of er preventief gecontroleerd gaat worden kan ik niet zeggen, maar het niet hebben klaarliggen van bepaalde documenten betkent wel dat het risico heel erg groot is voor de bestuurders van jullie zorginstelling. ik vraag mij af of dat ze die persoonlijk willen dragen.
ook vraag ik mij af hoe lang het zal duren voordat een van onze patienten een klacht zou indienen als we niet aan de meest basale eisen voldoen.

Wij hebben een vrijblijvend advies gesprek gehad met de mannen van databeschermingswet.nl en zij hebben ons goed kunnen adviseren over wat wel (en niet) te doen.

Het hangt een beetje af van je functie en verantwoordelijkheden.

Je kunt advies geven richting het management, en zorgen dat je dit advies goed bewaard (thuis). En als het Management dit beslist is het ook hun verantwoordelijkheid. Mocht het fout gaan, dan kan jij niet de zwarte piet toe gespeeld krijgen.

Alternatieven:
Gaan solliciteren.
Zorgen dat je onderdeel wordt van het Management.
Zo veel er op drukken en pushen, dan je "lastig"wordt en weg gewerkt wordt.
Klokkenluider worden, met alle risco's die er bij kunnen horen.

Het niet voldoen aan wetgeving is een keuze die het management kan maken.

Denk dat het niet handig/verstandig is, mede omdat een toezichthouder hier actief op zal controleren. In dit geval niet alleen het AP maar in sommige gevallen de Inspectie voor de Gezondheidszorg (IGZ) en de Nederlandse Zorgautoriteit (NZa).

Als het management in zijn geheel niet wil voldoen aan wet er regelgeving geven ze hiermee ook aan dat ze zich buiten de maatschappij plaatsen, en of dat nu de boodschap is die een zorginstelling uit wil stralen.

Dat is gewoon 'common practice' in de bedrijfswereld. Kosten / Baten en een boete voor lief nemen.
Dat kan alleen maar veranderen indien men bestuurders/CEO's strafrechtelijk gaat vervolgen en ze ook daadwerkelijk voor de rechter sleept, incl. een eventuele gevangenisstraf etc.

Maar als een gesprek met het management niet helpt kan je nog altijd naar de AP stappen.

Die verzekering kunnen ze ook wel vergeten, daar worden dusdanig hoge eisen gesteld dat je er alsnog voor moet zorgen dat je de zaken goed op orde hebt/krijgt.

De grootste vraag is: is het management wel goed op de hoogte over de dreigingen/risico's? Blijkbaar hebben ze geen idee wat de risico's zijn en wat de kosten zijn om de risico's te beperken.

Vraag of je zelf een audit/pentest/assessment mag uitvoeren, gebruik de kwetsbaarheden of bedreigingen om concreet aan te tonen hoe makkelijk er misbruik gemaakt kan worden.

Laat eens een filpmje van een succesvolle ransomware aanval zien...

Zoals al door anderen is aangegeven:
- AVG gaat over correct omgaan met gegevens van een ander (van personen, zoals patienten en medewerkers).
- de kern van de AVG is dat een bedrijf zelf moet kunnen aantonen dat ze "veilig" zijn, dwz. conform standaarden met die gegevens omgaan
- als ze dat niet doen kan de boete oplopen tot 4% van de jaaromzet
- Als patienten er achter komen dat er onzorgvuldig met hun gegevens wordt omgegaan komen ze niet meer, dat zal voor een verlaging van meer dan 4% van de jaaromzet zorgen
- je kan je niet verzekeren tegen boetes, wel tegen "financiele schade", maar verzekeraars stellen daarvoor hoge eisen aan je organisatie
- in voorkomende gevallen kan de bestuurder persoonlijk aansprakelijk worden gesteld: http://www.solv.nl/weblog/verantwoordelijkheid-bestuurders-bij-privacyschendingen/20785 en daar lijkt het hier wel op: bewust ontduiken van wettelijke verplichtingen
en misschien de mooiste ofwel duidelijkste voor management leden in dit kader:
- als bekend is dat directie X met leden Y en Z moedwillig de boel flessen (want uiteindelijk gaat de instelling op de fles) dan is dat een enorme zwarte plek op hun carriere en perspectieven.

