Transcript Vertrouwen in de keten
10-04-2014 André de Wit & Marc Hagemeijer
Softwareleveranciersdag 2014
“Vertrouwen in de keten”
“Vertrouwen in de keten”
Marc Wat is vertrouwen, hoe wordt het gecreëerd en hoe wordt het geschaad?
Voorbeelden van “schaden” (incidenten) Onderzoek CBP Reacties / standpunt partijen Ontwikkeling privacy wetgeving EU Waarom vertrouwen?
Uitgangspunten en heldere afspraken Hoe gaan we in de keten met elkaar om?
André Wat is de keten?
Reden voor ketenvorming?
Zorg in en wensen van de keten.
Interactieve sessies – de deelvragen 2
Maar wie zijn Marc en André?
Marc Marc Hagemeijer, 1965 IT security ervaring sinds 1999 André André de Wit, 1964 Achtergrond Geo-informatie / ICT 1986 Compliance & Risk Officer, VECOZO “Beheren” van de VECOZO security functie Inzicht geven + mitigeren van risico’s Voldoen aan wet- en regelgeving Effectiviteit van beveiligingsmaatregelen VECOZO een betrouwbare partij in de zorgketen te laten zijn.
Eindverantwoordelijk Promeetec & ProVos (declaratie)communicatie ZA ZVZ Advies/ondersteuning –optimaliseren declareren.
Bewustwording van jezelf als schakel in de keten.
3
“Wat is de keten” (deel 1)
Een keten is een
samenwerkingsverband
tussen organisaties die naast hun eigen doelstellingen, één of meer
gemeenschappelijk
gekozen (of door de politiek opgelegde)
doelstellingen
nastreven. … ketenpartners zijn zelfstandig, maar zijn ook afhankelijk van elkaar waar het gaat om het bereiken van de gezamenlijke doelstellingen…..
“Wat is de keten” (deel 2)
Aantal kenmerken van ketens…..
Uiteenlopende belangen
(samenwerking tussen ‘onafhankelijke’ organisaties)
Afhankelijkheid
(onderlinge en wederzijdse afhankelijkheid). Geen van de partners is in staat de gewenste doelstelling zelf te bereiken.
Geen baas
(geen eenhoofdige leiding) die in geval van conflicten tussen de organisaties een beslissend oordeel kan vellen.
Onevenwichtigheid
. Inbreng en differentiatie in vakinhoudelijke inbreng. Dit zet spanning op het evenwicht binnen de keten. Gelijkwaardigheid komt in de praktijk zelden voor.
Dit betekent echter
niet
dat de prominentere partner zich ook als zodanig kan gedragen: dus uitdrukkelijk rekening houden met de belangen andere partners.
Ketens worden niet opgezet in een statische, maar in een
dynamische omgeving
!
Over het algemeen een duurzaam karakter hebben. Dus voor langere tijd.
Typen ketens (doelen) Reduceren van kosten Verbeteren van dienstverlening
“Reden voor ketenvorming?”
Dienstverlening aan de klant (1 loket gedachte).
Administratieve lastenverlichting.
Terugdringen fouten.
Efficiency (kan goedkoper worden gewerkt en kunnen uitvoeringskosten worden verlaagd).
Innovatie (een succesvolle ketensamenwerking stimuleert creativiteit en draagt daarmee bij aan innovatie, nieuwe producten en vormen van dienstverlening).
Zorg in en wensen van de keten
Zorg aanbieder
1.
Cliënt tevredenheid!
1.
Gezondheid / Herstel (de beste zorg)
Client
Zorg in en wensen van de keten
Wetgeving & Toezichthouders
1.
2.
3.
Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving
Zorg aanbieder 1.
2.
3.
Cliënt tevredenheid!
(On)rechtmatig bezig?
Conform verwachting Toezichthouders
1.
2.
Gezondheid / Herstel (de beste zorg)
Betaalbare zorg
Client
Zorg in en wensen van de keten
Wetgeving & Toezichthouders 1.
2.
3.
4.
Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving
Voldoende mandaat
Zorg verzekeraar
1.
2.
Kosten/Baten Toezichthouder
1.
2.
• •
3.
•
4.
Gezondheid / Herstel (de beste zorg) Betaalbare zorg
Transparantie kosten Eigen risco Eigen bijdrage Veranderden wet- en regelgeving Transparantie kosten.
Client Zorg aanbieder 1.
2.
3.
4.
Cliënt tevredenheid!
(On)rechtmatig bezig?
Conform verwachting Toezichthouders
Declaratie vereisten.
Zorg in en wensen van de keten
Wetgeving & Toezichthouders 1.
2.
3.
4.
Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving Voldoende mandaat Zorg verzekeraar 1.
