nr 06 oktober 2013 Informatiebeveiliging gaat ons allemaal aan! Samen moeten we ons bewust zijn van de beveiliging en bescherming van patiëntgegevens, onderzoeksgegevens en andere gevoelige informatie. In deze nieuwsbrief belichten we verschillende alledaagse onderwerpen vanuit het perspectief van informatiebeveiliging en privacybescherming. We informeren je over de regels, voorzien we je van praktische handvatten en geven je tips.
Sophia France, VUmc
Sandra Visee, AMC
Ga bewust om met gegevens in systemen Ziekenhuizen digitaliseren steeds meer gegevens. Patiëntgegevens, financiële gegevens, salarisgegevens en allerlei andere gegevens kunnen binnenkort via de pc worden geraadpleegd. Ook in het AMC en VUmc is deze ontwikkeling in gang gezet. “Des te meer reden om je bewust te zijn van een goede beveiliging van al die gegevens. Daar moeten we allemaal heel alert op zijn”, aldus Sandra Visee, HR-manager in het AMC. Sinds juni heeft iedereen in het AMC toegang tot zijn eigen gegevens in de online personeels en salarisadministratie. Hier is veel discussie over, want medewerkers vragen zich af waarom deze gegevens niet zijn afgeschermd. Sandra: “Dit is een vreemde discussie. Als medewerkers met hun persoonlijke account inloggen en hun pc vergrendelen als ze hun werkplek verlaten, zijn hun gegevens wel degelijk afgeschermd. Niemand anders kan er dan bij. Een pc waarop je bent ingelogd met je persoonlijke account vergrendel je eenvoudig met de toetsencombinatie CTRLALTDELETE en [enter]. Of met de toetsencombinatie [windowstoets] + [L].”
Heb oog voor álle gegevens Sophia France is manager Bedrijfsadministratie in het VUmc. Zij snapt waarom Sandra verbaasd is over de reactie van haar collega’s. “Mensen zijn zich vaak pas bewust van
de kwetsbaarheid van gegevens in systemen en de daarbij behorende risico’s als het over henzelf gaat. Maar jouw persoonlijke gegevens zijn slechts een deel van alle gege vens in het systeem. En het gaat juist om alle gegevens.” Sandra vult aan: “Zeker met patiëntgegevens moeten we veilig omgaan. Patiënten hebben namelijk geen invloed op hun gegevens in de systemen. Zij kunnen niet inloggen.”
Blijf altijd alert Sophia: “Het is moeilijk om dit onderwerp top of mind te houden bij medewerkers, maar toch is het erg belangrijk. Niemand wil namelijk dat er onverhoopt vertrouwelijke gegevens op straat komen te liggen.” Sandra is het daar mee eens: “Veel kan geregeld worden met ICT, maar als medewerker moet je altijd zelf alert blijven.”
Hoe verwijder je gegevensdragers op een veilige manier? Eindelijk heb je tijd om je kasten op te ruimen. Vol enthousiasme begin je aan de klus, maar aangekomen bij je archiefkast zakt de moed je in de schoenen. Hoe verwijder je veilig al je oude cd’s, dia’s, diskettes en fotokaarten met patiëntgegevens? Zowel het AMC als het VUmc maakt het je gemakkelijk. In het AMC lever je bij voorkeur zo veel mogelijk zelf in bij het Distributiecentrum, locatie H01.105. Hierdoor is de afvoer van privacygevoelige data het beste geborgd. In het VUmc kun je gegevensdragers ook laten ophalen door de logistieke dienst. V.l.n.r.: Ronald Warmerdam (VUmc), Dorris Verleun (AMC), Peter Duivenvoorden (AMC)
Beide ziekenhuizen hebben dezelfde filosofie over het ver wijderen van gegevensdragers: het verwerkingstraject moet grondig en veilig worden doorlopen, zodat er geen gegevens op straat kunnen komen te liggen. “In de Dienstengids op intranet staan de afvalposters Bedrijfsafval verpleeg afdelingen, Bedrijfsafval laboratoria en Kantoorafval. Hierop kun je precies zien waar en hoe je gegevensdragers in het AMC moet inleveren”, vertelt Peter Duivenvoorden, Manager Fysieke Distributie in het AMC. Dorris Verleun, Afvalbeheerder in het AMC, vult haar collega aan: “Daarnaast kun je met inhoudelijke vragen over afval altijd bij mij terecht of de servicedesk.” Ronald Warmerdam, Afval coördinator in het VUmc: “Ook in het VUmc werken we met posters en hebben we een servicepunt. Daarnaast hebben wij een digitaal handboek beschikbaar. Vind je met deze middelen geen antwoord op je vraag? Dan kun je altijd contact opnemen met mij.”
