Tom Urbanus – Business Consultant
In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veiligheid en praktische uitvoerbaarheid. Van wachtwoordbeleid tot het gedrag van zorgmedewerkers, elke maatregel heeft zijn eigen impact op de veiligheid van gegevens. Implementatie van een Informatiebeveiligingsmanagementsystem (ISMS) wordt vaak gezien als extra werk, maar is essentieel om informatiebeveiliging te waarborgen en op maat voor de organisatie in te richten. Een ISMS gebaseerd op de NEN 7510 zorgt ervoor dat je precies dat bereikt. Doordat deze norm risico-gebaseerd is kan je maatregelen aansluiten op jouw ambities, doelstellingen en mogelijkheden. iJouw zorginstelling staat voor de uitdaging om de informatiebeveiliging te integreren in alle facetten van de dagelijkse praktijk. Maar laten we eerlijk zijn, informatiebeveiliging wordt toch vaak gezien als een hoop gedoe, onhandigen het feestje van de IT-afdeling. Informatiebeveiliging, en daarmee de NEN 7510, is veel meer dan dat. Het is de sleutel tot een veilige zorgomgeving. Als zorgbestuurder wil je er zeker van zijn dat de gegevens van jouw instelling veilig zijn en dat de patiënten en medewerkers kunnen vertrouwen op een robuust beveiligingssysteem. In deze blog ontdek je hoe je deze uitdaging kunt omzetten in kansen voor een efficiëntere en veiligere zorgomgeving.
Informatiebeveiliging, ook wel informatieveiligheid genoemd, is een complex proces binnen de gezondheidszorg. Menselijk handelen vormt namelijk de zwakste schakel en het vinden van de juiste balans tussen veiligheid en praktische uitvoerbaarheid is een voortdurende uitdaging. Het maandelijks wijzigen van wachtwoorden lijkt een prachtige veiligheidsmaatregel, maar in de praktijk kan het juist leiden tot grotere risico’s. Het te vaak moeten wijzigen van wachtwoorden kan leiden tot het opschrijven e daarmee een grotere kans op het lekken. De maatregel creëert eigenlijk een groter risico dan het initiële risico. Ander voorbeeld: een arts-assistente verlaat de balie voor een toiletbezoek en laat hierbij het beeldscherm open staan. Iedereen in de buurt van de balie kan dan “jouw” dossier inzien. We begrijpen direct dat dit onacceptabel is! De keerzijde is een computer of iPad die na 30 seconden op slot schiet. Dit wordt dan (en misschien ook wel terecht) als irritant en onoverkomelijk ervaren door de zorgmedewerker. Over het algemeen is het zo dat als het jouw gegevens betreft, we onvoldoende maatregelen al snel ontoelaatbaar vinden, maar als het om het dossier van een ander gaat, dan zijn maatregelen al snel lastig en onnodig.
Bovenstaande situaties lenen zich uitstekend voor voorlichting en het sturen van menselijk gedrag. Het tastbaar maken van de situatie en consequenties is hier een belangrijk onderdeel van. Wat mij betreft is alleen focussen op de gedragsregels rondom informatiebeveiliging niet de juiste weg. Digivaardigheid is vaak een onderbelicht thema, zeker in de zorgsector. Digivaardigheid gaat niet alleen over hoe werk ik met mijn EPD of ECD, maar juist om hoe digitale middelen mijn leven makkelijker maken, de welbekende “what’s in it for me”. Maak eerst digitale middelen aantrekkelijk vanuit de privésetting, en leg dan de brug naar werkgerelateerde werkzaamheden en neem hier dan informatiebeveiliging als onderdeel in mee. Anders blijft het een “moetje van de werkgever”.
Het opzetten van een Information Security Management System (ISMS) lijkt wellicht alleen maar onzinnig extra werk, echter het is noodzakelijk om jouw informatiebeveiliging te waarborgen. Het biedt niet alleen minimale normvereisten, maar helpt je ook om je processen te stroomlijnen en informatiebeveiliging te integreren in alles wat je doet. Wanneer je ervoor kiest om je ISMS in te richten volgens een risicogebaseerde methodiek, zoals de NEN7510, dan neem je alleen die beheersmaatregelen die jouw informatieveiligheidsrisico’s verlagen en in een vorm die voor jouw organisatie haalbaar is, bijvoorbeeld financieel. Het ISMS zorgt daarmee voor een efficiënte inrichting van informatieveiligheid op maat gemaakt voor jouw organisatie.
Bij het implementeren van de NEN 7510-norm moet je een managementsysteem implementeren zoals beschreven in deel 1. Bij het uitvoeren van managementsysteem ga je risico-gebaseerd beheersmaatregelen nemen. In deel 2 van de NEN7510 staan 94 beheersmaatregelen. Deze beheersmaatregelen mag je gebruiken, maar je mag ook extra of eigen beheersmaatregelen inzetten. Wel is het zo dat de beheersmaatregelen beschreven in deel 2 goed doordacht zijn en vaak relevant. De truc is om goed te kijken naar welke invulling geef je eraan, is mijn invulling voldoende om mijn risico voldoende te verlagen? Dit kun je voor ieder alle 94 beheersmaatregelen. Door deze flexibiliteit in de NEN7510 te gebruiken kan je informatiebeveiliging inrichten zoals het goed past bij jouw organisatie.
Het aantoonbaar voldoen aan de NEN7510 is voor zorginstellingen sinds 2008 wettelijk verplicht. De ‘Regeling gebruik burgerservicenummer in de zorg’ behorend bij de Wet aanvullende bepalingen verwerking persoonsgegevens benoemd deze wettelijke verplichting. De Inspectie Gezondheid en Jeugd handhaaft deze wettelijke verplichting. Balanceren tussen veiligheid, praktisch gemak en aantoonbaar voldoen aan de NEN 7510 is zeker mogelijk! Wij denken graag met je mee.
Onze deskundige begeleiding leidt jouw organisatie naar verbeterde informatiebeveiliging, waardoor je het hoogste niveau van informatieveiligheid bereikt in balans met je doelstellingen en mogelijkheden. Vergroot het vertrouwen van patiënten, cliënten, medewerkers, financiers en ander belanghebbenden van de organisatie en behoud kwaliteit van zorg. Neem vandaag nog contact met ons op en ontdek hoe wij jou kunnen ondersteunen. Met BMGRIP kun je rekenen op een ervaren team dat expertise biedt op het gebied van informatiebeveiliging, privacy en aantoonbaar voldoen aan NEN 7510. We helpen je op een pragmatische manier op basis van onze SMART-methodiek bij het inrichten van het informatiebeveiligingsmanagementsysteem (ISMS) en het nemen van benodigde beheersmaatregelen. . Neem contact op met BMGRIP voor effectieve ondersteuning.
Onze deskundige begeleiding leidt jouw organisatie naar verbeterde informatiebeveiliging, waardoor je het hoogste niveau van informatieveiligheid bereikt. Vergroot het vertrouwen van patiënten, cliënten en stakeholders en behoud de kwaliteit van zorg. Neem vandaag nog contact met ons op en ontdek hoe wij jou kunnen ondersteunen. Met BMGRIP kun je rekenen op een ervaren team dat expertise biedt op het gebied van informatiebeveiliging en privacy. We helpen je op een pragmatische manier aan bewezen effectieve maatregelen voor een gefundeerd privacybeleid en bouwen samen met jouw organisatie aan een sterke verdediging tegen moderne (cyber)dreigingen. Neem contact op met BMGRIP voor effectieve ondersteuning.