2.
Kosten/Baten Toezichthouder VECOZO
1.
SMART maken van voorwaarden
1.
2.
• • 3.
• 4.
Gezondheid / Herstel (de beste zorg) Betaalbare zorg Transparantie kosten Eigen risco Eigen bijdrage Veranderden wet- en regelgeving Transparantie kosten.
Client Zorg aanbieder 1.
2.
3.
4.
Cliënt tevredenheid!
(On)rechtmatig bezig?
Conform verwachting Toezichthouders Declaratie vereisten.
Zorg in en wensen van de keten
Wetgeving & Toezichthouders 1.
2.
3.
4.
Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving Voldoende mandaat 4.
Transparantie kosten Zorg verzekeraar VECOZO 1.
2.
Kosten/Baten Toezichthouder 1.
2.
SMART maken van voorwaarden
Herkenbaarheid rol SL/TP
Softwarelev. & Tussenpartij Zorg aanbieder
1.
2.
3.
(H)erkenning in keten Geïnformeerdheid m.b.t. voorwaarden Feedback
1.
2.
3.
4.
5.
Cliënt tevredenheid!
(On)rechtmatig bezig?
Conform verwachting Toezichthouders Declaratie vereisten.
Vertrouwen in Oplossing software Uitbestede taken Consultancy Verlaging lasten (efficiënt proces)
Client
“Vertrouwen in de keten”
Wat is vertrouwen?
Van Dale: Geloof in iemands goede trouw en eerlijkheid Wikipedia: Bereidheid om afhankelijk te zijn van de daden van een ander Wikipedia: Geloven dat een ander eerlijk is of dat iets goed zal gaan
De overtuiging dat iets of iemand volgens een verwachting acteert
Hoe wordt vertrouwen gecreëerd?
Het is kwetsbaarheid die vertrouwen haar waarde geeft [Ferrucci] Geïnteresseerdheid, serieus nemen, gelijkheid, loslaten, aanspreken, eerlijkheid, verwachtingen afstemmen enz.
Hoe wordt vertrouwen geschaad?
Vertrouwen is goed, controle is beter [Lenin] Veel beloven verzwakt het vertrouwen [Horatius].
Ondubbelzinnigheid in wetgeving en handhaving.
12
Voorbeelden van “schaden” (incidenten)
[Bron: https://www.security.nl/] 13
Onderzoek CBP (juni 2013).
[Bron: http://http://www.cbpweb.nl/Pages/pb_20130618_rapport patientendossiers-binnen-zorginstellingen.aspx]
Waar rook is, is vuur.
14
Standpunt van een brancheorganisatie
[Bron: http://www.npcf.nl/] 15
Standpunt van Zorgverzekeraars
Teneinde een zorgvuldige omgang met persoonsgegevens te waarborgen zijn in de “Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars” gedragsregels geformuleerd voor zorgverzekeraars. De Gedragscode is door het CBP goedgekeurd op 13-12-2011.
Uniforme maatregel 09 – Gebruik authenticatiemiddelen bij internetapplicaties (8 mei 2013) Gezamenlijk Toetsingskader Informatie beveiliging voor uitbesteding (concept) • • DNB – CobiT 4.1 + Extra aanvullende maatregelen [Bron: https://www.zn.nl/concept/branche/gedragscode/] 16
Ontwikkelingen privacy wetgeving Europa
Woensdag 12 maart, op de 25e verjaardag van het internet, heeft het Europees Parlement ingestemd met een nieuwe privacy verordening. Momenteel buigt de Europese Raad zich over het voorstel. Waarschijnlijk zullen de nieuwe regels in 2015 of 2016 gaan gelden.
Belangrijkste punten uit het voorstel: Het voorstel wordt geen richtlijn, maar een EU-verordening (Europese wetgeving).
De burger heeft het recht om 'vergeten' te worden: Je data kunnen deleten op het moment dat jij dat wilt.
Makkelijker toegang tot je eigen data: Het recht om je persoonlijke data te verplaatsen naar een andere provider.
Controle over je eigen data: Burgers moeten expliciet toestemming geven aan bedrijven die hun data willen opvragen. Niets zeggen betekent dus niet automatisch toestemmen.
Databescherming als eerste prioriteit: Producten en diensten moeten bij voorbaat gebouwd worden op de principes van databescherming. Bij de ontwikkeling van bijvoorbeeld sociale netwerken moet databescherming meteen ingebouwd worden en niet pas later in het proces een rol krijgen.
Bedrijven en organisaties moeten ernstige gegevenslekken binnen 24 uur melden.
