Vertrouwen in de keten

Report
Softwareleveranciersdag
2014
“Vertrouwen in de keten”
10-04-2014
André de Wit & Marc Hagemeijer
“Vertrouwen in de keten”
Marc
André

Wat is vertrouwen, hoe wordt het
gecreëerd en hoe wordt het geschaad?

Voorbeelden van “schaden” (incidenten)

Onderzoek CBP
 Zorg in en wensen van de keten.

Reacties / standpunt partijen
 Interactieve sessies – de deelvragen

Ontwikkeling privacy wetgeving EU

Waarom vertrouwen?

Uitgangspunten en heldere afspraken Hoe gaan we in de keten met elkaar
om?
 Wat is de keten?
 Reden voor ketenvorming?
2
Maar wie zijn Marc en André?
Marc
André

Marc Hagemeijer, 1965

André de Wit, 1964

IT security ervaring sinds 1999

Achtergrond Geo-informatie / ICT 1986

Compliance & Risk Officer, VECOZO

“Beheren” van de VECOZO security functie

Eindverantwoordelijk Promeetec & ProVos

Inzicht geven + mitigeren van risico’s

(declaratie)communicatie ZA  ZVZ

Voldoen aan wet- en regelgeving


Effectiviteit van beveiligingsmaatregelen
Advies/ondersteuning –optimaliserendeclareren.

VECOZO een betrouwbare partij in de
zorgketen te laten zijn.

Bewustwording van jezelf als schakel in de
keten.
3
“Wat is de keten” (deel 1)
Een keten is een samenwerkingsverband tussen organisaties
die naast hun eigen doelstellingen, één of meer gemeenschappelijk
gekozen (of door de politiek opgelegde) doelstellingen nastreven. …
ketenpartners zijn zelfstandig,
maar zijn ook afhankelijk van elkaar waar het gaat om het bereiken van
de gezamenlijke doelstellingen…..
“Wat is de keten” (deel 2)

Aantal kenmerken van ketens…..
 Uiteenlopende belangen (samenwerking tussen ‘onafhankelijke’ organisaties)
 Afhankelijkheid (onderlinge en wederzijdse afhankelijkheid). Geen van de
partners is in staat de gewenste doelstelling zelf te bereiken.
 Geen baas (geen eenhoofdige leiding) die in geval van conflicten tussen de
organisaties een beslissend oordeel kan vellen.
 Onevenwichtigheid. Inbreng en differentiatie in vakinhoudelijke inbreng. Dit zet
spanning op het evenwicht binnen de keten. Gelijkwaardigheid komt in de praktijk
zelden voor.
Dit betekent echter niet dat de prominentere partner zich ook als zodanig kan
gedragen: dus uitdrukkelijk rekening houden met de belangen andere partners.
 Ketens worden niet opgezet in een statische, maar in een dynamische omgeving!
 Over het algemeen een duurzaam karakter hebben. Dus voor langere tijd.

Typen ketens (doelen)
 Reduceren van kosten
 Verbeteren van dienstverlening
“Reden voor ketenvorming?”
 Dienstverlening aan de klant (1 loket gedachte).
 Administratieve lastenverlichting.
 Terugdringen fouten.
 Efficiency (kan goedkoper worden gewerkt en kunnen
uitvoeringskosten worden verlaagd).
 Innovatie (een succesvolle ketensamenwerking stimuleert creativiteit
en draagt daarmee bij aan innovatie, nieuwe producten en vormen van
dienstverlening).
Zorg in en wensen van de keten
Zorgaanbieder
1. Cliënt tevredenheid!
1. Gezondheid / Herstel (de beste zorg)
Client
Zorg in en wensen van de keten
Wetgeving &
Toezichthouders
1. Maatschappelijke ontwikkelingen
2. Democratisch/Parlementair debat
3. Uitvoer- toetsbare wetgeving
1. Gezondheid / Herstel (de beste zorg)
2. Betaalbare zorg
Zorgaanbieder
1. Cliënt tevredenheid!
2. (On)rechtmatig bezig?
3. Conform verwachting
Toezichthouders
Client
Zorg in en wensen van de keten
Wetgeving &
Toezichthouders
1.
2.
3.
4.
Maatschappelijke ontwikkelingen
Democratisch/Parlementair debat
Uitvoer- toetsbare wetgeving
Voldoende mandaat
Zorgverzekeraar
1. Kosten/Baten
2. Toezichthouder
1.
2.
3.
•
•
•
4.
Gezondheid / Herstel (de beste zorg)
Betaalbare zorg
Transparantie kosten
Eigen risco
Eigen bijdrage
Veranderden wet- en regelgeving
Transparantie kosten.
Zorgaanbieder
1. Cliënt tevredenheid!
2. (On)rechtmatig bezig?
3. Conform verwachting
Toezichthouders
4. Declaratie vereisten.
Client
Zorg in en wensen van de keten
Wetgeving &
Toezichthouders
1.
2.
3.
4.
1.
2.
3.
•
•
•
4.
Maatschappelijke ontwikkelingen
Democratisch/Parlementair debat
Uitvoer- toetsbare wetgeving
Voldoende mandaat
Zorgverzekeraar
1. Kosten/Baten
2. Toezichthouder
VECOZO
1. SMART maken van
voorwaarden
Gezondheid / Herstel (de beste zorg)
Betaalbare zorg
Transparantie kosten
Eigen risco
Eigen bijdrage
Veranderden wet- en regelgeving
Transparantie kosten.
Zorgaanbieder
1. Cliënt tevredenheid!
2. (On)rechtmatig bezig?
3. Conform verwachting
Toezichthouders
4. Declaratie vereisten.
Client
Zorg in en wensen van de keten
Wetgeving &
Toezichthouders
1.
2.
3.
4.
Maatschappelijke ontwikkelingen
Democratisch/Parlementair debat
Uitvoer- toetsbare wetgeving
Voldoende mandaat
Zorgverzekeraar
VECOZO
1. Kosten/Baten
1. SMART maken van
2. Toezichthouder
voorwaarden
2. Herkenbaarheid rol
SL/TP
1.
2.
3.
•
•
•
4.
Gezondheid / Herstel (de beste zorg)
Betaalbare zorg
Transparantie kosten
Eigen risco
Eigen bijdrage
Veranderden wet- en regelgeving
Transparantie kosten
Softwarelev. &
Tussenpartij
1. (H)erkenning in keten
2. Geïnformeerdheid
m.b.t. voorwaarden
3. Feedback
Zorgaanbieder
1. Cliënt tevredenheid!
2. (On)rechtmatig bezig?
3. Conform verwachting
Toezichthouders
4. Declaratie vereisten.
5. Vertrouwen in
 Oplossing software
 Uitbestede taken
 Consultancy
 Verlaging lasten
(efficiënt proces)
Client
“Vertrouwen in de keten”

