De laatste jaren is er in en rondom de zorgsector meer aandacht voor informatiebeveiliging. Het ministerie van VWS heeft digitale klant/patiëntdossiers als norm gesteld voor de dossiervorming.
Dat heeft effect gehad, want er wordt steeds minder met papieren dossiers gewerkt in de Nederlandse zorginstellingen.
De IGZ hanteert de NEN7510 als veldnorm om te toetsen en in hoeverre zorginstellingen de informatiebeveiliging op orde hebben. Ook heeft de IGZ informatiebeveiliging als speerpunt benoemd ten aanzien van de controles. Nu het belang van de audits steeds serieuzere vormen aanneemt wordt het tijd om een inventarisatie te maken:
Waar liggen verbeterpunten uit het verleden en kansen voor de toekomst?
Aandachtspunt 1: pas toe of leg uit
De NEN7510 is een norm conform het principe ‘pas toe of leg uit’. De NEN7510 bestaat uit 133 zogenaamde beheersfactoren, onderverdeeld in 11 onderwerpen. Het is nadrukkelijk niet de bedoeling om alle beheersfactoren te implementeren, enkel omdat dit voorgeschreven is. Indien één of meerdere onderdelen niet geïmplementeerd zijn, moet er wel een verantwoording voor zijn. Er kan dus ook gekozen worden om niet strikt de normenset conform NEN7510 te implementeren, maar voor een andere informatiebeveiligingsnorm te kiezen. Het startpunt voor die afweging is het informatiebeveiligingsbeleid.
Aandachtspunt 2: informatiebeveiligingsbeleid
De NEN7510 richt zich voor een belangrijk deel op beleid. Dit beleid wordt uiteengezet in het informatiebeveiligingsplan. Veel zorginstellingen worstelen hiermee. Want wat wordt er exact verwacht en waar moet uw organisatie dan aan voldoen? In de NEN7510 staat hierover beschreven: ‘het beleidsproces voor informatiebeveiliging evenals het invoeren van de daarvoor noodzakelijke maatregelen, zijn organisatorische processen. Normen voor organisatorische processen kunnen niet als een technische specificatie worden geformuleerd.’ De NEN7510 geeft een aantal handvaten, maar gaat hier niet op details in.
Vorm een visie over informatiebeveiliging
Het is een valkuil om dit beleid in alle eenvoud neer te zetten, puur en alleen om een certificaat of audit te behalen. Het is juist een kans om als organisatie te kijken naar informatiebeveiliging en daar een visie over te vormen. Welke informatie vindt uw organisatie van strategisch belang en welke juist minder? Welke onderliggende risico’s horen daarbij? 100% beveiliging op alle onderdelen kan praktisch gezien niet worden behaald, dus moeten er keuzes worden gemaakt.
Integreer informatiebeveiliging in uw processen
Organisaties moeten niet alleen praten over beveiliging, het gaat om meer dan alleen dat, de informatieveiligheid moet juist besproken worden. Concreet betekent dit keuzes maken rondom informatieveiligheid in het kader van het primaire proces en op basis daarvan beleid formuleren. Dat in plaats van alleen beveiligingsbeleid in de vorm van een norm langs een bestaand proces leggen. De NEN7510 kan dan worden gebruikt als kapstok en/of hulpmiddel, maar de inhoud van de informatiebeveiliging is opgebouwd rondom de processen van uw eigen organisatie.
Aandachtspunt 3: Europese Privacy verordening
De NEN7510 is gebaseerd op de Nederlandse Wet Bescherming Persoonsgegevens (WBP). Het is zeer waarschijnlijk dat de WBP in de nabije toekomst wordt vervangen door de Europese Privacy verordening. De Europese Privacy verordening gaat op een aantal vlakken verder dan de WBP, bijvoorbeeld met de verplichte functionaris voor de gegevensbescherming, verplichte risicoanalyses en uitgebreide rechten van klanten op verwijdering van hun gegevens. Dit heeft vooral gevolgen voor de informatiebeveiliging op organisatorisch en juridisch vlak voor de grotere zorginstellingen. Informatiebeveiliging in de zorg alleen baseren op de NEN7510 creëert een blinde vlek en zorgt voor onvolledig beleid. Ook de Europese wetgeving is belangrijk bij het vormen van uw informatiebeveiligingsbeleid.
Aandachtspunt 4: audits van beheersfactoren
In de laatste revisie van de NEN7510 is de implementatie van de auditbaarheid van de beheersfactoren opgenomen. Dit is vastgelegd conform de driedeling: (1) opzet, (2) bestaan en (3) werking. Deze audittermen zijn wellicht nieuw voor de IT-manager. De termen betekenen dat er een opbouw moet zijn van het beschreven plan (opzet), naar een eenmalige implementatie in de organisatie (bestaan), resulterend in een continue uitvoering in de praktijk (werking). Het ontbreken van bewijs op één van deze drie onderdelen leidt tot onzorgvuldigheid in de informatiebeveiliging.
Wilt u meer weten over informatiebeveiliging in de zorg?
Het vraagt dus veel van u als IT-manager en de organisatie om ‘in control’ te zijn wat betreft informatiebeveiliging. BDO kan u daarbij helpen door juiste vragen te stellen op basis van kennis van de materie en doordat alle relevante disciplines als één team samenwerken.
Neem dan contact op met Robert van Vianen of Frank van der Lee van de BDO Branchegroep Zorg via 088 236 48 03 of zorg@bdo.nl.