Controle op het verwerkingstraject Peter: “In het AMC stimuleren wij de mensen om zelf hun oude cd’s, dia’s, diskettes en fotokaarten met patiënten gegevens te komen brengen. Door zelf deze gegevensdragers weg te gooien, zien ze met eigen ogen dat het op de goede manier is verwijderd. Zo zijn ze zich bovendien bewuster van het verwerkingsproces. Gaat het om grote partijen?
Dan halen wij de spullen natuurlijk op.” Ronald vervolgt: “Zodra onze containers vol zijn, bellen we de afvalverwerker om het afval op te halen. Hiervan krijgen we een bewijs. Later, als het vertrouwelijke afval met gegevensdragers is vernietigd, krijgen we weer een bewijs. Deze certificaten bewaren we goed. Dat is namelijk ons bewijs dat het afval goed is verwerkt nadat het het ziekenhuis heeft verlaten. Zo houden we de controle over het hele verwerkingstraject. In het AMC werkt dit op dezelfde manier.”
Verschillen bij ICT en papier Dorris: “Er zijn wel een paar verschillen tussen de procedures in het AMC en VUmc. Zo hebben we in beide huizen een apart inzameltraject voor ICT-afval, zoals computers, toetsen borden en harde schijven. In het AMC is ADICT hiervoor ver antwoordelijk. ICT-afval kun je via intranet bij deze afdeling aanmelden. In het VUmc is het Facilitair Bedrijf verantwoor delijk voor ICT-afval. Daarnaast maakt het VUmc onder scheid tussen vertrouwelijk en niet-vertrouwelijk papier. In het AMC beschouwen we al het papier als vertrouwelijk.” Peter: “Daarom leveren wij in het AMC ook alle papierbakken gesloten af en is het dan ook absoluut verboden om de papiercontainers te openen! Tegen de regels in zien we dit helaas toch wel eens gebeuren. Weet je even niet hoe het zit? Neem dan gerust contact met ons op.”
Waar kun je in het AMC terecht met vragen over afval?
Waar kun je in het VUmc terecht met vragen over afval?
– Met inhoudelijke vragen over afval kun je terecht bij Dorris Verleun, sein: 8162600. – Heb je vragen over het aanmelden van afval? Richt je dan tot de servicedesk van Directoraat Services: 020 56 69999 of intranet (Dienstengids, Afvaloverzicht). – Voor vragen over de uitvoering van een aangemeld transport kun je het Distributiecentrum benaderen: 020 56 62445.
– Met inhoudelijke vragen over afval kun je terecht bij Ronald Warmerdam, sein: 986471. – Heb je vragen over het aanmelden van afval? Richt je dan tot het servicepunt Facilitair Bedrijf: 020 44 44466 of intranet (Afvalhandboek). – Voor vragen over de uitvoering van een aangemeld transport kun je de servicedesk Transportdienst benaderen: 020 44 43145.
Tips om veilig thuis te werken
In het AMC en VUmc gaan steeds meer mensen thuiswerken. Dat biedt kansen, zoals een betere verhouding tussen zakelijk en privé. Maar het brengt ook risico’s met zich mee. Een thuis-pc is namelijk niet zo goed beveiligd als een zakelijke pc. Toch bieden beide ziekenhuizen toegang op afstand. “We ondersteunen medewerkers graag, maar ze moeten zelf goed blijven nadenken en zich realiseren dat niet alle werkzaamheden thuis uitgevoerd kunnen worden”, aldus Jasper Luiten, ICT Security Officer in het VUmc. V.l.n.r.: Ewald Beekman (AMC), Jasper Luiten (VUmc)
Zowel het AMC als het VUmc hebben dezelfde filosofie als het gaat om toegang op afstand. In beide ziekenhuizen blijft de informatie in huis, waar het goed beveiligd is. De gebruiker krijgt ‘een kijkvenster’ om thuis te kunnen werken. Jasper: “In het VUmc maken we gebruik van VIEW (VUmc Interne Externe Werkplek). Dit betekent dat mede werkers op afstand kunnen inloggen op een gestandaardi seerde pc van het VUmc. Hierdoor beschikken ze altijd en overal over hun bestanden en data.” In het AMC heet dit Externe Toegang. Ewald Beekman, Security Architect in het AMC, legt uit: “Medewerkers loggen in op een virtuele pc die hen toegang biedt tot al hun documenten. En bijvoor beeld ook tot de AMC Zorg Desktop.”