Wat is vertrouwen?
 Van Dale: Geloof in iemands goede trouw en eerlijkheid
 Wikipedia: Bereidheid om afhankelijk te zijn van de daden van een ander
 Wikipedia: Geloven dat een ander eerlijk is of dat iets goed zal gaan
 De overtuiging dat iets of iemand volgens een verwachting acteert

Hoe wordt vertrouwen gecreëerd?
 Het is kwetsbaarheid die vertrouwen haar waarde geeft [Ferrucci]
 Geïnteresseerdheid, serieus nemen, gelijkheid, loslaten, aanspreken, eerlijkheid,
verwachtingen afstemmen enz.

Hoe wordt vertrouwen geschaad?
 Vertrouwen is goed, controle is beter [Lenin]
 Veel beloven verzwakt het vertrouwen [Horatius].
 Ondubbelzinnigheid in wetgeving en handhaving.
12
Voorbeelden van “schaden” (incidenten)
[Bron: https://www.security.nl/]
13
Onderzoek CBP (juni 2013).
[Bron: http://http://www.cbpweb.nl/Pages/pb_20130618_rapportpatientendossiers-binnen-zorginstellingen.aspx]
Waar rook is,
is vuur.
14
Standpunt van een brancheorganisatie
[Bron: http://www.npcf.nl/]
15
Standpunt van Zorgverzekeraars

Teneinde een zorgvuldige omgang met persoonsgegevens te waarborgen zijn in de
“Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars” gedragsregels
geformuleerd voor zorgverzekeraars.
De Gedragscode is door het
CBP goedgekeurd op 13-12-2011.

Uniforme maatregel 09 – Gebruik authenticatiemiddelen bij internetapplicaties (8 mei 2013)

