Backup programma van zorgverlener

USB Stick sowieso eerst encrypten lijkt me verstandig.

Waarschijnlijk ga je een hele rits aan backup software of cloud krijgen. Maar als dat gehackt wordt? Zo kan je eindeloos door blijven gaan.

Ik zou het bij de USB houden, beveiligd met een wachtwoord. Simpel en niemand kan er (online) bij

Is dat programma eigendom / 'in beheer' van je vriendin (als ZZP'er), of van de organisatie waar ze voor werkt? Als dat laatste het geval is, zijn zij ook degene die de backup regelen. Als ze zelf die applicatie dient te beheren, zou ik inderdaad gaan voor een (Bitlocker?) encrypted USB-stick. Bewaar de stick niet in de buurt van je laptop en bewaar de unlock-key voor de encryptie niet in de buurt van de USB-stick, en je bent een heel eind

Lijkt me toch wel dat die zorgverlener waarvoor ze werkt precies heeft uitgewerkt wat ze mag doen met dergelijke patiëntgegevens, en hoe ze deze dient te 'beveiligen'. Dat gaat niet zozeer over het omgaan met de data voor het dagelijks werk, maar ook het opslaan van data in backups. Dat laatste kan mogelijks niet eens toegelaten zijn vanuit de zorgverlener, en ben je mogelijks verplicht om data na x tijd te verwijderen van alle media dragers.

Mijn keuze zou zijn op het ergens op een NAS oid op te slaan.... bij voorkeur niet thuis, maar elders, waarmee brand en inbraak op de eigen locatie afgedekt zijn.

Waar je nog geen antwoord op hebt gegeven is de vragen van @ralpje en @Ravefiend : is het maken van een backup niet primair de taak van de eigenaar van het pakket (waarbij je je sowieso al moet afvragen of je die software (en de bijbehorende data) moet (of mag) installeren op de eigen hardware van een derde persoon die je voor 'een klus' hebt ingehuurd).

Zorg gewoon dat je een degelijke backup applicatie gebruikt die je backups automatisch encrypt. Bijvoorbeeld Duplicati. Verder een cloud-storage kiezen die voldoet aan NEN 7510:2017, en daar ook een verwerkersovereenkomst mee sluiten. Volgens mij zit je dan wel gecovered?

Ik begrijp dat mensen het liefst zien dat zulke gevoelige data volledig offline gehouden worden, maar ik ben bang dat het zoekraken van een USB-stick die je dagelijks mee moet nemen naar een off-site locatie, een veel realistischer scenario is dan dat er ingebroken zou worden in je cloud omgeving.

Ik heb nogal mn twijfels of het de bedoeling is dat personeel patientgegevens op hun privé devices opslaat. Als je vriendin slim is stemt ze dit in elk geval af met de security officier van het bedrijf, zeker nu de AVG van kracht is.

Ik ken een overheidsorganisatie waar iemand is weggetrapt omdat hij het wel handig vond om een kopie van een persoonsregister van honderdduizenden burgers op een USB stick te zetten, voor wanneer hij eens thuis wilde werken.

Voor opslaan in een cloudomgeving hebben veel organisaties ook richtlijnen of zelfs harde regels, bijvoorbeeld dat deze cloud zich binnen de EU bevindt.

Het is niet de bedoeling dat je vriendin zelf backups maakt van patientgegevens en daarbij dus ook zelf kiest waar dit gebeurt. Stel je voor dat iedere werknemer zelf backups gaat maken bij telkens weer een andere cloud-dienst. Dat gaat op zoveel punten mis.Het bedrijf zelf kan dan geen enkele garantie meer geven aan clienten waar hun data staat en wie er allemaal toegang toe heeft.

De zorgverlener hoort naast een IT/Security afdeling ook een Data Protection Officer te hebben. Beide zouden moeten kunnen adviseren hoe ze hier mee om kan gaan en op zo'n manier dat het aansluit bij wat de rest van het bedrijf doet. Mijn advies is dus om niet zelf creatief te gaan doen

Fugitive2008 schreef op vrijdag 1 februari 2019 @ 17:12:
[...]


Het is in het beheer van mijn vriendin het duurde even voordat ik het antwoord hierop had. Denk dat een cloud omgeving met de data encrypted er op de beste oplossing is.

Even chargeren. Jou vriendin werkt als ZZP-er in de zorg, en doet dat momenteel voor Zorgeverlener X. Zij heeft een (eigen) laptop waarop zij patientgegevens opslaat. Daarvan moet een back-up worden gemaakt.
En wat nu als zij weggaat bij Zorgverlener X, en gaat werken voor Zorgverlener Y? Wat gebeurd er dan?

In plaats van bedenken HOE zij moet backuppen, zou ik bovenstaande nog eens goed doordenken en daar de AVG op los laten.

Ik, als potentieel patient, vraag me op dit moment af: Waarom geeft Zorgverlener X (of Y, of Z) mijn data aan een particulier?
Want (mijns inziens) is dat ongeveer wat er gebeurd... patientdata staat op de privélaptop van je vriendin (of heeft die nog een andere laptop, om 's avonds op te surfen, mailen en chatten?) en er is eigenlijk niets vastgelegd over beveiliging tegen verlies of diefstal... en die data kan (desnoods uit die backup) zo naar een andere zorgverlener.

Jester-NL schreef op woensdag 6 februari 2019 @ 09:27:
[...]
In plaats van bedenken HOE zij moet backuppen, zou ik bovenstaande nog eens goed doordenken en daar de AVG op los laten.

Dat is ook mijn eerste gedachte! Jouw vriendin zou zich niet eens druk hoeven te maken hierover en al helemaal niet prive apparatuur gebruiken om deze gegevens op te slaan als deze laptop/device niet 100% encrypted is.

Heel goed dat zij over een backup zelf nadenkt maar ze kan ook problemen krijgen door haar acties dus ik zou idd het probleem (met evt gevolg) neerleggen bij haar opdrachtgever zodat zij niet verantwoordelijk is als er zaken fout gaan.

Succes :-)

cripto schreef op woensdag 6 februari 2019 @ 09:11:
De zorgverlener hoort naast een IT/Security afdeling ook een Data Protection Officer te hebben. Beide zouden moeten kunnen adviseren hoe ze hier mee om kan gaan en op zo'n manier dat het aansluit bij wat de rest van het bedrijf doet. Mijn advies is dus om niet zelf creatief te gaan doen

Maar het advies staat wel ja: check bij de opdrachtgever. De vriendin werkt onder hen, de instelling is verantwoordelijk. (Er van uitgaande dat er geen verwerkersovereenkomst is getekend tussen instelling en vriendin, maar 'slechts' opdracht en geheimhouding o.i.d.). Zie ook @Jester-NL hierboven. De instelling zou moeten zeggen: niets eigen laptop, hier heb je een door ons ingerichte en beheerde laptop.

