Informatieveiligheid​

Werkzaam als ICT-ER IN DE ZORG? Dan is normering ook uw zorg.

Ook de maker van de ICT-applicaties is verantwoordelijk voor de veiligheid.
Privacy en informatiebeveiliging binnen de zorgsector is al jaren een belangrijk thema. Gelukkig maar. Want patiënten-informatie verdient binnen het hele privacy spectrum de hoogste staat van paraatheid. Voor de patiënt, de zorgverlener maar ook voor de ICT-ondernemer die zorgapplicaties ontwikkelt. Daarom dienen al deze partijen passende maatregelen te nemen.

Aantoonbaar op orde
Als een ICT-onderneming zich als Persoonlijke Gezondheidsomgeving (PGO) profileert, is zij verplicht om de veiligheid daarvan ‘aantoonbaar’ op orde te hebben. En dat is een flinke klus. De hiervoor geldende NEN 7510 en MedMij normen zijn complex en omvangrijk maar niet onmogelijk. Waar begin je? Er zijn grofweg twee keuzes; doe-het-zelf of doe-het-samen.

Deze blog is het startpunt om te bepalen welke vorm de voorkeur geniet. We leggen op hoofdlijnen uit wat de norm inhoudt en welke aanpak nodig is. Het gaat om het daadwerkelijk goed en veilig omgaan met gegevens van de cliënten en patiënten in de praktijk. Een harde eis om een zorgapplicatie te mogen leveren.

Waar beginnen?
Wat moet een ICT-ondernemer rond informatieveiligheid geregeld hebben om een zorgapplicatie in de vorm van een PGO aan te mogen bieden? Twee dingen; in het bezit zijn van een geldig NEN 7510 certificaat én voldoen aan de aanvullende eisen van MedMij. Deze laatste is een aantal, vaak verzwarende, eisen van de NEN-norm. Bijv. een verplichte 2-factor identificatie.

Goed voorbereid van start
Een goede voorbereiding is binnen de ICT altijd essentieel. Zo ook hier! Maak samen met de organisatie eerst een inhoudelijke risicoanalyse en een projectplan. Net als de zorg zelf is dat vooral mensenwerk.

De analyse helpt te focussen op de aandachtspunten en dat is enorm behulpzaam bij het vooraf maken van de juiste keuzes. Het projectplan, inclusief een projectorganisatie en tijdlijn, helpt om overzicht te houden op alles wat er moet gebeuren. Met name het ‘schuiven in de tijd’ door voortschrijdend inzicht is de grootste valkuil. Ook hier!

Richten, inrichten, verrichten
Op hoofdlijnen komt het net als in ieder projectplan neer op nadenken, uitwerken en uitvoeren. Ook bij dit traject worden eerst beleids- en uitgangspunten bepaald, vervolgens processen uitgewerkt en maatregelen getroffen. Als de zorgorganisatie eenmaal werkt volgens de systematiek dan moeten de afspraken regelmatig gecontroleerd worden.

Vastlegging
Alles wat je maakt en uitwerkt moet op een gestructureerde manier opgeslagen worden. Om daarmee bruikbaar en toegankelijk te zijn voor de organisatie. Alle documenten en informatie leg je vast in een Information Security Management Systeem (ISMS). Een ISMS bestaat uit drie onderdelen.

• Het handboek met de uitgangspunten, processen en borging.
• De documentatie met aanvullende detailbeschrijvingen van o.a. procedures en werkinstructies.
• Een Verklaring van Toepasselijkheid; dit is een overzicht wat uit de NEN en MedMij-eisen wel en niet van toepassing is op de organisatie en waarom.

Dit is tevens de structuur voor het uitwerken en bewaren van alle documenten. Dat is belangrijk om alles bruikbaar en toegankelijk te maken voor de organisatie én de externe auditor.

Online tools
Om alles veilig, slim en handig op te slaan en later makkelijk te kunnen bijwerken zijn er verschillende online tools beschikbaar. SmartManSys is daar een voorbeeld van. Deze tools bevatten vaak ook een groot aantal templates en voorbeelden die het project een stuk makkelijker en sneller maken.

Stappenplan
Om de aanbevolen aanpak nog iets concreter te maken geven we hieronder de stappen in detail.

• Kick-off – wat gaan we doen en hoe pakken we dat aan.
• 0-meting – waar staat de organisatie.
• Plan van aanpak – wat moet er gebeuren en wie doet wat
• Beschrijven van de processen + maken ondersteunende documentatie
• Opstellen van de Verklaring Van Toepasselijkheid (VVT)
• Risicoanalyse
• Bewustwordingssessies
• Interne audit
• Directiebeoordeling
• Uitvoeren van additionele maatregelen
• Externe audit (certificering)

Alles nog eens rustig teruglezen in de NEN 7510 GIDS
Over de aanpak van een NEN 7510 project, inclusief de tips en trucs, is nog veel meer te vertellen. Veel meer dan we in deze blog kwijt kunnen. We hebben daarom een uitgebreide gids gemaakt over de NEN 7510 en de MedMij eisen. Met daarin meer over de inhoud, de stappen en de aanpak van het project. Ook hebben we een aantal handige tools en templates opgenomen om het werk een stuk makkelijker te maken.

Download de uitgebreide – 29 pagina’s tellende- NEN7510 GIDS hier GRATIS en zet de eerste stappen richting een NEN 7510/MedMij certificering.

Blog geschreven door Sjoerd van de Meerendonk, Directeur consultancy