Meerdere accounts of twee pc’s Ewald: “We ondersteunen medewerkers actief met toegang op afstand, omdat we verlies en diefstal van informatie zo veel mogelijk willen voorkomen. Als medewerkers laptops, harde schijven of usbsticks mee naar huis nemen, is de kans op informatieverlies namelijk veel groter.” Jasper vult aan: “Maar met een goed georganiseerde toegang op afstand alleen ben je er nog niet. Mensen moeten zelf ook alert blijven. Stel op je thuispc bijvoorbeeld verschillende gebruikersaccounts in en log elke keer uit als je je pc ver laat. Anders kan je zoontje per ongeluk zo maar een mailtje van je werk doorsturen. Daar moet je toch niet aan denken?” Ewald vervolgt: “Het beste is eigenlijk om thuis twee pc’s te hebben. Eén waarop jij je werk kunt doen en waarop andere gezinsleden geen toegang hebben. En één die voor iedereen toegankelijk is en waarop bijvoorbeeld ook spelletjes staan.”
Browsercheck en advertentieblokker
kelijk met de gratis website http://browsercheck.qualys.com. Als je deze website instelt als startpagina, loop je zelfs negen keer minder kans om besmet te raken!” Jasper ver volgt: “Vaak word je pc besmet door virussen in advertenties. Recent zijn bijvoorbeeld de advertentieruimtes op de website van de Telegraaf gehackt. Iedereen die deze website met verouderde software bezocht, is geïnfecteerd. Het is dus raadzaam een advertentieblokker te gebruiken.”
Scan je pc op virussen “Het vervelende van een virusbesmetting is dat je niet goed merkt dat je pc is geïnfecteerd. Dat je email langzaam laadt of dat je pc in het algemeen langzamer wordt, kan namelijk ook te maken hebben met de internetverbinding of andere defecten”, vertelt Jasper. Ewald vult aan: “Met de gratis software van het Nederlandse bedrijf SurfRight (http://www.surfright.nl/) kun je gemakkelijk checken of je besmet bent. Elke keer als je opstart, kun je je pc automa tisch laten scannen door deze software.”
Toch besmet? Let op je geld! Neem je deze tips allemaal ter harte, dan kan het nog zo zijn dat je pc wordt besmet. Zorg daarom ook altijd voor een goede basis: zorg dat je virusscanner en firewall zijn bijgewerkt, ga goed om met wachtwoorden, verstuur nooit vertrouwelijke gegevens via de email en klik niet zomaar op links in emails. Is je pc toch besmet? Dan zijn hackers meestal uit op je geld. Met een gratis programma van ING (https://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/ing-trusteer-rapport/index.aspx) kun je dit tegengaan. Het leuke is dat dit programma ook werkt bij andere websites met Internet Bankieren.
Ewald: “Beveilig de pc waarop je thuis werkt goed. Zorg er in ieder geval voor dat je browser is bijgewerkt. Dat kan gemak
Meld je aan voor de nieuwsbrief Informatiebeveiliging Weet jij precies wat informatiebeveiliging en privacybescherming inhoudt? Via de interne, digitale nieuwsbrief Informatiebeveiliging ontvang je elk kwartaal recente informatie, praktische handvatten en tips die je meteen kunt gebruiken tijdens je dagelijkse werkzaamheden. Meld je nu aan!
Do’s Veilig omgaan met gegevens in systemen
Gegevensdragers verwijderen
Veilig thuiswerken
Don’ts
Verlaat je je werkplek? Vergrendel je pc of log uit.
Deel je inloggegevens niet met andere collega’s.
Blijf altijd alert als het gaat om (patiënt) gegevens in systemen.
Denk niet: ‘ICT regelt het wel.’
Deponeer je gegevensdragers (zoals dia’s en röntgenbeelden) in de juiste container.
Laat gegevensdragers niet slingeren en gooi ze zeker niet in de prullenbak.
Tip: wis zo veel mogelijk van de informatie op gegevensdragers (zoals harde schijven en usbsticks) voordat je ze inlevert.
Ga niet laconiek om met informatie op gegevensdragers.
Gebruik thuis twee pc’s: één voor zakelijk en één voor privé.
Gebruik je thuis één pc? Geef dan niet alle gezinsleden dezelfde rechten.
Houd je browser uptodate.
Klik niet zomaar op links in emails.
Colofon De IBAnieuwsbrief is een uitgave over informatiebeveiliging en privacybescherming van het AMC en VUmc. Redactie Beer Franken (AMC), Thijs Kliphuis (VUmc) en Kim Bogers (Tekstschrijvers.nl) Tekstschrijver Kim Bogers (Tekstschrijvers.nl) Fotografie Marie Louise Nijsing Photography Vormgeving Katja Hilberg E-mail cisppo@amc.nl