Technisch, mocht de instelling geen idee hebben: zowel laptop volledig versleutelen (!), als backups, meervoud, end to end versleuteld in de cloud of (alleen als inrichting en beheer veilig kan) prive-NAS. Als cloud, doe er dan een die 100% Europees is om gedoe met de EU-US privacy shield voor te zijn. En inderdaad wachtwoorden niet in de buurt van laptop oid opslaan.

Edit: misschien goed als je de concrete verhouding tussen vriendin en instelling beschrijft. "werkt als zzper voor een zorgverlener" kan je namelijk verschillend uitleggen. Eventueel heel basaal: gaat haar factuur naar de cliënt of naar de zorgverlener?

[ Voor 8% gewijzigd door F_J_K op 06-02-2019 09:43 ]

Dus alle adviezen hier worden gewoon in de wind geslagen.. Zoals gezegd: Ga navraag doen bij die zorgverlener!

Dat programma is in eigen beheer zeg je, maar waar komt al die data vandaan dan? Dat wordt niet geïmporteerd lijkt me, want dan heb je niet altijd de actuele gegevens. Dus die data komt dan toch gewoon van de server van de zorgverlener af? Dan lijkt back-uppen me niet de taak van je vriendin maar de taak van de zorgverlener.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 09:56:
- Ik heb gisteren haar usb stick waarnaar ze haar spullen backupped ge-encrypt.

Je bent de laptop vergeten.
Eerste point of failure is nou eenmaal de diefstal van de laptop...

Dus, zoals iedereen zegt: neem contact op met de opdrachtgever EN huur een professional

[ Voor 13% gewijzigd door DJMaze op 06-02-2019 10:21 ]

Fugitive2008 schreef op woensdag 6 februari 2019 @ 09:56:
Ja dat zijn idd wel interessante stellingen. Ik vind het zelf ook heel lastig en ook voor haar is het niet makkelijk hier een passende oplossing voor te vinden.
Haar laptop die ze gebruikt om patiënten data te verwerken (behandelplannen etc te typen) wordt ook gebruikt om thuis te surfen etc.

Gisterenavond heb ik het volgende gedaan:

- Haar wachtwoorden heb ik aangepast zodat deze niet bestaan uit makkelijke nummers of woorden die iedereen kan verzinnen maar redelijk random letters, tekens en cijfers.

Wat bedoel je met "redelijk random"? Bestaat er überhaupt zoiets? Haar passwordmanager zou gewoon volledig random wachtwoorden moeten genereren. Zelf wachtwoorden verzinnen is een hele grote NO.

- Ik heb gisteren haar usb stick waarnaar ze haar spullen backupped ge-encrypt.
- Betaalde internet security geïnstalleerd.

Goed Bezig. Vergeet daarnaast niet ook je te verzekeren dat de laptop zelf full disk encryption heeft, en maak aparte gebruikersaccounts voor privé en zakelijk gebruik die géén admin rechten hebben.

- Account bij MEGA cloud aangemaakt (nog niks opgeslagen daar) deze zitten in Nieuw Zeeland maar twijfel even om bv Nextcloud te kiezen ivm privacy redenen alleen kom er niet goed achter of er een redelijke prijs aan hangt aangezien het begint bij 1900e voor 50 personen.

Uhm. MEGA? Weet je dat héél zeker? Dit is zo'n beetje de meest omstreden cloudhosting partij die je maar kunt verzinnen...

Ik zou eerst eens in Nederland zelf kijken, Zoals STACK van TransIp, of bij de buren, Strato HiDrive (hoewel die misschien weer niet aan NEN 7510 voldoen).

Nextcloud is verder geen cloudhosting dienst, maar cloudhosting software. Wil je dat gebruiken, dan zul je zelf nog een hostingprovider moeten zoeken die dat aanbiedt of waar je het zelf kunt installeren, waarbij je uiteraard weer moet letten op de nodige certificeringen en verwerkersovereenkomst.

Je kunt op één STACK meerdere gebruikersaccouns maken zodat verschillende mensen hun eigen privéstack hebben. Dus theoretisch zou dat kunnen. In de praktijk ben jij als beheerder dan wel verwerker van de data, en je moet je afvragen of je daarop zit te wachten (ook wbt je ext trouwens).

Ik neem voor het gemak even aan dat ze windows gebruikt. Dan is full disk encryptie vrij makkelijk, namelijk bitlocker aanzetten. Alleen voor zover ik weet (ben zelf geen windowsfan) kan dat alleen met de wat duurdere windows-licenties (professional of zo).
Afhankelijk van hoe het programma in kwestie werkt kun je misschien de database daarvan op een encrypted medium zetten, maar zo niet dan zit er weinig anders op.

Verder ben je zo te zien gewoon goed bezig, Rome is idd niet in één dag gebouwd en iedere stap die je neemt is al beter dan niks doen.

[ Voor 8% gewijzigd door mcDavid op 06-02-2019 10:44 ]

Ik zou deze vraag 100% bij haar opdrachtgever neerleggen.
Zij moeten hier richtlijnen én concrete oplossingen voor hebben.

Zelf gaan lopen prutsen is een redelijke garantie op ellende.

Laptop: Encrypten (nee.... niet Veracrypt, gewoon Bitlocker. Het is voor je vriendin. Geen Bitlocker, dan is er een verkeerde versie Windows op het beestje geinstalleerd). Inderdaad twee accounts, een zakelijk en een privé (alhoewel het ding eigenlijk gewoon NIET gegebruikt moet worden voor privé).

Waarom wil je in vredesnaam je backup onderbrngen bij dezelfde club als waar allerlei meisjes tegen hun wil gedeeld worden en waar de FBI al jaren bij wil binnenkijken... en dat ook nog ergens aan de andere kant van aardbol? Wat is er verkeerd aan Europese wetgeving (waar je toch aan moet voldoen) en in Nederland staande servers.

En ik gooi het je nog een keer voor je voeten... WAAROM zou je het werk van de club waar je vriendin momenteel haar tijd aan verhuurt willen doen? Betalen ze haar (of jou) extra voor het beveiligen van hun data? Wordt haar laptop vergoed? Waarom moet HUN data (die zij dienen te beschermen) dan op de privé-laptop van je vriendin opgeslagen, en moet zij het beschermen?

DJMaze schreef op woensdag 6 februari 2019 @ 10:17:
[...]

Je bent de laptop vergeten.
Eerste point of failure is nou eenmaal de diefstal van de laptop...

Dus, zoals iedereen zegt: neem contact op met de opdrachtgever EN huur een professional

Je reageert weer niet op deze vraag, en gaat enkel door over de oplossing welke je nu voor ogen hebt. Ik zou zelfs geneigd zijn aan de hand van je topic een datalek te melden. Op een privé laptop welke geen enkele vorm van veiligheid garandeert en vooral niet gehandhaafd kan worden.. dat is echt een no-go.

