KPN Consulting: Beveiliging medische data IT uitdaging

18 juli 2013 Consultancy.nl

Ziekenhuizen zijn onvoldoende in staat om privacy van patiënten te waarborgen, blijkt uit het laatste rapport van het College Bescherming Persoonsgegevens (CBP). Dit heeft alles te maken met de houding van veel zorginstellingen. Zij zien informatiebeveiliging onterecht als een ICT-feestje.
 
Het CBP-rapport maakt de urgentie van betere gegevensbescherming pijnlijk duidelijk. Negen ziekenhuizen werden door het CBP doorgelicht. Geen van hen had interne beveiliging en de gegevensbescherming ingericht volgens de normen. De negen ziekenhuizen moeten nu met een plan komen om hun gegevensbescherming beter op orde te krijgen, anders zal vanaf september worden ingegrepen. Een wake-up call voor álle zorginstellingen.

Risico’s in het primaire proces

ICT is niet toereikend om informatiebeveiliging waterdicht te maken. Bij benchmarkonderzoek naar de gegevensbescherming bij zorginstellingen zien we dat gemiddeld 8 van de 10 risico’s niet ICT-gerelateerd zijn. Juist in het primaire proces – het invoeren, inzien en wijzigen van patiëntgegevens – kan veel misgaan. In de praktijk zien we dat organisaties bijvoorbeeld wel wachtwoordprocedures hebben, maar geen beleid voor het omgaan met accounts van nieuwe en vertrekkende medewerkers. Je houdt dan bij wijze van spreken de voordeur op slot en de achterdeur wijd open.
 
KPN Consulting - IT Beveiliging ziekenhuizen

Zaak van alle afdelingen

Gebruiken medewerkers te eenvoudige wachtwoorden, dan kan de ICT-afdeling inbouwen dat alleen wachtwoorden van minimaal 8 karakters met cijfers, leestekens en hoofdletters worden geaccepteerd. Maar schrijven medewerkers hun wachtwoord op een papiertje bij de computer, dan kan HR beter in actie komen en een gedragsverandering inzetten. Daarom is het zo belangrijk om verschillende afdelingen bij informatiebeveiliging te betrekken. Ook bij zorginstellingen is dit van belang bij het waarborgen van de privacy van patiëntengegevens. In onze optiek is het een mix van beleid, organisatorische verankering en naleving, gebaseerd op risicomanagement. Dit betekent dat de verantwoordelijkheid voor informatiebeveiliging opgepakt moet worden door meerdere afdelingen, aangestuurd door bijvoorbeeld een risico- of kwaliteitsmanager.

Samen in control

Om samen de informatiebeveiliging onder controle te krijgen, is een nulmeting een goede eerste stap. Daarmee kom je te weten hoe je organisatie er precies voor staat als het gaat om de bescherming van gegevens. Gebruik de uitkomst van dit onderzoek om de belangrijkste risico’s te identificeren en met elkaar te bespreken. Bepaal vervolgens welke risico’s je wilt aanpakken.

Cultuurverandering

Door de uitkomsten van de nulmeting te bespreken en te analyseren, groeit de bewustwording dat informatiebeveiliging impact heeft op de hele bedrijfsorganisatie: mensen, processen, technologie en aansturing. Wie aan één radertje draait, zet alles in beweging. Om ervoor te zorgen dat medewerkers – ook in de zorg – structureel anders met informatiebeveiliging omgaan, is een cultuurverandering nodig. Die begint met het vastleggen van de afspraken, verantwoordelijkheden en werkwijze ten opzichte van de belangrijkste risico’s. Via training en serious games ontdekken medewerkers het belang van goede informatiebeveiliging en de bijbehorende afspraken en aanspreekcultuur. Met dit bewustwordingsproces – bij huidige én nieuwe medewerkers – zal een veilige werkwijze meer beklijven.
 
KPN-Consulting

Bewustwording

Voorkom met deze bewustwording bij de medewerkers onnodige beveiligingsrisico’s. Dankzij een juiste informatiebeveiliging zal het úw zorginstelling niet overkomen dat patiëntengegevens op straat komen te liggen, patiënten woedend zijn en de reputatie van uw organisatie risico’s loopt.
 
Een artikel van Marcel Winkels (Senior Business Consultant) en Rien Bosma (Consultant), beiden werkzaam bij KPN Consulting. Ze adviseren zorginstellingen over hun informatiebeveiliging  en ICT-infrastructuur.


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cmotions COMATCH Conclusion Connective Payments Count & Cooper De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup
×
×
×