KPN Consulting: Informatiebeveiliging tips voor zorg

23 juli 2013 Consultancy.nl

Veel zorginstellingen weten niet precies aan welke eisen hun informatiebeveiliging moet voldoen. Met als gevaar dat ze grote risico’s lopen op het gebied van onder meer privacy en reputatie. Marcel Winkels en Rien Bosma, beiden werken bij KPN Consulting, zetten de feiten en fabels op een rij en schetsen een effectieve aanpak.

1. Een externe audit is verplicht voor alle zorginstellingen

Niet waar. Voor GGZ- en VVT-instellingen is een externe audit niet verplicht. Voor ziekenhuizen wel. De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft een format ontwikkeld voor deze audits. Ziekenhuizen kunnen de status van informatiebeveiliging monitoren en vergelijken met een speciaal ontwikkelde tool, de benchmarktool. GGZ- en VVT-instellingen zijn overigens wél verplicht om hun informatiebeveiliging op orde te hebben.

2. De norm NEN 7510 geldt voor alle zorginstellingen

Waar. Sinds 2006 zijn zorginstellingen verplicht hun informatiebeveiliging op orde te hebben, door de wet op de Burgerservicenummers en het elektronisch patiëntendossier (EPD). De Inspectie voor de Gezondheidszorg hanteert NEN7510 als graadmeter voor goede informatiebeveiliging. Zorginstellingen zijn daardoor indirect wettelijk verplicht om ook NEN7510 als uitgangspunt te kiezen voor de informatiebeveiliging.

3. Informatiebeveiliging is een ICT-aangelegenheid

Niet waar. Juist in het primaire proces liggen grote risico’s – denk aan het invoeren, inzien en wijzigen van patiëntgegevens. Goede informatiebeveiliging is veel meer dan een ICT-verantwoordelijkheid. Sterker nog: als zorginstellingen de top-10 van risico’s inventariseren, zijn gemiddeld 8 risico’s daarvan niet ICT-gerelateerd. Managers en gebruikers spelen dus zelf een minstens zo belangrijke rol.

KPN-Databeveiliging-zorg

Samen meer controle

Voldoen aan verplichtingen is één, daadwerkelijke controle is twee. In de praktijk zien wij dat organisaties bijvoorbeeld wel wachtwoordprocedures hebben, maar geen beleid voor het omgaan met accounts van nieuwe en vertrekkende medewerkers. Of de kwaliteitsmanager is er wel mee bezig, maar de ICT-afdeling niet. Informatiebeveiliging is een mix van beleid, organisatorische procedures, risicomanagement en technologie. Het één staat nooit los van het ander. Dit betekent dat verantwoordelijken van meerdere afdelingen goed samenwerken of minimaal betrokken zijn bij ontwikkeling van beleid.

Weten waar je staat

Om die felbegeerde controle te winnen, beginnen organisaties meestal met het inventariseren van de huidige informatiebeveiliging. Dit kan het beste met een NEN7510 assessment. Wij gebruiken hiervoor de doorontwikkelde versie van de benchmarktool. Daarmee voeren we assessments uit bij verschillende zorginstellingen. De tool bestaat uit 190 stellingen over NEN7510, verdeeld in HR, ICT en andere onderdelen. Luuk Bosscha, projectmanager bij IrisZorg, heeft er ervaring mee: ‘We kregen een doorsnee te zien van onze processen. Voor ons was dat een goede manier om in kaart te brengen of we op schema zitten.’ Bovendien kunnen zorginstellingen of afdelingen door benchmarking van elkaar leren. Wie ziet dat een andere organisatie goed scoort op ‘procedure nieuwe medewerkers’, kan vragen hoe die procedure daar is ingericht. Met regelmatige benchmarking van ICT-prestaties besparen organisaties bijna 1/5 op ICT-uitgaven, blijkt uit onderzoek van Gartner.

KPN Consulting

Technologie of gedrag?

De uitkomst van de nulmeting vormt een goed startpunt voor een gesprek over de beveiligingsrisico’s die een organisatie loopt. Volgende stap is dan om deze met de medewerkers in kaart brengen. Belangrijk is om vast te stellen wáár in de organisatie de risico’s liggen. Gebruiken medewerkers te eenvoudige wachtwoorden, dan kan de ICT-afdeling inbouwen dat alleen wachtwoorden van minimaal 8 karakters met cijfers, leestekens en hoofdletters worden geaccepteerd. Maar schrijven medewerkers hun wachtwoord op een papiertje bij de computer, dan kan HR beter in actie komen en een gedragsverandering inzetten. Dat maakt de betrokkenheid van de verschillende afdelingen zo belangrijk.

Praktisch uitvoerbaar plan

Zijn de huidige informatiebeveiligingsactiviteiten en risico’s helder, dan is de vraag hoe je dat zo houdt. Vaak kiezen organisaties dan voor de inrichting van geheel nieuwe processen voor informatiebeveiliging. Omdat ze na benchmark en analyse ontdekken dat het een zaak is van de héle organisatie. Mensen en hun cultuur, bestaande processen, technologie en aansturing: deze vier factoren hangen met elkaar samen. Wie aan één radertje draait, zet alles in beweging. Er is dus een cultuurverandering nodig om ervoor te zorgen dat medewerkers structureel anders met informatiebeveiliging omgaan. Die begint bij het vastleggen van afspraken, verantwoordelijkheden en werkwijze. Via training, serious games en learning by doing ontdekken ze het belang van goede informatiebeveiliging en de bijbehorende afspraken. Die bewustwording – bij huidige en nieuwe medewerkers – zorgt ervoor dat een veilige werkwijze meer beklijft in organisaties.

Eén geheel

Veel zorginstellingen doen wel iets aan informatiebeveiliging, maar vaak zijn het losse initiatieven van afdelingen. Maakt u er één structureel proces van – niet alleen technisch maar ook een cultuurverandering die door iedereen gedragen wordt – dan weet u zeker dat u niet voor ongewenste verrassingen komt te staan.
 
Marcel Winkels is Senior Business Consultant zorg en Rien Bosma Consultant Zorg & ICT. Beiden werken bij de adviestak van KPN, KPN Consulting.

Nieuws

Meer nieuws over