Precies.

Sterker nog, in dit soort gevallen is het niet heel raar dat haar opdrachtgever een laptop ter beschikking stelt, die geheel volgens hun company policy is ingericht en gebackupt word.

Of, ze bieden een remote werkplek aan, waardoor er in het geheel geen gegevens op de laptop staan. Citrix Receiver, VMWare Horizon Client, etc, en verbinden met hun omgeving. Zoiets kan wel op een privé laptop, maar wil je alsnog 2FA op hebben.

Ik denk dat een aantal mensen hier best wel een toontje mogen dimmen. Ben het er helemaal mee eens dat een opdrachtgever (zeker in de zorg) bebpaalde richtlijnen zou moeten hebben, maar als ZZP'er heb je ook je eigen verantwoordelijkheid, bijvoorbeeld voor je eigen apparatuur. Tenzij daar specifieke contractuele afspraken over zijn, heb je dat gewoon zelf te regelen en daarbij ook de beveiliging zelf te doen.

De praktijk is helaas weerbarstig, veel mensen hebben geen flauw benul dat ze uberhaupt over data-security na zouden moeten denken, ook in de zorg. Dat TS (en met name zijn vriendin dan) hier wel toe bereid zijn is al een heel belangrijke eerste stap. Dus laten we vooral constructief blijven om daarbij te helpen.

unezra schreef op woensdag 6 februari 2019 @ 11:01:
Sterker nog, in dit soort gevallen is het niet heel raar dat haar opdrachtgever een laptop ter beschikking stelt, die geheel volgens hun company policy is ingericht en gebackupt word.

Maar dat mag niet volgens de wet, want dan ben je niet "ZZP'er" maar in dienst (DBA wet).

https://www.salarisnet.nl...edianet-approve-cookies=1

De opdrachtnemer zorgt zelf voor gereedschappen, hulpmiddelen en materialen en betaalt daar ook zelf voor.

Het is dus allemaal wat complexer dan je denkt.

[ Voor 5% gewijzigd door DJMaze op 06-02-2019 11:17 ]

mcDavid schreef op woensdag 6 februari 2019 @ 11:11:
Ik denk dat een aantal mensen hier best wel een toontje mogen dimmen. Ben het er helemaal mee eens dat een opdrachtgever (zeker in de zorg) bebpaalde richtlijnen zou moeten hebben, maar als ZZP'er heb je ook je eigen verantwoordelijkheid, bijvoorbeeld voor je eigen apparatuur. Tenzij daar specifieke contractuele afspraken over zijn, heb je dat gewoon zelf te regelen en daarbij ook de beveiliging zelf te doen.

In mijn beleving heeft de opdrachtgever de plicht een veilig gebruik van data te faciliteren én richtlijnen te hebben op dit gebied. Zij zijn eigenaar van de data, niet de ZZPer die in opdracht werkt.

Ook hebben zij specialisten op databeveiliging in dienst en zo'n ZZPer niet.

Dus nee, de verantwoordelijkheid van richtlijnen en faciliteiten liggen bij de opdrachtgever, het naleven en uitvoeren d'r van bij de uitvoerder / ZZPer.

De praktijk is helaas weerbarstig, veel mensen hebben geen flauw benul dat ze uberhaupt over data-security na zouden moeten denken, ook in de zorg. Dat TS (en met name zijn vriendin dan) hier wel toe bereid zijn is al een heel belangrijke eerste stap. Dus laten we vooral constructief blijven om daarbij te helpen.

Vandaar dus terug naar de opdrachtgever.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 11:05:
[...]
En waarom dreigen met het melden van een datalek, ik snap je punt erg goed maar laten we tot een oplossing komen dat het wordt weggewerkt toch daarvoor ben ik hier.

[ Voor 4% gewijzigd door ANdrode op 06-02-2019 11:22 ]

@unezra daarvoor is de verwerkersovereenkomst.
Opdrachtgever moet vertrouwen hebben in de ZZP'er (of wie dan ook), dat er zorgvuldig wordt omgegaan met hun data.
Opdrachtgever blijft verantwoordelijk, maar als een derde partij (zoals de ZZP'er) de data lekt, lopen beide een deuk op.

DJMaze schreef op woensdag 6 februari 2019 @ 11:13:
[...]

Maar dat mag niet volgens de wet, want dan ben je niet "ZZP'er" maar in dienst (DBA wet).

https://www.salarisnet.nl...edianet-approve-cookies=1

[...]

Het is dus allemaal wat complexer dan je denkt.

Zoals ik interpreteer mag wat ik voorstel gewoon.
Er staan namelijk enkel "dragen bij aan" niet "als opdrachtgever middelen ter beschikking stelt en richtlijnen af dwingt *is* er sprake van een dienstverband".

In geval van zoiets als zorg, waar dataveiligheid een gigantisch groot goed is, kan ik me voorstellen dat de wetgever anders om gaat met faciliteiten dan wanneer er geen medische gegevens in het spel zijn.

DJMaze schreef op woensdag 6 februari 2019 @ 11:13:
[...]

Maar dat mag niet volgens de wet, want dan ben je niet "ZZP'er" maar in dienst (DBA wet).

https://www.salarisnet.nl...edianet-approve-cookies=1

[...]


Het is dus allemaal wat complexer dan je denkt.

Nou nou, zo zwart-wit is dit punt zeker niet hoor. ZZP'er is -in principe- verantwoordelijk voor zijn eigen materieel, maar kán dit ook anders regelen. Zeker als het om specialistische software of regelingen gaat die je puur voor één van je klanten nodig hebt is het niet ongewoon dat deze door de partij ter beschikking worden gesteld. Dit is overigens ook tussen bedrijven niet abnormaal.

Garyu schreef op woensdag 6 februari 2019 @ 11:23:
[...]

Nou nou, zo zwart-wit is dit punt zeker niet hoor. ZZP'er is -in principe- verantwoordelijk voor zijn eigen materieel, maar kán dit ook anders regelen. Zeker als het om specialistische software of regelingen gaat die je puur voor één van je klanten nodig hebt is het niet ongewoon dat deze door de partij ter beschikking worden gesteld. Dit is overigens ook tussen bedrijven niet abnormaal.

Juist.

En het kan zo simpel zijn als een remote toegang tot een virtuele desktop bij die opdrachtgever.

Wij doen dit ook met onze leveranciers, in fact, zij mogen *geen* data van ons op hun systemen hebben staan, alles gebeurt remote en op onze infra. Natuurlijk is er ook een verwerkingsovereenkomst om te borgen dat zij verder niets met die data doen.

Of die leveranciers ZZPer zijn of niet maakt hierin niet uit.

DJMaze schreef op woensdag 6 februari 2019 @ 10:17:
[...]

Je bent de laptop vergeten.
Eerste point of failure is nou eenmaal de diefstal van de laptop...

