3 Focuspunten informatieveiligheid gezondheidszorg

Tom Urbanus – Business Consultant

Hoe kunt u als zorginstelling informatieveiligheid en privacy de juiste focus geven? Vanuit de norm NEN 7510 worden heldere, strakke kaders aangereikt. Ook de overheid geeft sterke aanbevelingen over informatie veilig gedrag voor de zorgsector. Wat komt hier in de praktijk van terecht?

Informatieveilig gedrag. Hoe typeren we dat? De technische kant op orde brengen met IT-maatregelen is slechts één onderdeel. Het bewustzijn vergroten en het gedrag beïnvloeden van de medewerkers is uiteindelijk doorslaggevend. Want u als bestuurder binnen de gezondheidszorg heeft als voornaamste doel de menselijke factor van informatiebeveiligings- en privacy-risico’s beter kunnen beheersen. We gaan in deze blog in op drie punten die we binnen de gezondheidssector tegenkomen. Drie punten waarop meer focus mag komen.

 

Enorme druk op informatieveiligheid gezondheidzorg

Het digitaal vastleggen, raadplegen en uitwisselen van privacygevoelige, medische gegevens is afgelopen decennia vanzelfsprekend geworden. Hoe kunnen we tegelijkertijd de beschikbaarheid, integriteit en vertrouwelijkheid van die informatie – nu het allemaal ogenschijnlijk in de Cloud staat – garanderen? Het belang van informatiebeveiliging en privacybescherming is met de komst van verdergaande digitalisering, enorm gegroeid. We kennen allemaal de voorbeelden vanuit de media wel. Tegelijkertijd staat de zorg enorm onder druk door zowel de toenemende vraag als de krapte op de arbeidsmarkt. Informatiebeveiliging is al snel ‘het ondergeschoven kindje’. Wat is wel mogelijk en kunt u al bestuurder en zorgmanager met voorrang focus geven?

 

Kernteam met focus op informatieveiligheid

Een kernteam vormen is één van de aanbevelingen in de NEN 7510. Een team dat zich bezighoudt met informatieveiligheid. Wij maken als Business Consultants vaak onderdeel uit van het kernteam. Binnen dit team zijn verschillende functionarissen aangehaakt. Tenminste een bestuurder, een Functionaris Gegevensbescherming (FG), een Informatiebeveiligingsfunctionaris of Security Officer (SO) en de ICT-manager zijn vertegenwoordigd. Ook zien we steeds vaker een communicatieadviseur plaats nemen. Met onze kennis uit de praktijk helpen wij nieuwe en bestaande kernteams voor informatieveiligheid graag op weg met een drietal volgens ons essentiële focuspunten.

 

Punt 1: medewerkers als zwakste schakel bij informatieveiligheid

Verleg de focus meer naar bewustzijn. We komen in de praktijk dagelijks ziekenhuizen tegen waarbij de technische, IT-kant van de maatregelen op orde is. Of waar tenminste de aandacht hiervoor, voldoende aanwezig is. We zien tegelijkertijd dat menselijke kant – en dan hebben we het echt over informatie veilig gedrag – en de procesmatige kant achter blijft. Begrijpelijk omdat maatregelen concreet zijn en een groot gevoel van controle geven, toch blijft de medewerker altijd de zwakste schakel van informatiebeveiliging.

Ondanks de vele maatregelen en hiermee gepaard gaande hoge kosten, is 1 verkeerde klik van een medewerker genoeg om de hele organisatie plat te leggen. Binnen de gezondheidszorg in Nederland is dit risico nog groter omdat de menselijke kant sterker vertegenwoordigd is. Behulpzaam gedrag is binnen de gezondheidszorg natuurlijk gedrag. Het klikken op phishing mails of het ‘uitlenen’ van wachtwoorden gebeurt doorgaans ook veel vaker dan in andere sectoren.

Dit blijkt ook uit verschillende onderzoeken*. Inbreken van buitenaf door middel van social engineering is 99 van de 100 keer succesvol. Het risicobewustzijn bij medewerkers moet – nog steeds – sterk omhoog. Bestuurders, zorgmanagers, verpleegkundigen, arts-assistenten en medisch specialisten, vormen het grootste risico bij informatiebeveiliging in een zorginstelling.

De centrale vragen zijn daarom altijd ‘hoe zorgen we voor een bepaald basisniveau van bewust informatie veilig gedrag? Hoe zorgen we hiervoor bij nieuwe medewerkers? Hoe houden we dit bewustzijn bij bestaande medewerkers op peil?’  Het bewustzijn vergroten is een uitdaging, het bewustzijn vasthouden zo mogelijk een nog grotere. Met de tijd die enorm schaars is in de gezondheidszorg wil je bewustzijn vergroten waar zich de grootste risico’s bevinden. Een kernteam met de juiste focus vergroot de informatieveiligheid van de gehele (zorg)organisatie.

