Certificering brengt informatieveiligheid naar een hoger niveau
‘Als het goed is, is een informatieveiligheidssysteem niet prominent aanwezig. De cliënt of patiënt moet er niet al te veel van merken’ zegt Marc Monballieu, ICT-directeur van AZ Maria Middelares in Gent. ‘De goede zorg voor, en dus de veiligheid van de patiënt staan voor ons centraal. We onderhouden immers een vertrouwensrelatie met de patiënt. De patiënt wil zich veilig voelen, wil erop kunnen vertrouwen dat hij of zij op een goede manier behandeld wordt door mensen die daarvoor geautoriseerd zijn. Dat persoonlijke en vertrouwelijke gegevens op de juiste manier worden behandeld, is vaak een aanname. Het is ook een cruciale voorwaarde. Er is een wisselwerking: als de Informatieveiligheid niet goed op orde is, ontstaan er grote risico’s op de werkvloer. Zowel de patiënt als ons personeel hebben er belang bij dat dit goed georganiseerd is.’ Data Protection Officer Koen Verhulst onderstreept de gevoeligheid van ‘ziekenhuisinformatie’: ‘Wij werken met gegevens die door de patiënt als confidentieel worden gevoeld. Bij een gipsoperatie kan dat nog meevallen. Maar denk aan de casus van een patiënt die ernstig ziek is. Het is van groot belang dat patiëntinformatie discreet behandeld wordt. Net zoals een bank discreet hoort te zijn over de financiële positie van cliënten. In een ziekenhuis ligt dat nog wat delicater.’
Systematische verbetering
Monballieu: ‘Wij beseffen dat de patiënt erop vertrouwt dat we hier op een goede manier mee omgaan en niet ad hoc. Vanuit deze verantwoordelijkheid zijn we op zoek gegaan naar een methode om informatieveiligheid te organiseren. ISO 27001 is een van de beste normen: specifiek gericht op informatiebeveiliging én internationaal erkend. De norm helpt om in beeld te krijgen welke aspecten al goed georganiseerd zijn en wat er beter kan. De rode draad is systematische verbetering, met behulp van de plan-do-check-act-cyclus en vaste evaluatiemomenten. De norm helpt om kritisch te blijven. Waar staan we? Waar willen we naartoe? Welke acties staan nog open?’Serieuze bedreigingen
Een extra trigger om ISO 27001 te implementeren, vormde de GDPR-wetgeving (in Nederland AVG) die per 2018 moest zijn gewaarborgd. Deze wet is toegespitst op een specifiek deel van informatieveiligheid, namelijk privacygevoelige informatie. De wet verplicht om risico-inventarisaties uit te voeren. Een andere aanleiding vormt de dagelijkse realiteit en confrontatie met hacking en phishing: bedreigingen van informatiesystemen over de hele wereld. Zo zijn er meerdere redenen die organisaties doen besluiten om een overkoepelend systeem te implementeren voor informatieveiligheid. Uiteraard is ISO 27001 geen doel maar een middel dat kan bijdragen om te voldoen aan de regelgeving. De norm geeft structuur en maakt inspanningen meetbaar en aantoonbaar.Certificeren in tijden van COVID-19
Het was halverwege 2018 toen het ICTteam besloot om de norm ISO 27001 te implementeren. Verhulst, die ook voor gelieerde ziekenhuizen projecten begeleidt, had er al ervaring mee. In juni 2020 stond de certificeringsaudit gepland. En toen was er corona en een land in lock down…
Monballieu: ‘In België zijn de ziekenhuizen nagenoeg gesloten geweest voor ‘gewone’ patiënten. Dat doet veel met je werkomgeving. Toch hebben wij de timing niet veranderd. We hadden vertrouwen. We waren voorbereid. Bovendien was de verwachting dat in mei, juni COVID-19 voorbij zou zijn. Mede daarom hebben wij doorgepakt. Dan kon de zomer met recht een rustperiode zijn. Dus we hebben gedeald met de situatie: zonder die extra inzet die we onder andere omstandigheden hadden gepleegd in de laatste weken. Zonder die extra meeting, die extra opleiding… daar hebben we geen tijd en aandacht voor gehad. We zijn daarover transparant geweest met de auditor van DNV. Niet alles zou perfect zijn. Maar meer dan dit hebben wij niet kunnen en willen doen. Het zou ongepast geweest zijn om het personeel dat al onder druk presteerde, nog extra te belasten. Het personeel heeft nu, zij het in beperkte mate, kunnen profiteren van de vakantieperiode. Als we de audit hadden uitgesteld, was dat in feite contraproductief geweest. De tweede golf die nu opkomt, diende zich eerder aan dan was gedacht.’
De audit werd deels remote uitgevoerd, via Teams. Door gedeelde inspanningen van het ziekenhuis en van DNV werden bovendien tijdig de juiste documenten verkregen, waardoor de auditor bij uitzondering de Nederland-Belgische grens mocht oversteken.