Dus, zoals iedereen zegt: neem contact op met de opdrachtgever EN huur een professional

Wat kan VeraCrypt niet dat je een 'professional' nodig hebt?

Fugitive2008 schreef op woensdag 6 februari 2019 @ 13:09:
[...]


Ze meldde mij dat ze eigen opdrachtgever is waarbij ze ingehuurd wordtv door clienten, ze heeft een programma aangeschaft waarin ze zelf haar patiëntendata beheert.
Evt data van een bedrijf wordt online beheert op een beveiligd netwerk.
Dit stond dus verkeerd in de topic start waarvoor mijn excuses.
Dit betekent denk ik dus ook dat ze zelf haar backups en privacywaarborging moet regelen.

Ga dan een partij zoeken die de functionaliteit aanbied via een SaaS oplossing. Ze is zelf duidelijk niet in staat om fatsoenlijk met medische gegevens om te gaan en heeft niet de middelen om professionele hulp in te schakelen.

Deze data moet volledig encrypted zijn opgeslagen op welk moment dan ook. Een laptop zonder encryptie is echt uit den boze, dat kan gewoon simpelweg niet. Daarnaast een goedkope cloud provider uitzoeken in het buitenland is ook absoluut niet de bedoeling, wie zegt dat die data überhaupt het land mag verlaten? En weet je aan welke eisen de partij moet voldoen die de data voor jou gaat opslaan?

Fugitive2008 schreef op woensdag 6 februari 2019 @ 11:05:
En waarom dreigen met het melden van een datalek, ik snap je punt erg goed maar laten we tot een oplossing komen dat het wordt weggewerkt toch daarvoor ben ik hier.

Op dit moment wordt er ontzettend onzorgvuldig omgegaan met zeer vertrouwelijke data. Dat is meer dan genoeg reden om een melding te maken. Sterker nog, wat mij betreft zouden zulke ZZP'ers allang niet meer in de zorg mogen werken aangezien ze duidelijk het vertrouwen van cliënten ernstig beschadigen.

[ Voor 20% gewijzigd door Tsurany op 06-02-2019 15:01 ]

Stap 1. Laptop met Windows 10 professional, bitlocker aanzetten en de recovery key uitprinten en ergens anders bewaren dan bij de laptop.

Stap 2. Externe HDD met encryptie software erop. (Worden kant en klaar geleverd.)

Done.

[ Voor 7% gewijzigd door Nopheros op 06-02-2019 15:15 ]

Fugitive2008 schreef op woensdag 6 februari 2019 @ 15:23:
[...]


Ok begrijp je punt maar een icter kan niet de handelingen doen die zij doet en zij is geen icter en daarvoor zoeken we nu een oplossing. Kan je niet iets meer in die richting een oplossing zoeken dan aangeven dat ze fout zit en niet meer haar werk moet doen.
Maar hier wordt alleen maar aangegeven dat ze fout zit. Dat weten we inmiddels dus zoeken we naar een oplossing hiervoor.
Succes met zoeken naar de mensen die haar werk doen en volledig alles op orde hebben zoals jij zegt. Er komen helaas misschien in jou ogen meer zzpers in de zorg dus dit probleem wordt alleen maar groter lijkt me, aangezien joop klaas erika 0 verstand hebben van ict zaken maar gigantisch veel verstand van het beroep wat ze uitoefenen.
Vind het jammer dat hier op wordt blijft gehamerd.
Ik zoek een oplossing niet een continue rant van wat voor een minkukel ze is in de ogen van een aantal dat weet ik inmiddels en ze is zich volledig hierop aan het aanpassen door er iets mee te gaan doen.

Wat je nu misschien even moet doen is je vraagstelling up-to-date brengen met *alle* relevante data, en vervolgens aangeven wat je nu aan ideeën hebt en gaat doorspreken met je meisje.
Daarbij (en dat is eigenlijk de belangrijkste schakel) zal je ook met haar moeten overleggen hoe zij zelf zal moeten gaan werken, en wat de risico's zijn van zich daar niet aan houden...

Sla ook even de AVG erop na. Voor medische gegevens gelden nog strengere regels. Daar staat ook in aan welke regels het opslaan van de gegevens moet voldoen. Boetes zijn niet de lulligste als er wat gebeurd.

Opslaan op jou stack account mag bijvoorbeeld al niet aangezien jij daar dan bij kan.


https://www.autoriteitper...d/zorgverleners-en-de-avg

Of je een USB-stick of externe HDD gebruikt, maakt in feite niet uit. Het is beiden een extern medium met grofweg dezelfde risicofactoren. Wat VeraCrypt betreft: zo veilig als een huis, maar een backupprogramma dat je backups automatisch encrypt lijkt me praktischer. Dat kun je dus overwegen om het allemaal wat makkelijker te maken.

Ook moet je de afweging maken of je nu wilt backuppen naar de cloud, of naar een eigen medium, of allebei. Daarbij kunnen verschillende dingen meespelen, zoals gebruiksgemak, redundantie, etc.
Persoonlijk backup ik puur naar de cloud, omdat dat gewoon het makkelijkst is (gebeurt zelfs automatisch door mijn backup programma) en het minste risico heeft op kwijtraken of vergeten van de backup.

Wellicht een compleet andere oplossing:

Huur een virtuele desktop, bij een partij die daarin gespecialiseerd is én verantwoordelijk is voor de data. Dan hoeft er geen data lokaal te staan en zijn backups en dergelijken meteen geregeld.

Overigens, @Fugitive2008 , het siert je/jullie dat je in elk geval hier informeert en advies vraagt, in plaats van te denken dat het allemaal wel losloopt.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 15:56:
[...]


Yes tnx hier ga ik ook mee aan de slag maar er is nu niet meer info dan ik al heb gepost, moet het hier ook met haar persoonlijk over hebben om goed aan haar duidelijk te maken wat de bedoeling is met alle dingen die in dit topic worden benoemd.

Voorlopige stappen heb ik:

- Windows 10 op de laptop zetten en een separate laptop voor eigen gebruik gaan hanteren (of andersom als er maar op 1 van de 2 windows 10 staat.
- Een wachtwoord manager ga ik installeren.
- Heb een deelte van mijn cloud omgeving, Stack van TransIP, voor haar gereserveerd zodat ze daar evt spullen kwijt kan
- USB stick waar bestanden op staan gebackupped ge-encrypt met VeraCrypt dit wordt evt een externe hdd met encryptie.

Je hebt zelf overduidelijk de kennis niet en geen flauw idee welke eisen gesteld worden aan het opslaan/verwerken van (medische)persoonsgegevens. Ga niet zelf aan de slag denkende dat je wel weet wat je moet doen. Je hebt het hier wel over andermans medische gegevens, niet die van jezelf. Hoe zou jij het vinden als jouw dokter maar wat aanprutst met jouw dossier?

