Tom Urbanus – Business Consultant
U staat als zorgbestuurder voor hoogwaardige dienstverlening en goede (financiële) resultaten. Reputatieverlies en financiële schade door onder andere boetes door toezichthoudende instanties zijn voor u belangrijke risico’s die direct samenhangen met informatieveiligheid. De digitale dreiging groeit afgelopen jaren ook binnen de gezondheidszorg. Risico’s gaan hand in hand met technische maatregelen. Firewalls, virusscanners, Wifi beveiliging, versleuteling, allemaal technische maatregelen die ook u niet onbekend zijn. Hoe deze precies werken en tegen welke risico’s deze beschermen is minder duidelijk. Sterker nog, privacy en security zijn niet de onderwerpen uit uw kennisgebied. ICT voert hierop de regie binnen uw zorgorganisatie, toch? Hoe kunt u als zorgbestuurder de juiste keuzes maken voor ICT-investeringen in het kader van informatieveiligheid?
Als zorgbestuurder is het uw verantwoordelijkheid om beslissingen te nemen. U laat zich zo goed mogelijk informeren over de voor- en nadelen, de kosten, de alternatieven en de noodzaak. Op basis hiervan neemt u uiteindelijk een besluit. Zo ook over het nemen van beheersmaatregelen voor informatieveiligheid binnen de ICT. Dit is doorgaans niet het kennisgebied van u als bestuurder binnen de gezondheidszorg. Daarnaast wordt u bij specifiek dit onderwerp vaak overspoeld met technische informatie om besluiten te beargumenteren. Dient u een ICT-expert te worden om hier de juiste keuzes te kunnen maken? Of een zeer inhoudelijk gesprek hierover aan te gaan met de ICT-afdeling? Nee, niet wanneer u gebruik kunt maken van een goede risicoanalyse.
Een belangrijk uitgangspunt om helder te hebben is dat alle beheersmaatregelen voor de informatieveiligheid worden genomen om risico’s te verlagen. Een beheersmaatregel kan ingezet worden bij het voorkomen van een incident (preventief) of voor het beperken van schade van een incident (reactief). Het nemen van beheersmaatregelen heeft altijd een kostenaspect in menskracht, in geld of beiden.
Waarom kosten maken als een beheersmaatregel niet helpt in het verlagen van het risico? Ondanks dat het inschatten van risico’s subjectief is kunt u dit als zorgbestuurder echt gebruiken als uitgangspunt. Door niet de risicoschatting als uitgangspunt te nemen maar de relatieve afname daarvan door een beheersmaatregel. Hiermee kunt u de kosten relateren aan het afnemen van het risico en vaststellen of u dit als zorgbestuurder een goede inzet van middelen vindt. De noodzaak om details van de techniek te weten wordt hiermee veel lager zo mogelijk onnodig.
Als zorgbestuurder helpt de risicoanalyse u bij vraagstukken als:
Uit het volgende praktijkvoorbeeld blijkt hoe u deze aanpak kunt inzetten voor een goede besluitvorming. Uw ICT-afdeling komt met het voorstel om een nieuwe virusscanner te implementeren. Naast de eenmalige investeringskosten zijn de licentiekosten 15% hoger dan de huidige virusscanner. In het voorstel wordt uiteengezet waarom deze virusscanner beter is dan de huidige en in mooie bewoordingen dat het een no-brainer is om deze keuze te maken. In uw risicoanalyse is de beheersmaatregel virusscanner gekoppeld als reactieve maatregel aan het risico dat virussen en andere malware schade aanrichten binnen de ICT-omgeving van de organisatie. De vraag die u als zorgbestuurder kunt stellen is in hoeverre het risico met de nieuwe virusscanner afneemt ten opzichte van de huidige? Naar gelang het antwoord van de ICT-afdeling kunt u besluiten of het beter is om bijvoorbeeld de 15% extra kosten te investeren in preventieve maatregelen (Bijvoorbeeld door betere training van medewerkers?) of het nemen van andere maatregelen waarbij de risicoafname groter is en een grotere waarde heeft voor de organisatie.
Een goede en volledige risicoanalyse is voor u als zorgbestuurder onmisbaar om goede keuzes te maken in beheersmaatregelen voor informatieveiligheid. Het is belangrijk om uw keuzes te onderbouwen en de juiste beheersmaatregelen te nemen binnen de ICT en voor andere onderdelen in de organisatie. De risicoanalyse is niet voor niets een belangrijk onderdeel binnen de voor de zorg specifieke informatieveiligheidsnorm de NEN7510. BMGRIP stelt de risicoanalyse centraal in haar aanpak en methodiek.
Het inzichtelijk maken van organisatie, organisatieonderdelen, informatiedragers en middelen laten wij volgen door een impact- en risicoanalyse. Van hieruit gaan wij op basis van de risicohouding (hoeveel risico accepteren wij) van de organisatie beheersmaatregelen prioriteren en in volgorde implementeren. Hiermee zorgen wij ervoor, dat altijd de grootste risico’s van de organisatie als eerste worden aangepakt en de veelal schaarse middelen goed worden ingezet. Onze risico gebaseerde aanpak draagt op deze manier direct bij aan een goede inzet van mensen en geld in de zorg.
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.