Informatiebeveiliging in de zorg “Certificering is de kers op de taart”

Dat informatiebeveiliging in de zorgsector serieus wordt genomen, lijkt vanzelfsprekend, gezien de toegenomen digitalisering. Er is het EPD, de ziekenhuisnetwerken, de GDPR/AVG, eHealthapplicaties, dematerialisatie van geneesmiddelenvoorschriften, thuiswerken… Toch is het thema nog steeds een hoofdbreker. Hoe structureer en beveilig je al die informatie? En hoe ga je om met de grote afhankelijkheid van ict en de daarbij horende bedreigingen, zoals ransomware?

Hoe je de problematiek ook benadert, een gedegen managementsysteem voor informatiebeveiliging is simpelweg een must. Certificering is vervolgens de kers op de taart, de beloning van alle inspanningen en al je werk. “ISO 27001-certificering (en bij uitbreiding de privacy-extensie ISO 27701) bewijst dat je informatiebeveiliging als zorgorganisatie goed voor elkaar hebt, je primaire en secundaire processen naar een hoger niveau tilt en de kans op incidenten verkleint”, beklemtoont Merit Schrijvers, lead auditor bij DNV, en eigenaar van Merit-ISO.  Veel zorgorganisaties worstelen echter met certificering. Er worden handleidingen en procedures uitgeschreven, wat resulteert in een enorme digitale papierhoop, die je tegenwoordig – gelukkig – heel mooi kunt automatiseren met een documentbeheersysteem, inclusief dashboards, taken, alerts, etc. Maar dan? Hoe zet je vervolgens de stap naar certificering en verbeter je je systeem continu? Stijn Mahieu, bestuurder van Forma BV, begeleidt organisaties bij het opzetten, implementeren, onderhouden en verbeteren van zulke managementsystemen en heeft meteen een tip: “Start met een duidelijk stappenplan.” ISO is bovendien minder dwingend dan veel mensen denken.

Plan van aanpak

“Het is echt niet de bedoeling dat je het warm water opnieuw gaat uitvinden. Daarom zetten we aan de hand van de resultaten uit een startonderzoek de zwaktes en de sterktes van het ziekenhuis uit tegenover de eisen van de normen en het gewenste resultaat”, vertelt Stijn Mahieu. “Op die manier proberen we samen een werkwijze te bepalen die conform is met de positieve gewoontes van het ziekenhuis én de eisen uit de norm. Vervolgens nemen we het managementsysteem en bijhorende documenten onder de loep.” Merit Schrijvers: “Naast een centrale contactpersoon, moet er een dwarsdoorsnede van medewerkers en leidinggevenden bij het traject en het systeem betrokken zijn. Van directie en ICT-afdeling, over de functionaris gegevensbeheer, kwaliteitsmedewerker, security officer, en uiteraard ook specialisten, artsen en verpleegkundigen. Procesbeschrijvingen moeten zeer praktisch gericht zijn naar de werkvloer. Spreekt voor zich dat er input van medewerkers nodig is voor het bepalen van risico- en controlepunten.”

Motivatie is key

Iedereen mee aan boord krijgen en houden is uiteraard key. Merit Schrijvers: “Zorg voor betrokkenheid en ondersteuning, maak voldoende middelen vrij – geld, tijd en mensen – om de werking van je systeem en alle controles te waarborgen, train mensen die ermee aan de slag gaan en die ermee werken. En start op tijd! Ook al werkt men soms al jaren met een systeem, vaak realiseert men zich niet dat het doorlichten en finetunen ervan en vervolgens het hele certificatietraject maanden kan vergen.” Stijn Mahieu: “De basis is een risicoanalyse. Op grond daarvan bepalen we de relevantie van verschillende maatregelen voor die of die organisatie. Als je risico’s doeltreffend wil terugdringen, onzekerheden wil managen en incidenten wil voorkomen, moet je duidelijk in kaart brengen hoe je binnen de organisatie met risico’s omgaat en regelmatig evalueren en nagaan of je maatregelen voldoen.”

Proef op de som

Stijn Mahieu: “Als laatste stap voor de ‘echte’ audit controleren we aan de hand van een interne audit de werking van het systeem. Zo nodig kan er een en ander nog worden aangepast. Een bijkomend doel is mensen vertrouwd maken met de audittechniek om onnodige en storende ‘zenuwen’ op het moment van de certificatie-audit voor te zijn. Ook dit doe je best ruim op voorhand. Zo kun je essentiële verbeteracties identificeren en vervolgens nog verscheidene weken naar het certificaat toewerken.” En dan is er de audit zelf. Merit Schrijvers: “De audit bestaat uit twee delen. Eerst een dag tot anderhalve dag die de opzet van het systeem tot in detail onder de loep neemt. En vervolgens een tweede stuk gericht op de implementatie, waarvoor we de vloer opgaan. Dat gaat heel pragmatisch. Eigenlijk hebben we gewoon heel speelse gesprekken over wat mensen in hun dagelijkse werk doen, om te toetsen of dat overeenstemt met wat in de documentatie staat. Ik benadruk hierbij altijd dat we het systeem beoordelen, niet de medewerkers. We zijn niet van de politie!”

Weg met de struikelblokken

Merit Schrijvers: “In de basis gaat het erom dat je werkt zoals het is uitgeschreven, met eventuele aanpassingen waar te veel risico is voor risico’s die je kan managen. Voor alle duidelijkheid: het is niet de bedoeling dat je opschrijft wat je denkt dat goed is om aan de standaard te voldoen, om vervolgens tot de vaststelling te komen dat de voorgestelde maatregel niet praktisch is, medewerkers het niet zo aanpakken of hun manier van werken na de audit veranderen.” “Een ‘goed om weten’: bedenk dat het systeem bij een eerste audit niet perfect hoeft te zijn, mits alle door de norm vereiste elementen maar operationeel zijn”, verduidelijkt Stijn Mahieu. “Nadat een managementsysteem is gecertificeerd, is het uiteraard de bedoeling om het systeem in stand te houden. Interne en externe audits zijn een stok achter de deur, maar ook de beste bewaking van je informatiebeveiligingssysteem en de beste manier om er altijd bovenop te zitten.”

Op maat van de organisatie

Merit Schrijvers: “Doe wat je zegt dat je doet, blijf controles uitvoeren en als er iets afwijkt, verbeter het dan. Wat we vaak zien, is dat er in aanloop heel hard wordt gewerkt. Zodra het certificaat in de bus zit, heeft iedereen echter de neiging om achterover te gaan zitten. Dat moet je net niet doen, anders heb je meteen een achterstand van drie-vier maanden en moet je daarna weer heel hard werken. De bedoeling is dat de hele workflow opgaat in mensen hun dagelijkse werkzaamheden.” Stijn Mahieu: “Wij gebruiken software (Coach2Lead) om het volledige ISO 27001 in te beheren. Momenteel zijn we hierin een platform aan het uitbouwen, waarin de reeds aangesloten ziekenhuizen en hopelijk veel toekomstige, kennis en uitgewerkte documenten kunnen delen. Er is bij de ziekenhuizen veel openheid in verband met het uitwisselen van ervaringskennis over informatieveiligheid en met dit platform kunnen we dit optimaal faciliteren.”

Wilt u ook starten met informatiebeveiliging?

Download onze gratis whitepapers:

Bent u al klaar voor certificering? Vraag vrijblijvend een offerte op. 


BRON: ZORG Magazine #68 - editie juli 2021