Managementsysteem

Wat is een Management Systeem?
Aantoonbaar voldoen aan de eisen op het gebied van kwaliteit, veiligheid en privacy van de gegevens in uw organisatie vraagt nogal wat. Om dat te kunnen aantonen moet er veel worden geregeld, vastgelegd en omschreven.

Denk aan beleid, uitgangspunten, afspraken en processen. Ook moet u vastleggen hoe uw organisatie zorgt dat ze volgens die afspraken en processen werkt. De risico’s inzichtelijk heeft en daar afdoende op acteert. Niet in de laatste plaats moet uw organisatie aangeven hoe zij zorgt dat alles gaat zoals afgesproken en hoe zijn dat controleert.

Dit geheel van afspraken, processen en documenten is een Management Systeem. Een Information Security Management Systeem (ISMS) gaat over de veiligheid van de informatie. Een Kwaliteitsmanagement Systemen (KMS) legt de nadruk op klanttevredenheid en klachtenbehandeling.

Wij helpen u graag bij het inrichten van een passend managementsysteem.  

meer informatie

Inhoud van een ISMS
Een ISMS bestaat uit drie hoofdonderdelen:

  • Het Handboek (zie onder)
  • De documentatie; detailbeschrijving, procedures, werkinstructies etc. 
  • Verklaring van toepasselijkheid; dit is een overzicht welke normeisen van toepassing zijn op de organisatie.

Een ISMS-handboek bestaat uit vier hoofdstukken.

  1. Besturing: de uitgangspunten, strategie en kaders
  2. Primaire processen: de kerntaken van de organisatie
  3. Secundaire processen: de ondersteunde processen van de organisatie
  4. Beheer: borgen van de werkwijze en de controle daarvan 


Hoe richt je een ISMS in?
De inrichting van een ISMS gebeurt in een aantal stappen. Stap 1 noemen we ook wel ‘de richting’. Het geeft de kaders, uitgangspunten en (strategische) keuzes voor de wijze waarop de processen en het beheer worden ingericht. In stap 2 ‘inrichten’ bepalen we hoe de organisatie wil werken (primaire processen en ondersteunende processen). Dit leggen we vast in het handboek en aanvullende documentatie. De werkwijze van de organisatie is daarbij altijd het vertrekpunt. Dat wordt eerst uitgewerkt. Het normenkader is vervolgens de toets of de uitwerking ook voldoet aan de gestelde eisen. De derde stap is het ‘verrichten’. Het bewust maken van de medewerkers, zodat ze daadwerkelijk gaan werken conform de beschreven processen en procedures. In deze fase is ook van belang vast te stellen hoe een organisatie zorg (borgt) dat zijn ook in de toekomst blijft werken conform de afspraken. Meer in detail zien de stappen er als volgt uit:

  • Kick off – wat gaan we doen en hoe pakken we dat aan.
  • 0-meting – waar staat de organisatie.
  • Plan van aanpak – wat moet er gebeuren en wie doet wat
  • Beschrijven van de processen + maken ondersteunende documentatie
  • Opstellen van de Verklaring Van Toepasselijkheid (VVT)
  • Risicoanalyse
  • Bewustwordingssessies
  • Interne audit
  • Directiebeoordeling
  • Uitvoeren van additionele maatregelen
  • Externe audit (certificering)


Niet alles in één keer...
We starten elk traject met een kick off en een 0-meting. De eerste begroting omvat dan ook alleen die stappen. Met de uitkomsten van de 0-meting, de afspraken over het vervolg en de bepaling wie wat doet begroten we de volgende stappen.


Is zelf doen een optie
?
De inrichting van een Information Security Management Systeem (ISMS) is een omvangrijk en op onderdelen complex project. De omvang komt doordat er veel uitgewerkt, vastgelegd en beschreven moet worden. De complexiteit zit in het feit dat deze uitwerking moet voldoen aan een strak en groot normenkader. Onze ervaring is dat de betrokkenheid van een gespecialiseerde partij bij de begeleiding van het project, maar met name bij de inhoud, essentieel is. De materie is (te) complex om het binnen de redelijke grenzen van tijd en geld zelf te doen. Daarnaast beschikt een gespecialiseerde partij over veel standaard templates, formats en procesuitwerkingen waarmee een groot deel van het werk al gedaan is.


Doorlooptijd
Een ISMS opzetten neemt gemiddeld zes tot negen maanden in beslag. Dat is met name doorlooptijd. Veel van het werk moet de organisatie zelf bedenken en uitwerken. Dit project wordt dus naast de dagelijkse werkzaamheden uitgevoerd. Dat is waarom een organisatie vaak zes tot negen maanden nodig heeft.


Alles uitbesteden?
Volledig uitbesteden aan ons is niet wenselijk. Het inrichten van een ISMS gebeurt altijd samen met de organisatie. Zij kent haar doelen, ambitie en manier van werken het best. Die kennis en input is nodig voor een goede uitwerking. Belangrijk effect van de betrokkenheid is het eigenaarschap. Wat weer de basis is voor het succes. Het gaat uiteindelijk niet om het ‘papiertje’. Het gaat om het daadwerkelijk goed en veilig omgaan met gegevens van de patiënten in de praktijk. Net als de zorg in zijn geheel is dat vooral mensenwerk. 


Vastleggen in een geautomatiseerde oplossing
Het opzetten van een ISMS heeft tot gevolg dat er veel informatie vastgelegd wordt. Beleidsstukken, processen, werkinstructies, verantwoordelijkheden & bevoegdheden, etc. Daarnaast brengt het opzetten veel projectmanagementactiviteiten als taken & acties, opleveringen bewaken, tijdslijnen uitzetten, met zich mee. Om de documenten en acties zo goed en efficiënt mogelijk vast te leggen cq. te organiseren is het praktisch om hiervoor een speciale softwareoplossing te nemen. De oplossing die wij daarvoor inzetten is SmartManSys. Een speciaal ontwikkelde softwareoplossing voor de inrichting van een ISMS.


Het unieke van SmartManSys
Bij de inrichting maken we gebruik van de applicatie SmartManSys. Hierin zijn relevante normen (zoals bijvoorbeeld NEN7510, MedMij en AVG-normen) al aanwezig. Zodat alle beleidsstukken, processen, werkinstructies, ed. direct worden getoetst aan de geldende normen. Bovendien bevat SmartManSys een groot aantal templates, standaardprocessen en werkinstructies. Lees meer over hoe de slimme functies van SmartManSys ook uw organisatie helpen bij het sneller en efficiënter inrichten en onderhouden van uw managementsysteem. 


Het belang van het ISMS op een rij

  • Informatieveiligheid, Privacy en uitwisselbaarheid zijn aantoonbaar op orde
  • Inzicht en beheersing van de operationele risico’s als datalekken met betrekking tot het gebruik van patiënt- en cliëntgegevens.
  • Een efficiënter werkende organisatie door een goede inrichting van het gegevensgebruik
  • Een passend antwoord op de conclusie van het IGJ-onderzoek over veiligheid in de zorg
  • Het vormt de basis voor het MedMij label
  • Het geeft toegang tot de markt van het gebruik en ontwikkeling van E-health oplossingen
image description

Meer weten over managementsystemen? Wij helpen u graag.