Tom Urbanus – Business Consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veiligheid en praktische uitvoerbaarheid. Van wachtwoordbeleid tot het gedrag van zorgmedewerkers, elke maatregel heeft zijn eigen impact op de veiligheid van gegevens. Voorlichting geven en het sturen van menselijk gedrag zijn cruciaal, waarbij het vergroten van digitale vaardigheden een vaak over het hoofd gezien aspect is. Implementatie van een Information Security Management System (ISMS) wordt vaak gezien als extra werk, maar is essentieel om informatiebeveiliging te waarborgen en op maat voor de organisatie in te richten. Een kritische blik op normen zoals de NEN 7510 is nodig om elk detail doordacht te benaderen en aantoonbaar te voldoen. Belangrijk nu de Inspectie Gezondheidszorg en Jeugd (IGJ) heeft besloten deze wettelijke verplichting te gaan handhaven.
Jouw zorginstelling staat voor de uitdaging om de NEN 7510-norm te integreren in alle facetten van de dagelijkse praktijk. Maar laten we eerlijk zijn, informatiebeveiliging wordt toch vaak gezien als een hoop gedoe en het feestje van de IT-afdeling. Informatiebeveiliging, en daarmee de NEN7510, is veel meer dan dat. Het is de sleutel tot een veilige zorgomgeving. Als zorgbestuurder wil je er zeker van zijn dat de gegevens van jouw instelling veilig zijn en dat de patiënten en medewerkers kunnen vertrouwen op een robuust beveiligingssysteem. In deze blog ontdek je hoe je deze uitdaging kunt omzetten in kansen voor een efficiëntere en veiligere zorgomgeving.
Informatiebeveiliging, ook wel informatieveiligheid genoemd, is een complex proces binnen de gezondheidszorg. Menselijk handelen vormt namelijk de zwakste schakel en het vinden van de juiste balans tussen veiligheid en praktische uitvoerbaarheid is een voortdurende uitdaging. Het maandelijks wijzigen van wachtwoorden lijkt een prachtige veiligheidsmaatregel, maar in de praktijk kan het juist leiden tot grotere risico’s. Het te vaak moeten wijzigen van wachtwoorden kan leiden tot het opschrijven ervan, wat de kans op het lekken ervan juist vergroot. De maatregel creëert eigenlijk een groter risico dan het initiële risico. Een ander voorbeeld: een arts-assistente verlaat de balie voor een toiletbezoek en laat hierbij het beeldscherm open staan. Iedereen in de buurt van de balie kan dan “jouw” dossier inzien. We begrijpen direct dat dit onacceptabel is! De keerzijde is een computer of iPad die na 30 seconden op slot schiet. Dit wordt dan (en misschien ook wel terecht) als irritant en onoverkomelijk ervaren door de zorgmedewerker. Over het algemeen is het zo dat als het jouw gegevens betreft, we onvoldoende maatregelen al snel niet kunnen vinden, maar als het om het dossier van een ander gaat, dan zijn maatregelen al snel lastig en onnodig.
Bovenstaande situaties lenen zich uitstekend voor voorlichting en het sturen van menselijk gedrag. Het tastbaar maken van de situatie en consequenties is hier een belangrijk onderdeel van. Wat mij betreft is alleen focussen op de gedragsregels rondom informatiebeveiliging niet de juiste weg. Digivaardigheid is vaak een onderbelicht thema, zeker in de zorgsector. Digivaardigheid gaat niet alleen over hoe werk ik met mijn EPD of ECD, maar juist om hoe digitale middelen mijn leven makkelijker maken, de welbekende “what’s in it for me”. Maak eerst digitale middelen aantrekkelijk vanuit de privésetting, en leg dan de brug naar werkgerelateerde werkzaamheden en neem hier dan informatiebeveiliging als onderdeel in mee. Anders blijft het een “moetje van de werkgever”.
Het opzetten van een Information Security Management System (ISMS) lijkt wellicht alleen maar onzinnig extra werk, echter het is noodzakelijk om jouw informatiebeveiliging te waarborgen. Het biedt niet alleen minimale normvereisten, maar helpt je ook om je processen te stroomlijnen en informatiebeveiliging te integreren in alles wat je doet. Wanneer je ervoor kiest om je ISMS in te richten volgens een risicogebaseerde methodiek, zoals de NEN7510, dan neem je alleen die beheersmaatregelen uit de Annex A die jouw informatieveiligheidsrisico’s verlagen. Het ISMS zorgt daarmee voor een efficiënte inrichting van informatieveiligheid op maat gemaakt voor jouw organisatie.
Bij het implementeren van een ISMS dien je elke normeis van de NEN 7510-norm te implementeren. Waarbij een onderscheid wordt gemaakt tussen normeisen uit de High Level Structure, en beheersmaatregelen uit de Annex A (deze laatste zijn geen normeisen). Ieder onderdeel van deze norm is doordacht en relevant. De truc is om goed te kijken naar welke invulling geef je eraan, gegeven de eis uit de norm, is mijn invulling dan nuttig, noodzakelijk en/of verklein ik er een risico mee. Dit kun je voor ieder normelement doen. Niets in de NEN7510 is er zomaar of een “moetje”, al wordt dit vaak gedacht. Een stakeholderanalyse bijvoorbeeld lijkt misschien tijdrovend en overbodig, maar het is een essentieel onderdeel van jouw strategie om alle betrokkenen tevreden te houden. Tevreden stakeholders zijn de sleutel tot een succesvolle dienstverlening en tevreden patiënten.
Informatiebeveiliging voor zorginstellingen is niet langer een vrijblijvendheid. Vanwege de ‘Regeling gebruik burgerservicenummer in de zorg’ behorend bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg moeten zorgorganisaties sinds 2008 wettelijk verplicht voldoen aan de NEN 7510. De IGJ heeft onlangs laten weten dat zij deze wettelijke verplichting gaat handhaven waarmee zorginstellingen aantoonbaar moeten voldoen aan de NEN 7510. Balanceren tussen veiligheid, praktisch gemak en aantoonbaar voldoen aan de NEN 7510 is zeker mogelijk! Wij denken graag met je mee met behulp van o.a. MedMij certificering!
Onze deskundige begeleiding leidt jouw organisatie naar verbeterde informatiebeveiliging, waardoor je het hoogste niveau van informatieveiligheid bereikt. Vergroot het vertrouwen van patiënten, cliënten en stakeholders en behoud de kwaliteit van zorg. Neem vandaag nog contact met ons op en ontdek hoe wij jou kunnen ondersteunen. Met BMGRIP kun je rekenen op een ervaren team dat expertise biedt op het gebied van informatiebeveiliging en privacy. We helpen je op een pragmatische manier aan bewezen effectieve maatregelen voor een gefundeerd privacybeleid en bouwen samen met jouw organisatie aan een sterke verdediging tegen moderne (cyber)dreigingen. Neem contact op met BMGRIP voor effectieve ondersteuning.