De winst van certificering
De ICT-afdeling heeft uitdrukkelijk niet de ambitie om grote sier te maken met haar prestatie. Het Maria Middelares Ziekenhuis was al eerder gecertificeerd volgens de veelgebruikte JCI-norm voor veilige en kwaliteitsvolle zorg. Waarom dan ook nog ISO 27001? Monballieu licht toe: ‘We willen bescheiden zijn. Het gaat er ons louter om de informatieveiligheid op een goede manier in te richten. Dat is gelukt. Onze mensen zijn betrokken en goed geïnformeerd. Ze zijn inmiddels ervaren met audits; men is hier niet verrast als er een auditor op de werkvloer verschijnt. Men weet dat men normaal kan doen en even enthousiast mag zijn als anders. Men mag eenvoudig tonen hoe men werkt en fier is op het werk, waarbij het moment niet aanvoelt als een examen. Die openheid is de auditoren natuurlijk wel opgevallen.’
Verhulst vertelt hoe het proces van certificering trots maakt: ‘Het is mij opgevallen hoezeer mensen enthousiast waren om mee te werken aan de audit. Het teruggekoppeld krijgen van de bevindingen van de auditors leidde tot een trots gevoel. Vergeet niet: de mensen die in een ziekenhuisomgeving werken aan beveiliging zijn altijd op de achtergrond. Maar net zoals de collega’s in het primaire proces werken ICT’ers dag en nacht aan die veilige omgeving. Toch lijkt hun werk min of meer onzichtbaar te zijn. Het deed onze mensen goed om van buitenaf eens bevestiging te krijgen: ja, dit werk is belangrijk! Je doet ertoe en de kwaliteit van je werk is in orde! Natuurlijk zijn er ook verbeterpunten. Daar gaan we mee aan de slag. Volgend jaar wordt er hier zeker uitgekeken naar de tussentijdse audit. Zo geeft het systeem van extern auditeren bevestiging en bovendien energie en inspiratie.’
Scherp blijven
Kan informatieveiligheid zonder certificaat? Monballieu vindt van niet: ‘Certificering houdt ons scherp! Je kunt, juist als alles goed geregeld is, in de waan van de dag toch gemakkelijk vertroebeld raken. Door een systeem met externe audits, kun je voorkomen dat de organisatie zachtjes indut. De blik van de externe professional van DNV is een extra trigger om nog een stapje meer te doen. Zo hebben we in het kader van business continuity extreme vragen gesteld: Wat gebeurt er bijvoorbeeld als de gehele infrastructuur down zou gaan? Waar ligt onze kwetsbaarheid? Wat kunnen we doen om die te beperken? Denk eens na over zo’n scenario, ook in detail. Door deze vragen te stellen, ontstaat een hoger niveau van betrokkenheid en bewustzijn.’Een no blame cultuur
‘Draagvlak in de organisatie heeft een positief effect, direct merkbaar op de werkvloer’, stelt Verhulst. ‘Incidentenmeldingen zijn van een hoog niveau; er is geen schroom om een incident te melden en om dat ook eerlijk te doen, ook als men zélf de fout is ingegaan. Er heerst een no blame cultuur. Uit meldingen valt op te maken dat melders zich bewust zijn van risico’s voor de informatieveiligheid. Zo komen er meldingen voor, waar er wordt geattendeerd op een risicovolle situatie nog voordat een incident plaatsvond. Het houdt dus niet op bij een valincident of verkeerde medicatie. Er zijn meer meldingen dan voorheen. En dat terwijl wij ervan zijn overtuigd dat de risicobeheersing nu beter is dan toen. Dit is een typisch effect van draagvlak en uiteraard moet je dat dan faciliteren. Ondersteunend is er een goed systeem waarin medewerkers al dan niet anoniem hun melding kunnen doorgeven. Dit meldpunt is eenvoudig te vinden via het intranet en zelfs via het elektronisch patiëntendossier, waardoor er geen belemmeringen zijn om snel en gemakkelijk een incident te kunnen melden. In de communicatie zijn we duidelijk over het belang van informatieveiligheid via ons intranet. Voorts zijn er verplichte e-learningmodules uitgezet rond informatieveiligheid en rond de privacy van de patiënten in het bijzonder. Zo vormde ISO 27001 een interessant uitbreiding van ons werk voor de goede en veilige zorg in het ziekenhuis.’
Over Maria Middelares
AZ Maria Middelares is een algemeen, christelijk geïnspireerd ziekenhuis in de groene rand rond Gent. Het ziekenhuis huisvest 631 bedden en 24 hoogtechnologischeoperatiezalen. Er werken meer dan 200 artsen en 1.850 personeelsleden.
Geschreven door Heleen Aalders
Wilt u meer informatie over ISO 27001 certificering?
- Kijk dan op onze ISO 27001 service pagina.
- Certificeren? Vraag vrijblijvend een offerte aan.
- Download de whitepaper: 'In 10 stappen naar ISO 27001 certificering'.
- Vergroot uw kennis van de norm! Volg een Normkennis ISO 27001 training.