In verband met cloud opslag (waar je aan zat te denken) mag je ook wel eens nagaan of er volgens de NL wet wel patienten data/dossiers in het buitenland opgeslagen mogen worden zoals met Mega het geval zou zijn.

Daar kunnen nog wel eens bepaalde haken en ogen aan zitten, of zelfs een hard verbod en in dat geval zou je illegaal bezig zijn.

Tsurany schreef op woensdag 6 februari 2019 @ 17:32:
[...]
Je hebt zelf overduidelijk de kennis niet en geen flauw idee welke eisen gesteld worden aan het opslaan/verwerken van (medische)persoonsgegevens. Ga niet zelf aan de slag denkende dat je wel weet wat je moet doen. Je hebt het hier wel over andermans medische gegevens, niet die van jezelf. Hoe zou jij het vinden als jouw dokter maar wat aanprutst met jouw dossier?

Hard en scherp gesteld, maar je hebt wel 100% gelijk.

Het gaat niet om NAW gegevens, het gaat om medische gegevens en de boetes zijn absoluut niet mals op dit gebied.

Dit:
https://www.solv.nl/weblog/boetes-bij-datalekken/21358

Sinds 2016 heeft de AP immers de bevoegdheid om boetes van maximaal € 820.000,-- of 10% van de jaaromzet op te leggen (artikel 66 Wbp en 23 lid 4 Wetboek van Strafrecht).

En gezien het om medische gegevens gaat, zullen ze daar absoluut niet mild mee om gaan. Dit zijn bedragen die het faillissement van TS' vriendin kan betekeken. (Ook omdat haar opdrachtgevers bij zoiets mogelijk het contract opzeggen en ze klaar is met ZZPer zijn.)

Dus nee, met dit soort dingen moet je geen risico's willen nemen.

EDIT:
Zie ook dit: https://www.dirkzwager.nl...-it-leverancier-verhalen/

En dan met name dit punt:

onvoldoende passende beveiligingsmaatregelen getroffen zijn (artikel 13 Wbp);

Daar ga je volledig nat als je hier zelf gaat zitten knutselen.

[ Voor 12% gewijzigd door unezra op 06-02-2019 18:27 ]

Fugitive2008 schreef op woensdag 6 februari 2019 @ 19:28:
Bedankt voor jullie reacties. Ik pretendeer niet er zelf iets vanaf te weten ik probeer alleen jullie advies en opmerkingen, die terecht zijn overigens, ter harte te nemen en die zo goed mogelijk om te zetten in een plan om de privacy waarborging te verbeteren. Maar wanneer ik blijf horen dat het slecht is en er met allemaal artikels wordt gegooid die er worden overtreden en evt boetes die kunnen worden uitgedeeld kan ik daar niet veel mee. Geef me dan een handvat waar ik terecht kan of een stap in de juiste richting volgens jullie.

Eens. Daarom eerst een paar stappen terug. Kun jij aangeven wat jouw vriendin precies doet. Voert zij een opdracht van een zorgdienstverlener uit, en heeft zij in die hoedanigheid contact met cliënten? Of benaderen cliënten haar en behartigt zij hun zaken?

Het antwoord op deze vragen duidt haar juridische positie en is daarmee mede bepalend voor haar verantwoordelijkheid en aansprakelijkheid inzake de bescherming van de persoonsgegevens van haar cliënten.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 19:28:
Bedankt voor jullie reacties. Ik pretendeer niet er zelf iets vanaf te weten ik probeer alleen jullie advies en opmerkingen, die terecht zijn overigens, ter harte te nemen en die zo goed mogelijk om te zetten in een plan om de privacy waarborging te verbeteren. Maar wanneer ik blijf horen dat het slecht is en er met allemaal artikels wordt gegooid die er worden overtreden en evt boetes die kunnen worden uitgedeeld kan ik daar niet veel mee. Geef me dan een handvat waar ik terecht kan of een stap in de juiste richting volgens jullie.

Dat is een indicatie dat jij er niks mee moet gaan doen maar dit aan een professionele partij over moet laten.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 20:04:
[...]
Bedankt voor je wat constructieve reactie allereerst. Cliënten benaderen haar en ze behartigd ook hun zaken. Ze werkt ook voor een grotere zorgverlener maar dat is geheel gescheiden en doet er voor dit probleem niet toe. (moet alles maar dan ook alles via een portal regelen)

Heeft ze al bij die zorgverlener gevraagd hoe het zit, waar ze aan moet voldoen, etc?

Dat is d'r startpunt denk ik, niet jij.

Killjoy schreef op woensdag 6 februari 2019 @ 21:26:
[...]
Als TS en vriendin zelf niet precies weten hoe de verhoudingen liggen, is het lastig om de juiste vragen aan de juiste partij te stellen. Dus laten we TS ff helpen om e.e.a. helder te krijgen.

Ja, maar even navraag doen bij die zorgverlener wat de eisen en richtlijnen zijn lijkt me de eerste stap.

Sterker nog, ik zou verwachten dat die zorgverlener zelf in de overeenkomst met de vriendin van TS zegt "hier moet je aan voldoen" en dat dus al in een contract vast ligt. Zeker als het een grotere zorgverlener is die gewend is met ZZPers te werken.

Dat gezegd hebbende ben ik dus benieuwd of dit inderdaad niet al in een overeenkomst vast ligt tussen die zorgverlener en de vriendin van TS.

Maar hoe dan ook lijkt me dat het startpunt, zij zijn opdrachtgever en het kan niet anders dan dat zij hier richtlijnen voor hebben die ook van toepassing zijn op inhuur.

Fugitive2008 schreef op donderdag 7 februari 2019 @ 09:48:
[...]
Wat ze voor die zorgverlener doet, doet er in deze niet toe.
Het gaat om haar eigen praktijk.

Klopt.
Maar het is niet haar data.

Er zou in principe een verwerkingsovereenkomst moeten zijn tussen haar en die zorgverlener. In zo'n verwerkingsovereenkomst, zouden ook richtlijnen moeten staan waaraan zij moet voldoen.

Fugitive2008 schreef op donderdag 7 februari 2019 @ 10:15:
[...]
Ok er zijn twee groepen cliënten die ze heeft:

1. Van haar eigen praktijk waarvoor ik deze vraag heb gesteld. Hiervoor moet dus een oplossing komen.
2. Van een zorgverlener maar daarvoor doet ze ALLES via een portal en die vallen dus buiten de vraagstelling. Daarvan wordt NIKS op haar eigen laptop of iets dergelijks opgeslagen.

Is het zo duidelijk?

Helder.

Volgende vraag:

Is ze aangesloten bij een branche organisatie? Heeft ze al contact gehad met partijen gespecialiseerd in het beveiligen van medische gegevens?

