Het belang van informatiebeveiliging wordt steeds meer onderschreven en we horen regelmatig in het nieuws over grootschalige datalekken (zie bijvoorbeeld de datalekken bij de GGD en de alarmklok die door de Autoriteit Persoonsgegevens wordt geluid).Voor een reguliere organisatie is cyberweerbaarheid al een belangrijk aandachtspunt, laat staan voor een zorgorganisatie waarbij er met persoonlijke gezondheidsinformatie wordt gewerkt. In de zorg is privacy en het beschermen van persoonsgegevens namelijk extra belangrijk. We hebben immers te maken met mensenlevens.
Medische persoonsgegevens
Medische gegevens, gegevens over iemands gezondheid, zijn gevoelige persoonsgegevens. In de AVG (Algemene Verordening Gegevensbescherming) staan deze dan ook als bijzondere persoonsgegevens omschreven. Er wordt dus een extra zorgvuldige omgang met deze gegevens gevraagd. Niet alleen binnen de gezondheidszorg, maar ook daar buiten. Iedere organisatie die met dit soort medische gegevens te maken heeft, moeten voldoen aan bijzondere voorwaarden.
Privacy
De privacywetgeving is met de AVG de afgelopen jaren aangescherpt en er staan flinke boetes op datalekken. Cybercriminaliteit neemt zo’n vlucht dat het niet meer de vraag is of, maar wanneer er een incident optreedt. Daarom stellen ook opdrachtgevers, zoals gemeenten en zorgverzekeraars, steeds meer eisen op het gebied van privacy en informatiebeveiliging. Niet alleen vanuit zorgplicht, maar ook vanuit het belang van imagoschade. Daarbij is het goed om in het oog te houden dat privacy niet alleen een ICT-onderwerp is. Elke collega heeft hierin zijn/haar verantwoordelijkheid, waarbij bewustwording van die verantwoordelijkheid een belangrijke, zo niet de belangrijkste, component is
Uitdagingen
Een managementsysteem voor informatiebeveiliging helpt bij het structureren en continu verbeteren van de bescherming van persoonsgegevens in een (zorg)organisatie. Bij het implementeren van een managementsysteem conform NEN 7510-1 en NEN 7510-2 zijn er echter de nodige uitdagingen. Wij behandelen ze en geven aanknopingspunten om hiermee om te gaan:
Interfaces
De grootste uitdaging in het opstellen van een informatiebeveiligingsbeleid is misschien wel dat u te maken heeft met verschillende interfaces. Er worden in de zorg allerlei verschillende systemen gebruikt waarmee over en weer wordt gecommuniceerd (tussen ziekenhuizen, huisartsen, onderling, etc.). Vooral een grotere zorginstelling, met veel afdelingen en veel contacten binnen en buiten de organisatie is hierbij de spin in het web. Daar komt de/het Wet(svoorstel) Elektronische Gegevensuitwisseling in de Zorg (Wegiz) nog bij. De Wegiz schrijft voor dat gegevensuitwisseling tussen zorgverleners elektronisch dient te verlopen en is bedoeld om bij te dragen aan een goede functionerende elektronische gegevensuitwisseling in de zorg.
Complexe organisatiestructuur
Vaak heeft een zorginstelling een complexte organisatiestructuur. In een ziekenhuis heeft u bijvoorbeeld te maken met een specialistenkorps, raad van bestuur, personeelsvertegenwoordiging, patiëntenvertegenwoordiging, etc. De verschillende belangen van al deze organen moeten vorm krijgen in uw informatiebeveiligingsmanagementsysteem (ISMS).
Het toepassingsgebied/de scope bepalen
Door de onderlinge afhankelijkheid van functies en afdelingen in een complexe zorgorganisatie kan het een ingewikkeld verhaal zijn om het precieze toepassingsgebied voor een NEN 7510-1 certificering te bepalen. Vooral voor eerstelijns zorgpraktijken, klinieken, thuiszorgteams en ziekenhuizen is het van belang de scope goed te formuleren. Daarbij stelt de toezichthouder (de Raad van Accreditatie bovendien dat de scope van certificatie altijd de primaire gezondheidszorgprocessen van de zorginstelling moet omvatten. Het is wel mogelijk om niet alle processen in één keer te certificeren, maar om deze stap voor stap toe te voegen en daar dezelfde werkwijze te herhalen. Criteria die bij kunnen dragen om het toepassingsgebied te definiëren zijn:
- In welke mate wordt er gestreefd naar zichtbare informatiebeveiliging (m.a.w. het uitdragen ervan binnen de organisatie)
- De balans tussen beoogde bedrijfs- en technische betrokkenheid. Hoeveel is IT gerelateerd en hoeveel heeft betrekking op bewustzijn (organisatie/processen).
