Informatieveiligheid aantoonbaar op orde

Tom Urbanus – Business Consultant

Verwachtingen richting gezondheidszorg

Diverse wetgevingen verseisen dat zorgaanbieders de veiligheid van bedrijfs- en persoonsinformatie aantoonbaar waarborgen. De Inspectie Gezondheidszorg en Jeugd (IGJ)  houdt hier toezicht op. Naar aanleiding van het onderzoek bij ziekenhuizen rondom ICT storingen bij ziekenhuizen is het vereist dat zij uiterlijk in 2023 aantoonbaar voldoen aan de NEN 7510 norm. Een manier om dit aan te tonen is door het behalen van een certificering. Dit geeft ziekenhuizen de mogelijkheid om de aantoonbare naleving van informatiebeveiliging te demonstreren. Het zal niet lang meer duren voordat ook andere zorginstellingen aantoonbaar moeten voldoen aan de NEN 7510 norm

Wat is aantoonbaar op orde en wat moet je doen om dat voor elkaar te krijgen? Dat leggen we u uit in dit blog.

 

Informatieveiligheid aantoonbaar op orde, wat is dat?

Er zijn verschillende definities van aantoonbaar op orde. Wij leggen dit altijd uit in termen van het zorgen voor de organisatorische en technische maatregelen om beschikbaarheid, kwaliteit (integriteit) en de veiligheid van de (persoons) gegevens te borgen. En dat ondubbelzinnig kunnen laten zien.

 

Twee opties

Route 1: het opzetten van een ISMS conform de NEN 7510

De eerste route is het opzetten van een Information Security Management System (ISMS) conform de NEN 7510 normering. Inclusief een certificering door een geaccrediteerde Certificatie Instelling. Dat is de meest solide vorm. Informatiebeveiliging wordt aan de hand van een geslaagde certificering objectief aantoonbaar bevonden.

Route 2: risicoanalyse en beheersmaatregelen

Een alternatieve route die minder omvangrijk is omvat een risicoanalyse en beheersmaatregelen.

Bij de eerste stap, de risicoanalyse, gaat u op zoek naar zowel de plekken als ook situaties binnen uw organisatie waar mogelijk ‘iets mis kan gaan’. Waar dus rond de beschikbaarheid, kwaliteit en veiligheid van uw persoonsgegevens en bedrijfsinformatie een zwakke plek is of kan ontstaan. Bijvoorbeeld door interne invloeden (eigen medewerkers bewust of onbewust), externe invloeden (kwaadwillende, hackers, ontevreden klanten, etc.) en omgevingsfactoren (brand, overstroming, storm, etc.).

Met een inventarisatie van de meest kritische onderdelen van uw organisatie houdt u het praktisch. U bekijkt deze onderdelen over de as van afdelingen, systemen, processen of leveranciers waar de meest gevoelige of waardevolle informatie zich bevindt en wordt gebruikt. Daarna is het verstandig deze inventarisatie aan te vullen met mogelijke gebeurtenissen. U kunt bijvoorbeeld starten met de vraag aan uw collega’s en het bestuur waar zij wakker van liggen en waarom? Dit levert waardevolle inzichten op voor uw inventarisatie.

De vervolgstappen in dit proces zijn het definiëren van de beheersmaatregelen. U gaat nu de risico’s wegen en prioriteren. Wat is het meest belangrijk en meest impactvol? Stel dat een van de situaties zich voordoet en de bedrijfsvoering wordt geraakt. Hoe makkelijk (of niet) kan de organisatie zich daarvan herstellen? In termen van continuïteit, reputatie en financiële gevolgen. Bijvoorbeeld cliënten en patiënten die niet meer komen. Wat gebeurt er als de IGJ maatregelen of een behandelverbod oplegt? Denk hierbij ook aan ontevredenheid van personeel of het niet goed meer kunnen leveren van zorg. De mening van het management is hierin doorslaggevend en moet hierbij betrokken worden. Zij kunnen ook beslissen om bepaalde risico’s te accepteren.

De meest kritische risico’s zijn de input en het nemen van maatregelen om de risico’s te verlagen. De geselecteerde risico’s en gebeurtenissen vragen om het nemen van maatregelen. Preventieve maatregelen om de waarschijnlijkheid dat iets gebeurt omlaag te brengen. Zo kunt u bijvoorbeeld regelmatig training geven aan het personeel om datalekken te voorkomen en het veilig omgaan met de devices buiten de deur te stimuleren. Ook kunt u beslissen tot reactieve maatregelen, die ervoor zorgen dat de gevolgen van een gebeurtenis zo klein mogelijk zijn. Back-ups en redundante systemen zijn hier voorbeelden om bij uitval of gijzeling de informatie en zorg weer snel door te herpakken.

Maatregelen voorkomen niet dat er iets gebeurt. Daarom is het van groot belang om na het nemen van de maatregelen de ‘rest risico’s’ ook in te schatten. Hoeveel kans of impact is er nog over na de maatregelen. En is dat voor zorgorganisatie acceptabel?

Aantoonbaarheid, niet vertellen maar laten zien

Met de stappen en mogelijke routes zoals hierboven omschreven, heeft u de risico’s in beeld. Ook zijn voor de grootste of niet acceptabele risico’s maatregelen genomen. Door deze goed vast te leggen kunt u duidelijk aantonen dat u als zorgorganisatie grip heeft op de risico’s rondom informatieveiligheid. Dit zijn maatregelen waarmee u ‘in control’ bent.

En ook ‘in control’ blijft. Uw organisatie en haar omgeving zijn aan veranderingen onderhevig. Ons advies is dan ook op periodieke basis de werking van de maatregelen te toetsen en – waar nodig – bij te sturen. Zo ontstaat een cyclus ter verbetering voor de belangrijkste risico’s van uw organisatie. Het is belangrijk bevindingen regelmatig door te nemen met het bestuur en het management van de zorgorganisatie. Het op de hoogte zijn zorgt namelijk voor nog meer betrokkenheid en aandacht voor informatieveiligheid.

Tips voor het aantoonbaar voldoen:

  1. Houd het onderwerp bovenaan de agenda. Regelmatige aandacht en betrokkenheid vanuit het bestuur en het management, zorgt voor draagvlak organisatiebreed.
  2. Betrek bestuur en management bij het inschatten van de risico’s en het periodiek opnieuw beoordelen daarvan.
  3. Stel een stuurgroep samen voor Informatiebeveiliging. Bestaande uit een breed management forum (zorg, bedrijfsvoering, HRM, kwaliteit, ICT). Zij hebben de kennis van de organisatie. Vul dat eventueel aan met externe experts die kennis van de norm meenemen en voor scherpte zorgen.
  4. Houd de scope voor ogen. Informatieveiligheid is een organisatie brede opdracht en niet alleen de verantwoordelijkheid van ICT. Het gaat zeker om de IT-systemen maar vaak nog meer om de mensen en de processen.
  5. Neem of stel een CISO aan. Als de inhoudelijk eigenaar en trekker van dit onderwerp. Wat we zien is dat zorginstellingen samen één CISO aantrekken die voor meerdere organisaties deze rol vervuld.

Blog geschreven door Tom Urbanus, Business Consultant

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Privacy statement - Disclaimer - © 2024 BMGRIP