Wij kunnen met zijn allen heel veel verzinnen, maar dit gaat om dusdanig gevoelige data (ga ik vanuit), dat je hooguit een richtlijn kunt krijgen maar uiteindelijk moet zorgen dat de maatregelen in orde zijn bevonden door partijen die hier werkelijk ervaring mee hebben.

De uitdaging die je hebt is, het is één laptop.

Persoonlijk zou ik in dit geval neigen voor een gehuurde externe desktop, bij een partij waarmee een zinvol contract is afgesloten en geheel géén data op die laptop. De laptop als thin-client dus.

Ben je meteen verlost van het backup vraagstuk, beveiliging, etc.

Externe desktop gaat alleen werken als er zekerheid is van een goede en voldoende snelle verbinding. Als die zekerheid er is, dan zou ik dat inderdaad ook doen. Mits er geen win32 tools, speciale drivers zoals voor de UZI-pas, etc nodig zijn. Maar een NEN 7510 compliant externe desktop partij nemen betekent nog niet dat backups zeker en veilig zijn ingericht. (Ik zou zelf een backup liefst ook extern hebben, vanwege die verbinding, maar ook is een SaaS-escrow overeenkomst sluiten als eenpitter wat overkill).

Branche organisatie: https://www.actiz.nl/them...gelgeving/avg-en-nen-7510 en https://www.actiz.nl/thema/wet-en-regelgeving/privacy-en-avg

Werkplek: bijvoorbeeld https://www.internedservi...n-7510-kies-hybrid-cloud/ (eerste Google-hit, ik geef geen waardeoordeel over KPN / Internedservices al ben ik daar wel klant zeg ik voor full disclosure).

Edit: overigens goed dat jullie hier over nadenken en doorvragen

[ Voor 17% gewijzigd door F_J_K op 07-02-2019 10:38 ]

F_J_K schreef op donderdag 7 februari 2019 @ 10:30:
Externe desktop gaat alleen werken als er zekerheid is van een goede en voldoende snelle verbinding. Als die zekerheid er is, dan zou ik dat inderdaad ook doen. Mits er geen win32 tools, speciale drivers zoals voor de UZI-pas, etc nodig zijn. Maar een NEN 7510 compliant externe desktop partij nemen betekent nog niet dat backups zeker en veilig zijn ingericht. (Ik zou zelf een backup liefst ook extern hebben, vanwege die verbinding, maar ook is een SaaS-escrow overeenkomst sluiten als eenpitter wat overkill).

Klopt. Verbinding is essentieel maar het hoeft niet snel te zijn.
8/1MBit/s is meer dan zat voor een externe desktop, dat moet in mijn beleving zelfs in geval van nood over 4G kunnen. (Ook qua latency red je dat volgens mij wel. Nooit getest maar wel lang zelfs RDP op 2 schermen over een WiFi bridge gegooid. Dat werkte dusdanig prima, dat ik pas 3 jaar later eens de boel bedraad heb aangesloten. Da's dan nog RDP ook, niet een van de meest efficiënte protocollen.)

En inderdaad, alsnog moet je zorgen voor goede afspraken over backups, etc, maar die zijn te maken. Je verlegt vooral ook de verantwoordelijkheid en aansprakelijkheid, plus je kunt er altijd en overal bij.

Gaat de laptop kapot? Jammer. Nieuwe laptop en gaan, zonder dataverlies.

Ik zie best wat voordelen.

Fugitive2008 schreef op donderdag 7 februari 2019 @ 10:31:
[...]
Kun je een voorbeeld hiervan noemen, wil niet zeggen dat we dat gaan doen maar om een idee te krijgen

Even heel snel gegoogled, zelf geen ervaring mee:
https://www.ovh.nl/cloud/cloud-desktop/

Keywords: VDI desktop huren

Ik ken wel een paar partijen, maar ik weet niet of die niet een minimale afname hebben. (WSB Solutions in Hardinxveld-Giessendam is bijvoorbeeld een partij gericht op het MKB die je eens zou kunnen bellen.)

Geen idee wat de kostprijs is, ik weet dat wij (voor een groter aantal, dat wel), richting de €100 - €150 per maand per desktop gaan.

Prima. Zelfstandig verwerkingsverantwoordelijk dus. Betekent dat jouw vriendin inderdaad zelf de zaken moet regelen. Ik zie hierboven al prima tips over de ICT invulling.

Verder is het handig om even te kijken welke visie de Autoriteit Persoonsgegevens heeft op verwerking van persoonsgegevens in de zorg. Maakt het ook makkelijker om te praten met een brancheorganisatie. https://autoriteitpersoon...nl/onderwerpen/gezondheid

Verder hier nog tips over wat er in zijn algemeen geregeld moet worden door een kleine ondernemer:
https://avgvoorhetmkb.nl/
https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom

Fugitive2008 schreef op donderdag 7 februari 2019 @ 10:54:
[...]
Erg bedankt allen voor de tips hier gaat ze en ik mee aan de slag!

Wellicht heel stomme vraag maar kan je op zo een VDI eigen software draaien?

Hangt van de exacte implementatie af.

Dus iets om tevoren te checken met de leverancier. Voor deze situatie lijkt me dat wel handig. Blijf dan wel oppassen dat ze er geen spyware en andere ellende op installeert. (Plus, in dat soort gevallen is zij wel verantwoordelijk voor het inhoudelijk beheer van die machine.)

Aan de andere kant denk ik dat een volledig beheerde desktop wat overkill is én mogelijk een stuk duurder dan een eigen beheerde virtuele desktop.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 19:28:
Bedankt voor jullie reacties. Ik pretendeer niet er zelf iets vanaf te weten ik probeer alleen jullie advies en opmerkingen, die terecht zijn overigens, ter harte te nemen en die zo goed mogelijk om te zetten in een plan om de privacy waarborging te verbeteren. Maar wanneer ik blijf horen dat het slecht is en er met allemaal artikels wordt gegooid die er worden overtreden en evt boetes die kunnen worden uitgedeeld kan ik daar niet veel mee. Geef me dan een handvat waar ik terecht kan of een stap in de juiste richting volgens jullie.

Ik vind je berichten sympathiek en bescheiden. Ik heb al je berichten in dit topic een duim omhoog gegeven. Want ik heb veel bewondering voor je verantwoordelijkheidsgevoel en doortastendheid bij dit probleem. Als iedereen die betrokken is bij de zorg, deze inzet zou tonen, zou er al veel gewonnen zijn op het gebied van privacy-bescherming voor patiënten.

Inschakeling van een ICT-bedrijf kan soms verstandig zijn, maar is helaas niet altijd een garantie voor betaalbare, hoogwaardige en betrouwbare dienstverlening. Het is daarom hard nodig dat zorgverleners en zorginstellingen ook zelf inzicht hebben in ICT-beveiliging en privacy-bescherming.