Succes!

bewust de wet negeren is een keuze die het management maakt. Als zij een boete van 20 miljoen of 4 % van de wereldwijde omzet willen riskeren moeten ze dat doen. Een verzekering gaat het niet dekken en stelt inderdaad allerlei voorwaarden, zoals in de AVG benoemd. Iedereen moet aan het werk, iedereen moet voldoen en zorgvuldig met persoonsgegevens omgaan. En ja, nu moet dit ook aantoonbaar, dat kost tijd en geld.


daarnaast vraag ik me af hoe je als klant van deze zorginstelling het vertrouwen in die organisatie kunt hebben. Stel jij je gegevens daar beschikbaar als ze niet willen voldoen aan wetgeving en bewust veilig om willen gaan met persoonlijke gegevens.
Je wilt als zorginstelling toch uitstralen dat er zorgvuldig wordt omgegaan met jouw gegevens

Je kunt erop wachten dat er gecontroleerd gaat worden. Een zorginstelling ( en een grote zeg je) verwerkt veel persoonsgegevens en zijn dus verplicht een DPO te hebben. Ik ben heel benieuwd wat die hiervan vindt...

(ik ben topicstarter)

We hebben a.g.v. onze grootte inderdaad een DPO, die tevens onze CISO is. Deze is door de Raad van Bestuur onder het ICT management geplaatst waar de bewuste uitspraak is gedaan. Hij heeft echter wel een "directe lijn" naar de Raad van Bestuur t.b.v. het rapporteren van zaken, maar zijn broodheer is de IT manager.

Wanneer een zorginstelling achter de schermen zo met haar clienten denkt om te kunnen mogen gaan lijkt mij dat er structureel iets mis is binnen het (hoger) management. Ik kan je bij deze vertellen dat een goede uitvoering van de wettelijk verankerde zorgplicht, met alle verantwoordelijkheden daar omheen, elk ander belang overstijgt volgens de wet. Wanneer je wetenschap hebt van (dreigende) misstanden en je maakt daar geen melding van bij de IZG ben je sowieso strafbaar of, op z'n minst, verwijtbaar nalatig.

Meldingen bij de IGZ kunnen anoniem gedaan worden. Succes.

M.vr.gr., een zorgverlener.

https://www.igz.nl/melden/

op dumpert knallen, klokkenluider!

Waar staat dat? Dat is in het verleden wel vaker voorgekomen hoor, bijvoorbeeld hier: https://www.verzekeringen.com/nieuws/verzekering-bekeuringen-boeteverzekering

Dat zou ik niet doen als je hier al eens lastige vragen over gesteld hebt, want dan ben je de eerste verdachte als ze gaan zoeken wie hen dat geflikt heeft. Vervolgens vlieg je eruit wegens een verstoorde arbeidsrelatie en aangezien geen enkel bedrijf graag klikspanen binnenhaalt heb je dan een probleem. Als je geluk hebt wordt het niet erg breed in de pers uitgemeten en is het binnen je vakgebied niet bekend wat er dan gebeurt is. Voorbeelden genoeg van bekende klokkenluiders die helemaal afgefakkeld zijn.

Je kunt geen brandend huis verzekeren. Ja tegen overmacht etc, wat in een risicoprofiel valt, kan dat wel.
Het bewust regels overtreden kan voor de bestuurders verkeerd uitpakken. Ze worden in bepaalde gevallen bij opzet ed zelf hoofdelijk aansprakelijk.

Wat er zwart op wit is veilig bewaren je weet nooit hoe zo'n bonnetje later uitwerkt.
Dan zo goed mogelijk het werk blijven doen zonder er zelf aan onder door te gaan. Dat lijkt me nog het beste.

Dapper om dit aan de orde te durven stellen, maak van je hart geen moordkuil, maar mondje dicht en snaveltje toe.

