ISD Informatiestandaarden Zorg en Ondersteuning
-
Het Zorginstituut Nederland bundelt op haar website iStandaarden de veelgestelde vragen over verschillende onderwerpen en modules.
U vindt daar antwoorden over onder meer: iWmo, de Validatiemodule, Conversiemodule, Wachtlijstinformatie, Verwijsindex Productcodes en de iStandaarden overgang 2015-2016.
ISD Normenkader en verantwoording
-
De gemeente doet als verantwoordelijke een risicoinschatting / risicoanalyse. Daaruit volgen dan beveiligingsmaatregelen die nodig zijn bij de bewerker die de gemeente als verantwoordelijke eist.
De beveiligingseisen horen terug te komen in de volgende documenten van de gemeente:
- Programma van eisen en wensen (knock out criterium)
- Inkoopvoorwaarden en informatiebeveiligingseisen (IBD, januari 2014, pdf)
Aanscherpen van de gemeentelijke inkoop voorwaarden. - Contractmanagement (IBD, april 2014, pdf)
Aandachtspunten voor contractmanagement, inkoop en beveiligingseisen. - Model voor een verwerkersovereenkomst (IBD, februari 2017, pdf)
De beveiligingseisen dienen periodiek gecontroleerd te worden door de gemeente, of de leverancier overlegt een TPM.
-
Ja, bij het gebruik van persoonsgegevens blijft de gemeente verantwoordelijk, zie Wet Bescherming Persoonsgegevens, artikel 14.
-
Hergebruik buiten het doel (doelbinding) waarvoor verzameld is niet toegestaan (zie paragraaf 2.1 van de Wbp). Doorlevering is in principe niet toegestaan tenzij daarvoor een bepaalde wettelijke basis is.
-
Nee. Iedere gemeente moet zelf verantwoorden hoe het staat ten opzichte van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Elke gemeente regelt in het convenant met een samenwerkingsverband wat de rechten, de plichten en de verantwoording zijn naar de gemeente toe. Dit convenant kan ook gezien worden als een vorm van een Bewerkersovereenkomst.
-
Dit kan onder andere door:
- Periodiek een TPM of eigen audit
- Inzage krijgen in, of het verstrekken van logginggegevens
Zie ook:
- BIG - Aanwijzing logging (IBD, januari 2014, pdf)
-
Ja. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) leidt het project Eenduidige Normatiek Single Information Audit (ENSIA). Dit project moet antwoord geven op de vraag hoe horizontaal (intern) en verticaal (extern) verantwoord moet worden. Verticale verantwoording is in de lijn (naar de wetgevers toe) en horizontale verantwoording is naar de Raad en naar de inwoners.
De voorlopige uitkomst van ENSIA is dat er een selfassessment komt waarvan de uitkomst getekend moet worden door de gemeentesecretaris (In Control Statement). Daarna kan het geheel door de interne of huisauditor beoordeeld worden (proces audit) en wordt de rapportage meegenomen in de SISA verantwoordingbijlage en daarnaast horizontaal aan de Raad en de inwoners met het jaarverslag.
Let wel: het project is nog niet afgelopen en dus is bovenstaande onder voorbehoud.
-
Ja, voorlopig wel. De wijzigingen onder invloed van het project Eenduidige Normatiek Single Information Audit (ENSIA) hebben tijd nodig om politiek te landen bij de verschillende wetgevers en inspecties. Daarnaast is het project ENSIA nog niet afgelopen is, dus er zijn nog geen conclusies getrokken en er zijn nog geen adviezen naar de verschillende wetgevers gegaan.
Dat neemt niet weg dat de horizontale en verticale verantwoording niet nu al niet kan worden ingericht. Als een gemeente de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) implementeert en binnen het gemeentelijke informatiebeveiligingsbeleid en het informatiebeveiligingsplan, de verschillende normen (SUWI, BPR, BAG, reisdocumenten, DigiD) nadrukkelijk een plaats geeft, dan kan de auditlast afnemen als gevolg van het sneller kunnen doorlopen van de verschillende audits. Het kernpunt hierbij is dossiervorming en bewijsvoering.
-
Voor de gemeente zijn de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) operationele producten van de Informatie Beveiligingsdienst (IBD) het normenkader voor informatiebeveiliging.
ISD Privacy en gegevensuitwisseling
-
Wat de eisen zijn hangt helemaal af van het soort softwarepakket, het doel en de functie en waar het softwarepakket gebruikt wordt. Aandachtspunt is dat vaak pakketten worden aangeschaft waarbij 'one size fits all' geldt voor de leverancier. Terwijl het gebruik, de registratie van gegevens en de soort gegevens per gemeente kunnen verschillen, waardoor er bijvoorbeeld beveiligingseisen ontstaan waar de leverancier niet op gerekend heeft.
Een voorbeeld daarvan is de mogelijkheid om gegevens af te schermen voor specifieke gebruikers of groepen, maar ook de mate waarin logging wordt ondersteund. Denk ook aan integratie met andere systemen. In dit voorbeeld bestaat de kans dat de gemeente met meer eisen zal opdraaien voor de kosten, of erger, een eigen specifieke versie van een product krijgt.
-
Het antwoord op veel algemene beveiligingsvragen vindt u in:
- Handreiking informatieveiligheid sociaal domein (VNG/KING, juni 2014, pdf)
-
De burger heeft het recht om zijn persoonsgegevens in te zien en te kunnen wijzigen. Dit kan ook gewoon door een print te maken van de informatie die aanwezig is.
Wanneer er gewerkt wordt met een plan van aanpak rondom één gezin en er dus persoonsgegevens van meerdere personen in één document staan, moet men bij het beschikbaar stellen van de gegevens aan de klant rekening houden met de privacy van de andere gezinsleden. Dit wil zeggen dat de informatie over partners en kinderen ouder dan 16 jaar niet zonder toestemming van die personen verstrekt mag worden.
De klant heeft het recht om te weten wie er toegang heeft tot zijn of haar gegevens en met wie er persoonsgegevens gedeeld worden. Maak de afweging ten aanzien van noodzaak, proportionaliteit en subsidiariteit in een triagebesluit expliciet over welke informatie er met wie gedeeld wordt en waarom. Als deze afweging is vastgelegd, kunt u als gemeente aan de burger uitleggen wat er met zijn/haar gegevens gebeurt en waarom.
- Factsheet Triage en privacy in het sociaal domein (VNG/KING, september 2015, pdf)
- Beleidsvisie "Zorgvuldig en bewust; Gegevensverwerking en Privacy in een gedecentraliseerd sociaal domein” (Rijksoverheid, mei 2014)