Fugitive2008 schreef op woensdag 6 februari 2019 @ 09:56:
Ja dat zijn idd wel interessante stellingen. Ik vind het zelf ook heel lastig en ook voor haar is het niet makkelijk hier een passende oplossing voor te vinden.
Haar laptop die ze gebruikt om patiënten data te verwerken (behandelplannen etc te typen) wordt ook gebruikt om thuis te surfen etc.

Gisterenavond heb ik het volgende gedaan:

- Haar wachtwoorden heb ik aangepast zodat deze niet bestaan uit makkelijke nummers of woorden die iedereen kan verzinnen maar redelijk random letters, tekens en cijfers.
- Ik heb gisteren haar usb stick waarnaar ze haar spullen backupped ge-encrypt.
- Betaalde internet security geïnstalleerd.
- Account bij MEGA cloud aangemaakt (nog niks opgeslagen daar) deze zitten in Nieuw Zeeland maar twijfel even om bv Nextcloud te kiezen ivm privacy redenen alleen kom er niet goed achter of er een redelijke prijs aan hangt aangezien het begint bij 1900e voor 50 personen.

Mijn god, dus als jouw vriendin mij toevallig als patient had, dan moet ik me zorgen gaan maken omdat mijn medische gegevens opeens op een of andere wazige clouddienst in Nieuw Zeeland staan. Je begrijpt toch zelf ook wel dat dit allemaal niet kan!

Medische gegevens zijn EXTREEM GEVOELIG! Denk eens na wat er kan gebeuren als deze gegevens zouden uitlekken. Patienten kunnen worden uitgesloten van verzekeringen of zelfs geen baan meer krijgen. Of moeten zomaar veel meer premie voor bepaalde verzekeringen betalen. Sommige ziektes zijn ongeneeslijk, dus als deze gegevens eenmaal zijn gelekt kan iemand daar zijn leven lang last van houden.

Ik vind het diep triest dat jouw vriendin blijkbaar van jou afhankelijk is (en, by proxy, van het Tweakers forum) voor haar backups. Daar hoort een professionele partij naar te kijken, niet een stel hobbyisten! Je vriendin moet nagaan wat haar opdrachtgever heeft geregeld voor het bewaren van gegevens. Als zij zelf de opdrachtgever is, dan moet ze, als ze zelf niet voldoende verstand heeft van dit soort zaken, een professional inschakelen. Straks lekken er gegevens uit van een patient die daardoor geen baan meer kan krijgen en spant hij een rechtszaak aan voor gederfde inkomsten. Als je vriendin niet kan aantonen dat ze alles heeft gedaan om de gegevens voldoende te beschermen, dan gaat een rechter die claim toewijzen en kan ze haar hele leven betalen.

Het is een goede zaak dat je nadenkt over de beveiliging van medische gegevens, maar dit is echt werk voor een professional. Hier volstaat beslist geen accountje bij Mega of wat voor openbare dienst dan ook. Volgens mij zijn er bedrijven die zich hierin specialiseren, veel medisch dienstverleners zoals huisartsen zitten ook met dit soort problemen. Die willen zich niet bezig houden met computers en backups, dus huren ze daarvoor een bedrijf in dat dit op een verantwoorde manier regelt. Ik zou je vriendin dringend aanraden om eens bij zo'n bedrijf te informeren. Een externe vdi-desktop zoals eerder gesuggereerd lijkt me een goed begin, maar dan wel bij een partij die de beveiliging voldoende op orde heeft.

PhilipsFan schreef op donderdag 21 februari 2019 @ 02:36:
[...]
Ik vind het diep triest dat jouw vriendin blijkbaar van jou afhankelijk is (en, by proxy, van het Tweakers forum) voor haar backups. Daar hoort een professionele partij naar te kijken, niet een stel hobbyisten!

Nu doe je Tweakers tekort.

Ik ben het met je eens dat hier ook mensen buiten Tweakers naar moeten kijken, maar je vergeet dat er juist op Tweakers heel veel mensen zitten die beroepsmatig met ICT bezig zijn en ook van dit specifieke aandachtsgebied verstand hebben.

Je vriendin moet nagaan wat haar opdrachtgever heeft geregeld voor het bewaren van gegevens. Als zij zelf de opdrachtgever is, dan moet ze, als ze zelf niet voldoende verstand heeft van dit soort zaken, een professional inschakelen. Straks lekken er gegevens uit van een patient die daardoor geen baan meer kan krijgen en spant hij een rechtszaak aan voor gederfde inkomsten. Als je vriendin niet kan aantonen dat ze alles heeft gedaan om de gegevens voldoende te beschermen, dan gaat een rechter die claim toewijzen en kan ze haar hele leven betalen.

Het is een goede zaak dat je nadenkt over de beveiliging van medische gegevens, maar dit is echt werk voor een professional. Hier volstaat beslist geen accountje bij Mega of wat voor openbare dienst dan ook. Volgens mij zijn er bedrijven die zich hierin specialiseren, veel medisch dienstverleners zoals huisartsen zitten ook met dit soort problemen. Die willen zich niet bezig houden met computers en backups, dus huren ze daarvoor een bedrijf in dat dit op een verantwoorde manier regelt. Ik zou je vriendin dringend aanraden om eens bij zo'n bedrijf te informeren. Een externe vdi-desktop zoals eerder gesuggereerd lijkt me een goed begin, maar dan wel bij een partij die de beveiliging voldoende op orde heeft.

Dat laatste spreekt voor zich.

Daar zit ook de crux, hoe veel wij hier met zijn allen ook deze materie begrijpen, wij zijn er niet verantwoordelijk voor. Daarom moet de vriendin van TS in eerste instantie bij haar opdrachtgever te rade gaan om te kijken wat zij eisen en daarnaast zelf zorgen voor een veilige opslag van data.

Genoemde VDI oplossing, is denk ik een van de betere. Het lost 3 problemen op:

- Dataveiligheid
- Beschikbaarheid
- Backups

Die 3 dingen kun je met een laptop nooit zo goed oplossen als een professionele partij die je een virtuele werkplek aan bied. Afhankelijkheid van je laptop is ook opeens een stuk minder. Iedere cheap-ass laptop met een client kan er mee werken. Gaat haar laptop stuk, hoeft ze maar één stuk software te installeren op een 2e hands laptop van €25,- en klaar is ze.

Het nadeel is, het is duurder. Maar ik denk dat, tot op zekere hoogte, dat geen factor mag zijn.

Ben wel benieuwd hoe het nu is afgelopen.
@Fugitive2008 zijn er al updates?

Let bij komen tot een overeenkomst op dat de partij zorgt dat er goede backups (meervoud) worden gemaakt. En bewaar los daarvan liefst ook zelf een offline backup. Een externe dienstverlener kan failliet gaan (en SaaS-escrow is misschien overkill).

Ga ook liefst naar een partij met NEN7510 (infobeveiliging in zorg) of tenminste NEN27001 (infobeveiliging) certificering.
Je het natuurlijk ook een verwerkersovereenkomst nodig met de nieuwe partij, waar expliciet in in staat dat er bijzondere persoonsgegevens gaan worden verwerkt.