Als is de onveiligheid nog zo snel, de security officer achterhaald haar wel om eens een variant op een waar gezegde te maken. Haal zelf de kastanjes niet uit het vuur, maar laat dat anderen doen, die er ook nog beter voor betaald worden.

"Bijdt Uw tijd", beste security proffesional! Dat stond vroeger op de bus beschuit, weet je nog?

Hieraan zie je weer hoe ver het bedrijfsmodel langzamerhand al 'veramerikaniseerd' ofwel 'geglobaliseerd' is.

Rustig een baten kosten analyse van een eventuele boete opstellen en die dan incalculeren, als dat rendabel is t.o.v. de winst tegenover het wel voldoen aan de wettelijke eisen.

Doen grote globale spelers al lang, als de boete peanuts is vergeleken bij het te halen profijt. Gewoon incalculeren. Boven- en onderwereld gaan steeds meer door elkander lopen. Publicatie van onethisch handelen voor de rechter geblokkeerd. Zo ver gaat het soms. We zitten wat dat betreft al in een neo-nazi-achtig bedrijfslandschap. Krijg er geen grijs haar van, maar het bewustzijn dat het zo is moet wel algemeen groeien.

Eigenlijk onethisch en psychopatisch gedrag van CEO's en managers, maar er wordt hen de ruimte toe geboden.
Wat slecht is wordt snel overgenomen. Wat goed is wat minder snel.

Ik denk dat er nog wat grotere data-lekken nodig zijn, eer men gaat heroverwegen. Het kan ook best dat we dat voorlopig helemaal niet gaan meemaken...ik bedoel, ...dat de wal het schip keert. Men wordt steeds arroganter en het handhavingsbeleid steeds belabberder. De zorgafnemer, dus u en ik, zijn de pineut in het kwadraat.

Inderdaad een fout, ten eerste de combi CISO/DPO al een dubbelrol, al kun je daar over discusseren... iets met een slager die zijn eigen vlees keurt en daarnaast staat er letterlijk in de AVG het volgende:

De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken

En nog een :
De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

Volgens mij voldoet deze DPO hier niet echt aan en is het aan te raden om zijn/haar positie iets anders in te kleden

Klassieke management bla bla. Incompetentie ten top.
http://magazine.intermediair.nl/issue/13-04-2017/management-is-een-vorm-van-verborgen-werkeloosheid/.
Je hoeft niets te kunnen of te weten namelijk. (de goede niet aangesproken natuurlijk).
Uiteraard kun je wachten of je GDPR wel moet doen. Net of je een keuze hebt. Ik zou ze alvast vooraanmelden voor een onderzoek. De boetes zijn per overtreding max 10 milj of 2% of max 20 milj of 4%. Persoonlijk door belasten naar de manager.
en je kunt geen verzekering afsluiten tegen incompetentie. Een verzekering is een dekking tegen een niet voorzien toekomsting onheil. Dat lijkt met die niet het geval. De wet is al in werking namelijk, volgend jaar mei wordt hij geffectueerd en volgen de bezoeken van de AP. en die gaan echt boetes uitdelen omdat dit een signaal zal zijn naar de andere die no habla. Met als de AFM destijds. <einde>. PS als je zulke managers hebt, ik zou elders gaan werken...

Soms moet je zaken laten gaan zoals ze gaan. Als Security Officer moet je echt alles bewaren wat je ooit aan adviezen gegeven hebt en welke reacties je daarop gekregen hebt. Een vorm van ass covering maar bij veel organisatie brood nodig. Ga niet de klikspaan uithangen, ook niet anoniem want er is altijd wel iemand met wie je dit besproken hebt die zeker uit de school zal klappen want vrienden heb je niet meer als klokkenluider. Ga er vanuit dat alles waar je ooit voor hebt gewerkt je direct kwijt bent want je bent een outcast geworden waar niemand meer iets mee te maken wil hebben.
Pas als je echt 100% zeker bent, en dan bedoel ik een rock solid 100%, dat je nooit met iemand erover gesproken hebt en je niet de enige of één van de weinigen bent die van het probleem op de hoogte is, kun je anoniem uit de school klappen. Gebruik dan wel TOR over VPN om via een klokkenluiders site op de Darkweb de melding te doen zodat ook de journalist in kwestie geen idee heeft wie of wat je bent. Cover your ass and your tracks.
Maar uiteindelijk komt alles wel een keer uit dus je bent als klokkenluider sowieso altijd de sjaak. Het bedrijf of de organisatie gaat gewoon door en jouw leven is naar de kloten. Is dat het waard?

