Tom Urbanus – Business Consultant
Diverse wetgevingen verseisen dat zorgaanbieders de veiligheid van bedrijfs- en persoonsinformatie aantoonbaar waarborgen. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt hier toezicht op. Naar aanleiding van het onderzoek bij ziekenhuizen rondom ICT storingen bij ziekenhuizen is het vereist dat zij uiterlijk in 2023 aantoonbaar voldoen aan de NEN 7510 norm. Een manier om dit aan te tonen is door het behalen van een certificering. Dit geeft ziekenhuizen de mogelijkheid om de aantoonbare naleving van informatiebeveiliging te demonstreren. Het zal niet lang meer duren voordat ook andere zorginstellingen aantoonbaar moeten voldoen aan de NEN 7510 norm
Wat is aantoonbaar op orde en wat moet je doen om dat voor elkaar te krijgen? Dat leggen we u uit in dit blog.
Er zijn verschillende definities van aantoonbaar op orde. Wij leggen dit altijd uit in termen van het zorgen voor de organisatorische en technische maatregelen om beschikbaarheid, kwaliteit (integriteit) en de veiligheid van de (persoons) gegevens te borgen. En dat ondubbelzinnig kunnen laten zien.
De eerste route is het opzetten van een Information Security Management System (ISMS) conform de NEN 7510 normering. Inclusief een certificering door een geaccrediteerde Certificatie Instelling. Dat is de meest solide vorm. Informatiebeveiliging wordt aan de hand van een geslaagde certificering objectief aantoonbaar bevonden.
Een alternatieve route die minder omvangrijk is omvat een risicoanalyse en beheersmaatregelen.
Bij de eerste stap, de risicoanalyse, gaat u op zoek naar zowel de plekken als ook situaties binnen uw organisatie waar mogelijk ‘iets mis kan gaan’. Waar dus rond de beschikbaarheid, kwaliteit en veiligheid van uw persoonsgegevens en bedrijfsinformatie een zwakke plek is of kan ontstaan. Bijvoorbeeld door interne invloeden (eigen medewerkers bewust of onbewust), externe invloeden (kwaadwillende, hackers, ontevreden klanten, etc.) en omgevingsfactoren (brand, overstroming, storm, etc.).
Met een inventarisatie van de meest kritische onderdelen van uw organisatie houdt u het praktisch. U bekijkt deze onderdelen over de as van afdelingen, systemen, processen of leveranciers waar de meest gevoelige of waardevolle informatie zich bevindt en wordt gebruikt. Daarna is het verstandig deze inventarisatie aan te vullen met mogelijke gebeurtenissen. U kunt bijvoorbeeld starten met de vraag aan uw collega’s en het bestuur waar zij wakker van liggen en waarom? Dit levert waardevolle inzichten op voor uw inventarisatie.
De vervolgstappen in dit proces zijn het definiëren van de beheersmaatregelen. U gaat nu de risico’s wegen en prioriteren. Wat is het meest belangrijk en meest impactvol? Stel dat een van de situaties zich voordoet en de bedrijfsvoering wordt geraakt. Hoe makkelijk (of niet) kan de organisatie zich daarvan herstellen? In termen van continuïteit, reputatie en financiële gevolgen. Bijvoorbeeld cliënten en patiënten die niet meer komen. Wat gebeurt er als de IGJ maatregelen of een behandelverbod oplegt? Denk hierbij ook aan ontevredenheid van personeel of het niet goed meer kunnen leveren van zorg. De mening van het management is hierin doorslaggevend en moet hierbij betrokken worden. Zij kunnen ook beslissen om bepaalde risico’s te accepteren.
De meest kritische risico’s zijn de input en het nemen van maatregelen om de risico’s te verlagen. De geselecteerde risico’s en gebeurtenissen vragen om het nemen van maatregelen. Preventieve maatregelen om de waarschijnlijkheid dat iets gebeurt omlaag te brengen. Zo kunt u bijvoorbeeld regelmatig training geven aan het personeel om datalekken te voorkomen en het veilig omgaan met de devices buiten de deur te stimuleren. Ook kunt u beslissen tot reactieve maatregelen, die ervoor zorgen dat de gevolgen van een gebeurtenis zo klein mogelijk zijn. Back-ups en redundante systemen zijn hier voorbeelden om bij uitval of gijzeling de informatie en zorg weer snel door te herpakken.
Maatregelen voorkomen niet dat er iets gebeurt. Daarom is het van groot belang om na het nemen van de maatregelen de ‘rest risico’s’ ook in te schatten. Hoeveel kans of impact is er nog over na de maatregelen. En is dat voor zorgorganisatie acceptabel?
Met de stappen en mogelijke routes zoals hierboven omschreven, heeft u de risico’s in beeld. Ook zijn voor de grootste of niet acceptabele risico’s maatregelen genomen. Door deze goed vast te leggen kunt u duidelijk aantonen dat u als zorgorganisatie grip heeft op de risico’s rondom informatieveiligheid. Dit zijn maatregelen waarmee u ‘in control’ bent.
En ook ‘in control’ blijft. Uw organisatie en haar omgeving zijn aan veranderingen onderhevig. Ons advies is dan ook op periodieke basis de werking van de maatregelen te toetsen en – waar nodig – bij te sturen. Zo ontstaat een cyclus ter verbetering voor de belangrijkste risico’s van uw organisatie. Het is belangrijk bevindingen regelmatig door te nemen met het bestuur en het management van de zorgorganisatie. Het op de hoogte zijn zorgt namelijk voor nog meer betrokkenheid en aandacht voor informatieveiligheid.
Blog geschreven door Tom Urbanus, Business Consultant
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.