Punt 2: het beheren van toegang voor de flexibele schil

De beschikbaarheid van goede zorg staat flink onder druk door het personeelstekort en de toenemende vergrijzing. Steeds meer ziekenhuizen en zorginstellingen maken daarom gebruik van bijvoorbeeld ambulant verpleegkundigen. Deze flexibele schil binnen een ziekenhuis bekijken over de as van risico’s doen we als volgt.

” Heeft een ambulant verpleegkundige x die voor een bepaalde periode op Cardiologie werkzaam is en een maand later op de SEH nog steeds rechten tot het EPD op Cardiologie?” 

Het is belangrijk om als kernteam en als zorgmanager na te denken over deze vragen. Wie heeft wanneer rechten om bepaalde onderdelen van het EPD in te zien en te wijzigen. Het raakt de vertrouwelijkheid, de beschikbaarheid (verwijderen van gegevens) en de integriteit (zijn de gegevens juist?).

Een flexibele schil maakt het complex dit goed te beheren en te beheersen. Een autorisatiematrix (wie mag wat) zoals we die uit de NEN 7510 kennen, is hierdoor kwetsbaar voor fouten en geeft potentiële schijnveiligheid. Een autorisatiematrix staat mooi op papier, maar hoe wordt deze echt toegepast in de praktijk? Klopt het dan nog wel en heb je het wel echt goed geregeld. Welke risico’s voorkom je nog met een onjuiste in de praktijk doorgevoerde autorisatiematrix?

Misschien is het beter om de autorisatiematrix uit dit voorbeeld minder complex te maken en meer in te zetten op juist afspraken met medewerkers. Minder vertrouwen op de potentieel onjuiste inzet van technische maatregelen en meer vertrouwen op de integriteit van medewerkers. Juist dit zijn belangrijke afwegingen waarbij wij een kernteam adviseren en op basis van de risicohouding van de organisatie, de juiste keuzes laten maken.

Punt 3: integriteit als belangrijke derde pijler

De mate van risico’s en risicovol gedrag maken de maatregelen voor zorginstellingen en ziekenhuizen. In het kader van integriteit is het bijvoorbeeld van belang te bepalen hoe je bepaalde gegevens vastlegt in dossiers en wanneer je gegevens verwijderd of wijzigt. Aan dit deel van het bewustzijn, kun je als zorginstelling structureel nog meer werken. Naast de al meer gewone gedragsregels ‘vergrendel je scherm’ en ‘doe je deur dicht’ mag er meer aandacht komen voor de integriteit. Zeker gezien de aard van de dienstverlening, waarbij we heel erg moeten kunnen vertrouwen op de juistheid van de gegevens.

Binnen de gezondheidszorg gaat het nu vooral over de vertrouwelijkheid en beschikbaarheid van informatie. Gegevens mogen niet bij de verkeerde personen onder ogen komen. Systemen die moeten beschikbaar zijn op het juiste moment. De juistheid van informatie echter, is in de meeste gevallen nog onderbelicht. Je kunt beter geen systeem tot je beschikking hebben dan een systeem met foutieve gegevens toch? Dit is binnen de gezondheidzorg uiteindelijk wel cruciaal bij de zorgvraag. Het gaat tenslotte dan over gezondheid van mensen. Wij helpen de focus gericht te verbreden naar de integriteit van gegevens. Dit doen we bijvoorbeeld ook door trainingen.

 

Focus levert tijdswinst op voor de zorgbestuurder, manager, medische specialist én verpleegkundige

Met de juiste aandacht en focus voor informatiebeveiliging, maken we een goed systeem nog beter. Nederland heeft een goede gezondheidszorg. Onze op risico gebaseerde aanpak sluit juist hierop aan. U krijgt als bestuurder inzicht in wat de belangrijkste risico’s van uw zorginstelling zijn en maakt hiermee overwogen keuzes bij het inzetten van (schaarse) tijd en middelen. Bewuste keuzes die laten zien op een goede manier aandacht te geven aan informatieveiligheid. Onze aanpak helpt zorginstellingen aan duurzame oplossingen die uiteindelijk veel (kostbare)tijd besparen.

 

Tot slot; efficiënter werken integriteit?

Binnen de gezondheidszorg kunnen we een efficiencyslag maken door heel veel zaken die gegevensverwerking raken minder dubbel te doen. Dat heeft in de kern alles te maken met integriteit en vertrouwen. Het erop vertrouwen dat de bepaling die gisteren of door een ander is gedaan ook daadwerkelijk juist is. Het gaat dan om zowel machines als mensen. Denk hierbij ook aan de opkomende Persoonlijke Gezondheid Omgevingen (PGO’s). Als de gegevens die hier door de patiënt worden opgeslagen echt te vertrouwen zijn, besparen we veel tijd voor de patiënt maar ook voor de zorgverlener. In een volgend blog, besteden we hier meer aandacht aan.

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Privacy statement - Disclaimer - © 2024 BMGRIP