Succes met verzekeren...Bestuurlijke boetes kan niemand zich voor verzekeren. Zit zelfs geen verjaringstermijn aan vast. De boete blijft altijd aan de bestuurder kleven ongeacht waar deze zich in de toekomst bevindt...

Wat je inderdaad zegt: kosten/baten zijn al jaren lang onderdeel van het bedrijfsleven en dus ook van security beleid. Het is nooit anders geweest en zal nooit anders worden. Sterker nog; het is niet eens anders mogelijk. Zoals ik laatst heel treffend last: "Het is een luxe om te kunnen leven naar je principes" .. en dat geldt ook voor Security en privacy principes.

Strafrechtelijk vervolgend van het management zou een oplossing zijn. De vraag reist dan; WIE stel jij verantwoordelijk? de eigenaren? Dat betekent dus de aandeelhouders en niet de aangestelde CEO die alleen maar moet proberen om dezelfde aandeelhouders tevreden te houden?

Niettemin is het natuurlijk heel moeilijk en heb ik er ook niet één twee drie een oplossing voor.
groetjes,
Eminus

Een veelgemaakte fout, de CISO plaatsen in de IT-afdeling. Daarmee wordt je gewoon onderdeel van het probleem en heb je hoe dan ook geen goede positie. Hoe kun je nou rapporteren over je broodheer zonder daar de dupe van te worden.

On topic: de AVG vereist helemaal niet dat je privacy ten koste van alles beveiligd. Er staat dat je "passende" maatregelen moet nemen (AVG artikel 32 lid 1). Passende is een business afweging en gaat over kosten en baten. Iets wat je achteraf moet kunnen uitleggen. En ja, daarover kun je achteraf ook van mening verschillen met de toezichthouder. Die toets, of iets passend is, daar hoor je niemand over. Als je een zorginstelling hebt en het beveiligen van iets betekent minder zorg dan moet je als management je verantwoordelijkheid nemen, een keuze maken en het achteraf uit kunnen leggen. Hoe moeilijk kan dat zijn, als management iets doen waarvoor je bent aangenomen?

Gewoon niks doen is wel het domste wat je kunt doen.

Als ze een boete ter hoogte van een gemiddeld persoonlijk failissement overwegen te accepteren lijkt mij duidelijk hoeveel daar daadwerkelijk over nagedacht is ;)

Dit is een zinkend schip waar jij geen onderdeel van wilt zijn. Je kunt dus beter gaan solliciteren. Als ik in jouw schoenen zou staan zal ik alvast dossier gaan vormen. Ofwel, nu alvast beginnen met mails e.d. te verzamelen waarin zwart op wit staat dat ze de AVG willen negeren. Daarnaast dring je er schriftelijk bij het management op aan om de AVG toch na te leven en wijs je ze op de risico's. Ook deze mails bewaar je.
De mails bewaar je niet op bedrijfs PC's maar bijvoorbeeld op een USB stick die in jouw bezit heb en die je voornamelijk thuis bewaard. Mochten ze je lastig vinden en naar je ontslag toewerken dan heb je in ieder geval een stukje "leverage" om er een flink hoge ontslagvergoeding uit te halen. Dat doe je dan niet door ze direct te chanteren want dat mag niet. Tijdens het ontslaggesprek vraag je subtiel naar de klokkenluidersregeling (die moeten ze hebben vanaf 50 werknemers). Dan zal er vast doorgevraagd worden naar hoe en wat en dan geef je alleen het AVG verhaal aan. Je geeft niet aan wat je hebt, ook niet als ze daar naar vragen. Je hebt voldoende bewijs om je stelling aannemelijk te maken. Meer laat je niet los.
Dan kunnen er 2 dingen gebeuren:
1. Ze bieden aan een extra clausule aan de vaststellingsovereenkomst toe te voegen met een geheimhoudingsverklaring met in ruil daar voor een fors hogere vergoeding. Ze laten dan nog niet het achterste van hun tong zien dus onderhandel daar ook over en probeer die fors hoger te krijgen. Geef aan dat het ontslag op initiatief van de werkgever is, zeker niet jouw keuze is en dat je ook een hypotheek/vrouw/kind etc... hebt en dat je dus een stukje zekerheid wilt. Begin met het bedrag te verdubbelen of begin met een bedrag wat jou redelijk lijkt. (een heel of een half jaarsalaris). Uitkomst: De zorginstelling/RVB gaat waarschijnlijk het beleid herzien en jij wordt er sowieso financieel beter van.

