereisten geconcretiseerd is, en tevens de vertaalslag is gemaakt naar mogelijke invulling in de praktijk.

Samen met onze CEO Erik Remmelzwaal en collega Klaas Sytze de Jong (Sr. Accountmanager) was ik aanwezig in het Louwman Museum te Den Haag, waar dit event gehouden werd.

Dr. Anne-Wil Duthler noemde in haar openingsspeech de AVG de meest invloedrijke Europese wetgeving van de afgelopen tijd.

Daarna kreeg Palo Alto Networks in de grote zaal van het museum de gelegenheid om hun aanpak m.b.t. de privacy wetgeving te delen met het publiek. Palo Alto benoemde de sterke invloed van de verordening op de eigen bedrijfsvoering en proposities. De Europese verordening is bijvoorbeeld de aanleiding voor hen geweest om een EU cloud-omgeving in te richten voor hun producten en diensten. Dit om hun klanten de zekerheid te geven dat klantdata binnen de grenzen van de EU blijft, zodat de beveiligingseisen aan de Europese standaarden zal moeten blijven voldoen.

Vervolgens kwam een andere cyber security specialist aan bod, de organisatie ON2IT. Er werd ingegaan op de samenhang tussen privacy en security. In de vorm van een raamwerk werd getoond op welke manier de privacy wetten en regels als bron van input functioneerden voor de informatiebeveiligingsvereisten bij organisaties.

Als DearBytes herkennen we veel van onszelf terug in de aanpak van collega security specialisten. De impact van de privacy wetgeving is niet te negeren voor de security wereld, sterker nog, de kwaliteit van informatiebeveiliging kan zelfs worden bepaald door bijv. het aantal meldingen van datalekken. Ook wij hanteren de vereisten vanuit de privacy verordening als een bron van input voor implementatie van security in organisaties. Dit om ervoor te zorgen dat klanten in de pas blijven lopen met hun beveiliging van persoonsgegevens aan de privacy wetgeving, en dit ook aantoonbaar kunnen maken naar de buitenwereld. Immers, de twee voornaamste kritische succesfactoren hierin blijven een heldere onderbouwing en aantoonbaarheid. Daarnaast blijft DearBytes trouw aan zijn no-nonsense aanpak, en staat ook hierin pragmatiek voorop.

Congres Architectuur in de zorg op 23 juni –o.a. IHE the Netherlands

Op 23 juni vond het congres Architectuur in de zorg plaats in het NBC pand te Nieuwegein. Dit congres werd gezamenlijk georganiseerd door verschillende organisaties, waaronder Nictiz en IHE the Netherlands. Tijdens deze 6e editie van het congres werd er voor zorgprofessionals, informatie- managers en architecten een divers programma samengesteld, waarin actuele thema’s specifiek voor de zorgsector werden uiteengezet.

Samen met collega Roy van Beek (Business Development manager) hebben wij hier tweemaal een breakout sessie mogen verzorgen met de naam: Meldplicht Datalekken, Ervaringen uit de praktijk.

Naar aanloop van het congres hebben we een voorstel ingediend bij de Programmacommissie over onze insteek. Uiteindelijk is onze uitleg van aanpak in combinatie met ervaringen van een implementatietraject bij een zorginstelling, namelijk GGZ Oost Brabant, uitgekozen als een van topics voor dit event. Na de feedback en verschillende reacties, kunnen we vaststellen dat dit een goede keuze is geweest.

In onze sessie zijn we ingegaan over hoe te beginnen met het leren kennen, analyseren van de wet en vervolgens te herleiden naar concrete acties (wat moet je doen?) voor de organisatie. Wij gebruiken een privacy raamwerk om dit voor onze klanten in kaart te brengen:

privacy_waarmwerk

Het begint vooral bij inzicht in de eigen organisatie, waarbij vragen beantwoord worden als, welke impact heeft dit voor jouw organisatie? En wat is er reeds ingericht?

Vervolgens hebben we gedeeld wat onze ervaringen zijn na een aantal trajecten. We zien van veel van de privacy vereisten, dat deze deels reeds bestaan in organisaties. En dat er slechts met enige finetuning al een en ander te bereiken is.

Ook hieruit komt naar voren dat het vooral gaat om het leren (her)kennen van samenhang en integratie van de nieuwe vereisten met de bestaande processen binnen de organisatie.

Hiernaast zien we dat een aantal maatregelen organisaties dwingt om opnieuw kritisch naar zichzelf te kijken. Dit gaat vaak niet over een security maatregel zelf maar zit ‘em in de voorkant of achterkant van de keten.

Voorbeelden hiervan zijn:

  • het ontbreken van privacy beleidskaders;
  • analyses op privacy risico’s (bij grote veranderingen of nieuwe processen;
  • actieve monitoring op logging waardoor al in een voorstadium digitale aanvallen bestreden kunnen worden.

Mocht een digitale aanval zich toch hebben voorgedaan (en is er wellicht sprake van een datalek), dan speelt effectief incidentmanagement een zeer belangrijke rol. Ook hier kan vaak nog veel winst behaald worden.

Wet-datalekken

@LoKoCartoons/Congres Architectuur in de Zorg 2016

GGZ Oost Brabant is een mooi voorbeeld van een zorgorganisatie, die met beide handen quickwins uit de privacy regels heeft doorgevoerd in reeds bestaande processen. Hierbij kun je denken aan hoe datalekken geïdentificeerd worden, het benoemen van een persoon, die de datalekken meldt bij het AP en hoe de communicatie naar de interne organisatie eruit ziet.

We merkten op dat in de wereld van zorg (ziekenhuizen en andere grote zorginstanties) nog weinig aandacht is voor dit onderwerp. Zo worden er bijna tot geen risicoanalyses op security en privacy vlak uitgevoerd op reguliere basis. Ook bestaan er nog weinig initiatieven in de organisaties, om van inzicht in privacy regelgeving in de zorgsector tot implementatie over te gaan. Denk bijvoorbeeld aan werkgroepen, taskforces, projecten e.d. De aanwezige deelnemers hadden vooral als doel om deze informatie op te nemen, en gaven zelf ook terug dat deze thema’s intern nog in de kinderschoenen stonden. De zorgsector blijft hierbij een hele specifieke branche met geheel eigen systemen en applicaties. Hier is vooral succes te behalen door het integreren van privacy en security vereisten in de bestaande processen en systemen. GGZ Oost Brabant toonde hier een sprekend voorbeeld van, door hun bestaande incidentmanagement proces en werkwijze voor valincidenten e.d. uit te breiden met het meldplichtproces.

Wil je meer weten over de DearBytes aanpak m.b.t. privacy en security? Neem dan contact met ons op!