Boetes voor bedrijven die de regels over databescherming schenden tot 100 miljoen euro of 5 procent van de wereldwijde jaarlijkse omzet. [Bron oa: https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacy verordening-2014.aspx
en http://www.europarl.europa.eu] 17
Waarom “Vertrouwen in de keten”
Vertrouwen, of het betrouwbaar zijn, wordt steeds meer een must, opgelegd vanuit de overheid/toezichthouders, maar ook geëist vanuit klant/patiënt.
Standaard middel om dit te organiseren: Controle, toezicht, aantoonbaarheid Negatieve bijverschijnselen van Controle?
Controle is historisch gezien altijd verbonden geweest met dwang.
Controle is zand in de motor van effectieve samenwerking.
Controle verlamt professionaliteit en creativiteit.
Controle is gebaseerd op wantrouwen.
Controle veroorzaakt twee werelden, de gecontroleerde en de werkelijke (schijnzekerheid).
Controle kost ons allemaal geld.
Hoe creëren we “Vertrouwen in de keten” zonder ten onder te gaan aan controle?
18
Uitgangspunten voor “Vertrouwen in de keten”
Vertrouwen is geen gegeven, maar groeit vanuit een (geverifieerde) basis.
Er moet een goede balans zijn tussen controle en loslaten (rekening houdend met wet- en regelgeving) .
Als controle noodzakelijk is moet dit gezien worden als opbouwende kritiek om daarmee het vertrouwen te bevorderen.
Als controle noodzakelijk is moet het doel erachter duidelijk zijn en geaccepteerd worden.
Meten is weten, weten geeft vertrouwen. Basis van vertrouwen wordt gevormd door heldere wederzijdse afspraken over hoe je met elkaar omgaat en werkt (verwachtingsmanagement).
Als een partij die verwachtingen (en daaraan gerelateerde vertrouwen) niet invult moet men zich afvragen of die partij wel past in onze vertrouwensketen. 19
Heldere afspraken
Hoofdlijnen VECOZO (concept) beleid aansluiting externe partijen op productieomgeving: 1. Externe partijen worden gecategoriseerd op basis van verschillende criteria (AGB code, gegevens uit het Handelsregister, UZOVI code, BIG registratie, verklaring Wtzi, deskresearch ed).
2.
Er zijn vijf categorieën partijen: Zorgaanbieders, Tussenpartijen, Softwareleveranciers, Derden en overige. 3. Zorgaanbieders kunnen gebruik maken van VECOZO-diensten en zijn eindverantwoordelijk voor het juiste gebruik hiervan.
4. Tussenpartijen kunnen gebruik maken van VECOZO-diensten indien zij door een Zorgaanbieder middels een toestemmingsverklaring gemachtigd zijn.
5. VECOZO-diensten kunnen gebruikt worden indien een minimale set van organisatorische en technische maatregelen aantoonbaar effectief zijn.
6. De wijze van authenticatie van een aangesloten partij (Contracthouder) is afhankelijk van de classificatie van de VECOZO-dienst en onafhankelijk van de wijze waarop wordt geconnecteerd.
7. Het minimale niveau van authenticeren geldt zowel voor het direct connecteren met VECOZO als voor het connecteren van een Zorgaanbieder via een Tussenpartij met VECOZO. 20
Heldere afspraken
21
Interactieve sessies – de deelvragen
1.
“Vertrouwen in de keten” – (H)erken je de noodzaak van het organiseren van vertrouwen in de keten?
2.
Verantwoordelijkheden in de keten – Wie is tot waar verantwoordelijk voor gegevensbeveiliging en privacy? Waarom en welke persoonsgegevens communiceren we met elkaar? Welke legitimiteit ligt er aan te grondslag? Zijn we bewust van de risico’s?
3.
Helderheid in wet- en regelgeving in de zorg – Ieder zijn eigen probleem of verwacht men van een partij een faciliterende / adviserende rol op dit gebied? Van welke normenkaders gaan we uit?
4.
Technische en organisatorische maatregelen (ter bescherming van persoonsgegevens) – Ieder zijn eigen interpretatie of bepaald door en voor de keten? Aantoonbaarheid?
5.
Inzet van authenticatiemiddelen – Zorg specifiek (VECOZO certificaat, UZI-pas) en/of meeliften met globale initiatieven (eHerkenning, eID)? Gebruik maken van bijvoorbeeld de Single Sign On methodiek van VECOZO?
6.
Samen-werken aan vertrouwen - Op welke wijze kunnen ketenpartners elkaar hierin versterken? Gaan we hierin VECOZO (h)erkennen als de ketenpartner (shared service center)?
7.
Kennisdeling Delen van kennis rondom bescherming persoonsgegevens? Behoefte aan (praktische) opleiding/cursussen? Opzetten van keurmerk?
22