2. Het interesseert ze allemaal niets en ze gaan lekker door. Ga mee in het proces, schakel je rechtsbijstandverzekering in en probeer er het meeste uit te halen. Vervolgens neem je contact op met Zembla e.d. en geef je aan wat je hebt en onderhandel je met Zembla over wat je er voor kunt krijgen. Die komen vast op een mooi bedrag. Verkoop het hele dossier aan Zembla en incasseer. Uitkomst: Journalisten hebben bij wet bronbescherming dus jij blijft buiten schot en wordt er financieel beter van. De zorginstelling/RVB wordt vrijwel zeker aangepakt.

Inderdaad. De manager van de IT-afdeling bevindt zich momenteel in de positie om te bepalen of er wel of niet naar de toezichthouders wordt gemeld. Daarmee kan hij mismanagement van zijn kant (aangaande security) onder het tapijt schuiven en is er sprake van vergaande belangenverstrengeling. Bij deze organisatie wil je niets met cybersecurity en informatiebeveiliging te maken hebben en zoals anderen al aangaven zou ik ook gaan solliciteren. De vacatures liggen momenteel voor het oprapen.


Wat ik van insiders heb begrepen, is dat de toezichthouders o.a. gaan toetsen of er naar rato voldoende in cybersecurity is geïnvesteerd. Als leidraad zouden ze een percentage van de jaaromzet gaan hanteren.

Groet,
een Information Security Manager.

Dat zag ik langs komen. Politiek Verhoeven doel 10% van ... verpot besteden aan cybersecurity. Kun je er op wachten dat er niets aan secùrity gedaan wordt maar gekeken wordt hoe je aan dat geld kan komen. Huur dan een politicus voor heel ver boven balkenendenorm die niets van ict snapt maar geef hem de titel van ict specialist. Is al voorgevallen Ivo hielp Cloo zo bij de politie.

Wat heeft men in deze omgeving nodig. De trouwe, middelmatige collaborateur, die de niets wetende arrogante 'vriendje van vriendje' profiteurs afdekken moet.

Via sociale media is ieder hierop al vooruit gescreend en geselecteerd. Eens te slim geweest voor je eigen bestwil, kom je niet meer aan de bak, verkeerde oormerk zeker. Afgeserveerd en uitgerangeerd.

Eerherstel blijft eeuwig uit of een belangrijk iemand zou je moeten kunnen gebruiken om iemand anders een hak te zetten.
Het kan dus altijd nog verkeren.

Niets heeft noch belevingswaarde, niet is meer echt relevant. Het verdienmodel is eenvoudig, zeer basaal en zeer doeltreffend geregeld. Kunst voor de kunst vaak en de goegemeente aan buitenstaanders heeft er geen weet van.

Zelden wordt het aan de kaak gesteld, want alles wordt dichtgetimmerd en gecontroleerd. Van overtreders wordt een goed voorbeeld gemaakt, zodat een tweede het niet nog eens gaat proberen. Hopeloze toestand. Flagellantenrace en in de meeste gevallen een contradictio in terminis, die niet te doorbreken valt.