Gezamenlijk Toetsingskader Informatiebeveiliging voor uitbesteding (concept)
•
DNB – CobiT 4.1 +
•
Extra aanvullende maatregelen
[Bron: https://www.zn.nl/concept/branche/gedragscode/]
16
Ontwikkelingen privacy wetgeving Europa
Woensdag 12 maart, op de 25e verjaardag van het internet, heeft het Europees Parlement
ingestemd met een nieuwe privacy verordening. Momenteel buigt de Europese Raad zich
over het voorstel. Waarschijnlijk zullen de nieuwe regels in 2015 of 2016 gaan gelden.
Belangrijkste punten uit het voorstel:
 Het voorstel wordt geen richtlijn, maar een EU-verordening (Europese wetgeving).
 De burger heeft het recht om 'vergeten' te worden: Je data kunnen deleten op het moment
dat jij dat wilt.
 Makkelijker toegang tot je eigen data: Het recht om je persoonlijke data te verplaatsen
naar een andere provider.
 Controle over je eigen data: Burgers moeten expliciet toestemming geven aan bedrijven
die hun data willen opvragen. Niets zeggen betekent dus niet automatisch toestemmen.
 Databescherming als eerste prioriteit: Producten en diensten moeten bij voorbaat
gebouwd worden op de principes van databescherming. Bij de ontwikkeling van
bijvoorbeeld sociale netwerken moet databescherming meteen ingebouwd worden en niet
pas later in het proces een rol krijgen.
 Bedrijven en organisaties moeten ernstige gegevenslekken binnen 24 uur melden.
 Boetes voor bedrijven die de regels over databescherming schenden tot 100 miljoen euro
of 5 procent van de wereldwijde jaarlijkse omzet. [Bron oa: https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacyverordening-2014.aspx en http://www.europarl.europa.eu]
17
Waarom “Vertrouwen in de keten”
Vertrouwen, of het betrouwbaar zijn, wordt steeds meer een must, opgelegd
vanuit de overheid/toezichthouders, maar ook geëist vanuit klant/patiënt.
Standaard middel om dit te organiseren: Controle, toezicht, aantoonbaarheid
Negatieve bijverschijnselen van Controle?
 Controle is historisch gezien altijd verbonden geweest met dwang.
 Controle is zand in de motor van effectieve samenwerking.
 Controle verlamt professionaliteit en creativiteit.
 Controle is gebaseerd op wantrouwen.
 Controle veroorzaakt twee werelden, de
gecontroleerde en de werkelijke (schijnzekerheid).
 Controle kost ons allemaal geld.
 Hoe creëren we “Vertrouwen in de keten” zonder ten onder te gaan aan controle?
18
Uitgangspunten voor “Vertrouwen in de keten”
 Er moet een goede balans zijn tussen controle en loslaten
(rekening houdend met wet- en regelgeving).
 Vertrouwen is geen gegeven, maar groeit vanuit een
(geverifieerde) basis.
 Als controle noodzakelijk is moet dit gezien worden als
opbouwende kritiek om daarmee het vertrouwen te bevorderen.
 Als controle noodzakelijk is moet het doel erachter duidelijk zijn
en geaccepteerd worden.
 Meten is weten, weten geeft vertrouwen.
 Basis van vertrouwen wordt gevormd door heldere wederzijdse
afspraken over hoe je met elkaar omgaat en werkt
(verwachtingsmanagement).
 Als een partij die verwachtingen (en daaraan gerelateerde
vertrouwen) niet invult moet men zich afvragen of die partij wel
past in onze vertrouwensketen.
19
Heldere afspraken
Hoofdlijnen VECOZO (concept) beleid aansluiting externe partijen op productieomgeving:
1. Externe partijen worden gecategoriseerd op basis van verschillende criteria (AGB code, gegevens uit
het Handelsregister, UZOVI code, BIG registratie, verklaring Wtzi, deskresearch ed).
2. Er zijn vijf categorieën partijen: Zorgaanbieders, Tussenpartijen, Softwareleveranciers, Derden en
overige.
3. Zorgaanbieders kunnen gebruik maken van VECOZO-diensten en zijn eindverantwoordelijk voor het
juiste gebruik hiervan.
4. Tussenpartijen kunnen gebruik maken van VECOZO-diensten indien zij door een Zorgaanbieder
middels een toestemmingsverklaring gemachtigd zijn.
5. VECOZO-diensten kunnen gebruikt worden indien een minimale set van organisatorische en
technische maatregelen aantoonbaar effectief zijn.
6. De wijze van authenticatie van een aangesloten partij (Contracthouder) is afhankelijk van de
classificatie van de VECOZO-dienst en onafhankelijk van de wijze waarop wordt geconnecteerd.
7. Het minimale niveau van authenticeren geldt zowel voor het direct connecteren met VECOZO als voor
het connecteren van een Zorgaanbieder via een Tussenpartij met VECOZO.
20
Heldere afspraken
21
Interactieve sessies – de deelvragen
1.
“Vertrouwen in de keten” – (H)erken je de noodzaak van het organiseren van vertrouwen in de keten?
2.
Verantwoordelijkheden in de keten – Wie is tot waar verantwoordelijk voor gegevensbeveiliging en
privacy? Waarom en welke persoonsgegevens communiceren we met elkaar? Welke legitimiteit ligt er
aan te grondslag? Zijn we bewust van de risico’s?
3.
Helderheid in wet- en regelgeving in de zorg – Ieder zijn eigen probleem of verwacht men van een
partij een faciliterende / adviserende rol op dit gebied? Van welke normenkaders gaan we uit?
4.
Technische en organisatorische maatregelen (ter bescherming van persoonsgegevens) – Ieder zijn
eigen interpretatie of bepaald door en voor de keten? Aantoonbaarheid?
5.
Inzet van authenticatiemiddelen – Zorg specifiek (VECOZO certificaat, UZI-pas) en/of meeliften met
globale initiatieven (eHerkenning, eID)? Gebruik maken van bijvoorbeeld de Single Sign On methodiek
van VECOZO?
6.
Samen-werken aan vertrouwen - Op welke wijze kunnen ketenpartners elkaar hierin versterken? Gaan
we hierin VECOZO (h)erkennen als de ketenpartner (shared service center)?
7.
Kennisdeling Delen van kennis rondom bescherming persoonsgegevens? Behoefte aan (praktische)
opleiding/cursussen? Opzetten van keurmerk?
22
Softwareleveranciersdag 2014
“Met vertrouwen de
kansen in de keten zien!”
Bedankt voor uw aandacht
en tot straks!

similar documents