Informatieveiligheid in de zorg

AAntoonbaar op orde

Aantoonbaar voldoen aan de wettelijke normen en kaders

Datalekken, hacks of digitale gijzelingen van informatie van zorgorganisaties zijn aan de orde van de dag. De risico’s die een zorgorganisatie loopt zijn fors en nemen met de tijd toe. De kwaliteit en zorgvuldigheid van de zorg komt onder druk te staan door digitale kwetsbaarheid. Informatieveiligheid verdiend prioriteit.

Ook uw organisatie werkt met uiterst gevoelige (persoons)gegevens. Het spreekt voor zich dat de veiligheid hiervan gegarandeerd moet zijn en een hoge plek op de bestuursagenda verdient. Informatieveiligheid voor zorgorganisatie vraagt om een integrale, toekomstbestendige aanpak.

Plan een adviesgesprek
Datalek melden
AVG / GDPR

Informatieveiligheid aantoonbaar op orde. Wat betekent dat?

Een agendapunt is nog geen organisatiebreed gedragen beleid als het om informatieveiligheid gaat. Welke factoren maken dat informatieveiligheid binnen zorgorganisatie (aantoonbaar) op orde is en blijft? Budgetten zijn beperkt en tijd is – zeker binnen zorgorganisaties – schaars. Met een focus op goede en betaalbare zorg krijgt informatieveiligheid niet altijd de aandacht die het nodig heeft.

De wil en intrinsieke motivatie van u als bestuurder of zorgmanager zijn doorslaggevend. Naast intrinsieke motivatie van alle betrokkenen is elke zorgorganisatie ook wettelijk verplicht om de informatieveiligheid en privacy aantoonbaar op orde te hebben.

Wat kunt u  – ondanks die schaarste en andere prioriteiten –  doen om het elke dag beter en veiliger te maken?

Beschikbaarheid

Zorgen dat uw (persoons)informatie op het juiste moment voor de juiste persoon beschikbaar is voor het bijvoorbeeld bieden van goede zorg. Dit voorkomt (medische) fouten en levert besparingen op omdat bepaalde diagnostiek niet onnodig dubbel wordt uitgevoerd of afspraken niet door kunnen gaan. Waarbij uw systemen als bijvoorbeeld het EPD in 99% van de gevallen toegankelijk en operationeel is.

Integriteit

Waarborgen dat de gebruikers de juiste informatie te zien krijgen. Dat hierop kan worden vertrouwd en niet is verwisseld. De bloeduitslag of foto’s van meneer Jansen en niet per ongeluk die van mevrouw Pietersen.

Vertrouwelijkheid

Organiseren dat alleen bevoegde mensen toegang hebben tot de informatie. Door te voorkomen dat buitenstaanders binnendringen maar ook binnen de organisatie zorgen dat niet iedereen overal bij kan.

Uw organisatie heeft informatieveiligheid aantoonbaar op orde als je kan laten zien dat deze zaken goed en duurzaam zijn georganiseerd. Een proces hebt ingericht van continu meten en verbeteren. Zoals veelal is ingericht voor het medische proces en het waarborgen van de kwaliteit daarbinnen.

Starten door de risico’s in beeld te brengen. Hoe pakt u dat aan.

Informatieveiligheid is groot, breed en op onderdelen complex. Door te starten vanuit de risico’s in uw zorgorganisatie, bedrijfsvoering en processen, brengt u focus aan en start u met de zaken die voor uw organisatie het meest belangrijk zijn.

Risico’s die we vaak tegenkomen in zorgorganisaties zijn bijvoorbeeld.:

  • Toegangsbeheer bij uitdiensttreding; medewerkers en/ flexkrachten die nog kunnen inloggen op bepaalde systemen.
  • Onduidelijkheid over verantwoordelijkheden; belangrijke maatregelen krijgen onvoldoende aandacht. Bijvoorbeeld de beoordeling van (IT)
  • Toetsing actualiteit en functionaliteit maatregelen; uitblijven van het controleren of en hoe de organisatie daadwerkelijk presteert met invoering van maatregelen.
  • Onduidelijkheid grondslag verplichte logging; de verplichte logging van de handelingen is binnen zorgorganisatie doorgaans goed ingeregeld. Wat vaak niet duidelijk is, is wat er in gaten gehouden moet worden en wie daar verantwoordelijk voor is.
  • accuratesse ten opzichte van werkdruk; Werkdruk bij de medewerkers. Daardoor een grotere kans op fouten. In de snelheid een e-mail verkeerd adresseren. Wachtwoorden op een geeltje. Of gegevens foutief vastleggen.