Allen, die zulk een schema in de weg zitten, zullen op de een of andere manier geloosd worden. Er is ineens geen budget meer voor of e.e.a. wordt anders ingevuld.

Zo werkt de bananenrepubliek B.V. en dat al zeer geruime tijd, naar ik aanneem.

Ik probeer nog even te bedenken wat 10 procent te maken heeft met betere beveiliging. Die relatie is er namenlijk helemaal niet. Bovendien kan de toezichthouder helemaal niet op de stoel gaan zitten van de manager die hopelijk wel een juist besluit neemt over wat passend is en wat niet. Die rechtzaak, daar ben ik benieuwd naar als die er komt.

Eens, maar je weet hoe het in de praktijk gaat. Wanneer alles op papier is afgedekt, dan kan er in de hoofden van politici en managers niets meer fout gaan. Het feit dat de papieren tijger mijlenver van de werkelijkheid af staat, wordt voor het gemak genegeerd.

(ik ben topicstarter)

Op basis van de manier waarop onze CISO in de organisatie is geplaatst, heb ik twee organisatieschema's op basis van cybersecurity gemaakt. Wat denken jullie hiervan? Mis ik nog zaken?

Huidige situatie: https://s15.postimg.org/9izee6zwr/organisatieschema_huidig.png
Mijn visie: https://s14.postimg.org/o4c8105zl/organisatieschema_visie.png

Wat me opvalt in het visie-plaatje is het plaatsen van 2 rollen buiten de diensten opdeling.
Als er iets is als Informatisering, Automatisering & Services - Vastgoed & Huisvesting - Facilitair Bedrijf - Control, Financiën & Informatie voorziening met daarnaast vele andere takken voor het kernwerk mis je iets in de ondersteunende diensten als advies analyse & risico. Onder AA&R zou je de FG/DPO Master Security Officer en auditors goed kwijt kunnen (controlerend en beleid niet uitvoerend) Of je de splitsing hoofd automatisering (CIO) en IT security manager (CISO) er bij moet nemen is wat anders.
De naamgeving en aanduidingen lopen niet consequent door, dat kan een acceptatie issue zijn. Hoe makkelijker de verandering als voorstel ligt des te makkelijker zal een transitie zijn.

Dat klinkt alsof ze denken dat een boete een factuur is die je voor een overtreding krijgt, en dat je via een kosten/baten-analyse kan kiezen welke facturen het gunstigst uitpakken en dat overtredingen dus dingen zijn die je mag begaan.

Behalve een gebrek aan besef van moraal, maatschappelijke verantwoordelijkheid en verantwoordelijkheid jegens hun cliënten hebben ze ook weinig tot niets begrepen van hoe AP te werk gaat. Ten eerste legt AP vaak geen boetes op als blijkt dat een overtreder goede maatregelen treft om herhaling te voorkomen. Het gaat AP namelijk om het voorkomen van datalekken, niet om het innen van boetes. Maar als een overtreder weerbarstig blijkt dan kunnen niet alleen boetes maar ook dwangsommen volgen die dienen om de noodzakelijke maatregelen af te dwingen. Dat betekent dat er geen vast bedrag voor een overtreding bestaat maar dat de kosten om datalekken te voorkomen uiteindelijk hoe dan ook gemaakt moeten worden en dat het een partij die daar onderuit probeert te komen aanzienlijk duurder uit is dan een partij die zijn verantwoordelijkheid vrijwillig neemt.

Exact, daarom heb ik de keuze gemaakt om met deze opbouw te komen. Wanneer ik met een voorstel kom waarmee de hele organisatie op zijn kop wordt gezet, dan weet ik nu al met zekerheid te zeggen dat alles blijft zoals het is. Ik zie dit als een eerste stap.

Het model is overigens gebaseerd op de praktijksituatie van een nabijgelegen ziekenhuis. Ik heb contact met de CISO en de Security Manager aldaar om inspiratie op te doen. Inmiddels heb ik ons management zover gekregen dat we over twee weken bij het betreffende ziekenhuis gaan "buurten" om de visies t.a.v. security met elkaar te delen.