PhilipsFan schreef op donderdag 21 februari 2019 @ 02:36:
Volgens mij zijn er bedrijven die zich hierin specialiseren, veel medisch dienstverleners zoals huisartsen zitten ook met dit soort problemen. Die willen zich niet bezig houden met computers en backups, dus huren ze daarvoor een bedrijf in dat dit op een verantwoorde manier regelt. Ik zou je vriendin dringend aanraden om eens bij zo'n bedrijf te informeren. .

Kleine kanttekeningen: er zijn heel wat prutsers bij de grote bureaus (ik heb er bizarre adviezen en testresultaten gezien van een big five consultancy club), en het is als niet-kenner moeilijk om te weten welke kleinere club goed kan helpen. Er zijn alleen al in NL heel veel meer dan 100.000 ZZP'ers in de zorg, nog excl. de kleine zorg-BV's etc. Zijn er genoeg goede partijen om hen 1op1 van advies te dienen voor een betaalbaar bedrag?

[ Voor 5% gewijzigd door F_J_K op 21-02-2019 08:40 ]

Fugitive2008 schreef op donderdag 21 februari 2019 @ 08:06:
[...]
@unezra Wederom bedankt voor je uitgebreide reactie waar ik iets mee kan! We zijn nu idd bezig met een VDI oplossing. (excuus dat ik geen update had geplaatst, was niet meer zo bezig met de vraagstelling op het forum maar meer met de uitwerking). Even wat aanvragen gedaan bij wat aanbieders en daar moeten we reactie van krijgen en wat privacy zaken vergelijken. Bedankt nogmaals voor alle reacties.

Tof om te horen dat je er volop mee bezig bent.
Ik dacht er opeens aan en vandaar dat ik je maar eens tagte om te vragen wat de status was. Ben ook gewoon oprecht benieuwd hoe het af loopt.

Mocht je een peer-review willen hebben van een of meerdere contracten, het is niet mijn specialisatie maar ik heb vaker contracten gereviewed en in de praktijk op momenten dagelijks te maken met leverancier selecties. (Wel op iets grotere schaal, mijn huidige werkgever is iets minder dan 40 FTE groot.) Voel je vrij om me een DM te sturen en te kijken hoe we het document bij mij kunnen krijgen. Spreekt voor zich dat ik zo'n document vertrouwelijk behandel.

Ik hoop dat je een goede partij vind die prijstechnisch interessant is en ook één enkele desktop aan kan bieden. Zelf ken ik wel een aantal partijen, ook 1 of 2 waar je ver weg van moet blijven. (Ik ga publiek logischerwijs geen namen noemen.) We zijn zelf bezig met een dergelijk traject, maar dan voor de complete ICT. In feite waar jij nu mee bezig bent, maar dan op wat grotere schaal. (Volledige outsourcing van onze eigen ICT.)

F_J_K schreef op donderdag 21 februari 2019 @ 08:29:


Let bij komen tot een overeenkomst op dat de partij zorgt dat er goede backups (meervoud) worden gemaakt. En bewaar los daarvan liefst ook zelf een offline backup. Een externe dienstverlener kan failliet gaan (en SaaS-escrow is misschien overkill).

Lijkt mij wel belangrijk, je moet altijd bij je data kunnen ook als de hut op de fles gaat.
Daar harde afsparken over lijkt me essentieel.

Ga ook liefst naar een partij met NEN7510 (infobeveiliging in zorg) of tenminste NEN27001 (infobeveiliging) certificering.
Je het natuurlijk ook een verwerkersovereenkomst nodig met de nieuwe partij, waar expliciet in in staat dat er bijzondere persoonsgegevens gaan worden verwerkt.

Goeie!
Partij moet daar van op de hoogte zijn én instemmen met de verantwoordelijkheid daar voor.

[...]
Kleine kanttekeningen: er zijn heel wat prutsers bij de grote bureaus (ik heb er bizarre adviezen en testresultaten gezien van een big five consultancy club), en het is als niet-kenner moeilijk om te weten welke kleinere club goed kan helpen. Er zijn alleen al in NL heel veel meer dan 100.000 ZZP'ers in de zorg, nog excl. de kleine zorg-BV's etc. Zijn er genoeg goede partijen om hen 1op1 van advies te dienen voor een betaalbaar bedrag?

Vertel mij wat.
Afgelopen jaren heel wat ellende voorbij zien komen.

Niet dat wij alles goed doen, alles behalve, maar dat wil niet zeggen dat ik niet kritisch ben en mag zijn op anderen. Plus dat ik ook vaker partijen tegen kom die zelf vinden dat ze een geweldige oplossing bieden waar ik zo het mijne van denk...

F_J_K schreef op donderdag 21 februari 2019 @ 08:29:


Let bij komen tot een overeenkomst op dat de partij zorgt dat er goede backups (meervoud) worden gemaakt. En bewaar los daarvan liefst ook zelf een offline backup. Een externe dienstverlener kan failliet gaan (en SaaS-escrow is misschien overkill).

Het is wel noodzakelijk om de gegevens in de offline backup te encrypten. Veel datalekken in de zorg worden juist veroorzaakt door verlies of diefstal van niet of slecht beveiligde datadragers.

Ga ook liefst naar een partij met NEN7510 (infobeveiliging in zorg) of tenminste NEN27001 (infobeveiliging) certificering.

Bij een ISO27001 gecertificeerde partij is het belangrijk om vooraf de scope van de certificering te weten. Die moet namelijk alle aspecten van de dienstverlening afdekken. Bij een SAAS aanbieder moeten bijvoorbeeld ook hosting, opslag, transport van data e.d. gedekt worden.[/quote]

Je het natuurlijk ook een verwerkersovereenkomst nodig met de nieuwe partij, waar expliciet in in staat dat er bijzondere persoonsgegevens gaan worden verwerkt.

plus afspraken over het melden van ernstige beveiligingsincidenten, datalekken e.d. Hoewel de meest marktpartijen waarschijnlijk werken met een redelijk gestandaardiseerd contract.

Killjoy schreef op vrijdag 22 februari 2019 @ 11:01:
[...]
Het is wel noodzakelijk om de gegevens in de offline backup te encrypten. Veel datalekken in de zorg worden juist veroorzaakt door verlies of diefstal van niet of slecht beveiligde datadragers.

Hangt er vanaf.
Wij maken gebruik van een externe dienst die onze tapes brengt, haalt en op slaat.

Dat is ruim veilig genoeg om data unencrypted op te slaan. Je wil ook in gevallen niet anders. Beheer wachtwoorden bijvoorbeeld, die wil je JUIST plaintekst op een stuk papier, veilig ergens op slaan.

Dus nee, het is niet in alle gevallen noodzakelijk.