Lees ook onze blog over het in kaart brengen van de risico’s binnen uw organisatie

De NEN 7510 – NEN 7512 en NEN 7513 als normenkaders

U wilt als organisatie uw informatiebeveiliging ofwel informatieveiligheid verder vormgeven. Echt professionaliseren. Waar de ISO 27001 de internationale standaard is voor informatiebeveiliging beschermt een NEN 7510 managementsysteem de vertrouwelijkheid, integriteit en de beschikbaarheid van persoonsgegevens en informatie binnen de zorgsector.

U geeft uw belanghebbende met de NEN 7510 het vertrouwen dat risico’s doordacht worden beheerst. Een certificaat behalen is tijdrovend en doorgaans een omvangrijk project. Met een nulmeting krijgt u helder welke bedrijfsprocessen exact nog verbeterd moeten worden. Hierbij is uw organisatie het uitgangspunt en hanteren we de norm als richtlijn. Zo heeft u een managementsysteem wat doordacht is opgezet en wat fundamenteel bijdraagt aan de informatie veilig werken.

Plan een adviesgesprek

Informatieveiligheid is meer dan IT

70 % van alle fouten zijn het gevolg van menselijk handelen waarbij het merendeel (65% hiervan) plaatsvindt binnen de eigen zorgorganisatie. Het veilig omgaan met informatie gaat veel verder dan het treffen van een aantal IT-maatregelen. Uiteraard zijn firewalls, back-ups en toegangsbeveiliging belangrijk.

Maar informatieveiligheid vraagt om kennis en bewustzijn van alle medewerkers. Het is prominent punt op de managementagenda wat leidt tot beleid, duidelijke processen en heldere verantwoordelijkheden.

Kunnen we u helpen het bewustzijn bij de medewerkers te vergroten?

Plan een adviesgesprek

Informatieveiligheid praktisch, slim en efficiënt aanpakken

Welke route – certificeren of risicogericht beheersen – u ook kiest. Wij zorgen dat de organisatie het uitgangspunt is. De unieke specifieke structuur, plannen, processen, medewerkers en patiënten/cliënten van de organisatie staan centraal en zijn het vertrekpunt. De norm is het kader en houvast die helpt om informatieveiligheid te organiseren. Door de organisatie centraal te stellen kunnen we samen met  u op pragmatische manier informatieveiligheid organisatiebreed verbeteren op die plekken waar het het meest nodig is. Bruikbaar en uitvoerbaar. In plaats van een papieren tijger die in de figuurlijke bureaulade ligt.

Direct certificeren of stap voor stap organiseren

De meest solide route naar objectief  aantoonbaarheid is de organisatie certificeren voor de NEN 7510. De organisatie gaan aan de slag met het opzetten van een Information Security Management System. De meest complete en duurzame weg. Maar daarmee ook direct de meest omvangrijke.

Mocht dat nog een brug te ver zijn dan is de route van risicogericht organiseren een goed alternatief. Starten met een nulmeting en risico-analyse die laat zien waar de aandachtspunten zitten. Van daaruit stap voor stap werken aan maatregelen om die risico’s te beheersen. De norm elementen en richtlijnen kunnen je daarbij helpen voor richting en structuur. Hiermee bouw je stapje voor stapje je Information Security Management System op. Voldoet je organisatie al aan een kwaliteitsnorm zoals de HKZ of ISO9001 dan kan je op basis van deze structuur prima informatieveiligheid toevoegen. Naar verloop van tijd heb je dan informatieveiligheid prima op orde en kan je er voor kiezen om de stap naar certificering te zetten.

Een nulmeting

Wat is een logische volgende stap? Ons advies: Een nulmeting.

Die geeft U inzicht in waar uw organisatie staat, wat de risico’s zijn en wat u kunt doen om informatieveiligheid een stap verder  te brengen.

 

Meer over de nulmeting