- De mate van beheersing waar men naar streeft. Enkel op gecentraliseerd niveau, of moet elke lokale afdeling ook alles beheersen omtrent informatiebeveiliging
- In hoeverre de maatregelen beheersbaar zijn binnen een gekozen toepassingsgebied.
Interpreteren toepassingsgebied
Het interpreten van de scope/het toepassingsgebied blijkt vaak een uitdaging. Wat valt allemaal binnen dit toepassingsgebied en vergeten we niets. Zo kan het bijvoorbeeld zijn dat de diensten van derden (outsourcing, bijvoorbeeld van netwerkbeheer) of gedeelde diensten niet meegerekend worden in de scope, terwijl dit in ieder geval onderdeel moet zijn van de risicobeoordeling.
Onder een toepassingsgebied vallen dus ook de beheersing van diensten die door derden worden geleverd en de levering van vereiste ondersteunende processen, maar niet het vaststellen van hoe die ondersteunende processen worden geleverd. Oftewel u moet als organisatie eisen opstellen en weten/controleren (beheersen) wat het resultaat van het ondersteunende proces moet zijn, maar niet hoe (de leverancier) die in detail moet uitvoeren.
Tijd nemen voor de GAP-analyse
Alvorens een definitieve scope/toepassingsgebied te bepalen, kan een GAP analyse uitkomst bieden.
Door een steekproefsgewijze GAP analyse uit te voeren, kunt u gevoel krijgen bij de huidige status van uw informatiebeveiligingsbeleid. Zo krijgt u al een eerste inzicht in de mogelijke verbeteringen die nodig zijn, nog voor dat de risicobeoordeling heeft plaatsgevonden. Daarnaast geeft het inzicht in de prioritering, want misschien heeft een organisatieonderdeel wel meer aandacht nodig dan vooraf gedacht. Dit kost wel wat tijd, want om een zo compleet mogelijk beeld te krijgen moeten er gesprekken gevoerd worden met zorgverleners en managers. Een goed beginpunt is mogelijk de Bijlage B van de NEN 7510-2 (Praktisch plan van aanpak voor het implementeren van
ISO/IEC 27002 in de zorg) aangevuld met de checklist voor de zorgspecifieke maatregelen (Bijlage C).
Afhankelijkheid IT-diensten
Veel zorgorganisaties hebben IT-diensten uitbesteed. Omdat het in de zorg om gevoelige persoonsgegevens gaat, moeten ook de IT-diensten hiervoor een stapje extra zetten. Daarom moet er bij hen het besef zijn van:
- De hoge risiconiveaus. De zorg kent hoge risico’s. Val dus niet in de valkuil om bepaalde aspecten zomaar een laag risiconiveau toe te kennen.
- Kijk zowel naar de kwalitatieve als kwantitatieve risico’s. De veiligheid van patiënten (kwaliteit) staat boven de financiële risico’s (kwantiteit). De richtlijnen in het informatiebeveiligingsbeleid moeten dit belang erkennen.
- Er wordt van meerdere kanten input vereist. Een risicoanalyse kan over het algemeen niet door één persoon worden gemaakt. Er is vanuit alle hoeken specialistische kennis vereist. Ook kunnen incidenten uit het verleden veel kennis geven.
- In de zorg zijn diverse wettelijke verplichtingen. Wanneer een IT-leverancier diensten uitvoert voor een zorgorganisatie, hebben zij hier ook mee te maken.
Classificeren van informatie
Binnen uw informatiebeveiligingsbeleid moet u diverse soorten informatie classificeren. Daarbij moet er geclassificeerd worden op basis van wettelijke eisen, waarde van de informatie, het belang van de informatie en de gevoeligheid voor onbevoegde bekendmaking of wijziging. Zorgorganisatie behoren persoonsgegevens als vertrouwelijk te classificeren en daarbij horen ook bepaalde beschermende beheersmaatregelen. Het beschermingsniveau dat in het informatiebeveiligingsbeleid wordt vastgelegd, behoort te worden vastgesteld voor de beschikbaarheid, integriteit en betrouwbaarheid en voor de desbetreffende informatie middels een grondige analyse. De elementen:
Beschikbaarheid: Het continu beschikbaar zijn van medische gegevens is belangrijk voor een goed zorgproces. Een informatiebeveiligingsbeleid helpt om dit technisch en organisatorisch goed in te richten en dat ook zo te houden.
Integriteit: Is de informatie die de zorgverlener opvraagt juist, actueel en volledig?
Betrouwbaarheid: Daarbij gelden vier niveaus; openbaarmaking veroorzaakt geen schade, openbaarmaking veroorzaakt geringe problemen, openbaarmaking heeft kortdurend significante impact en openbaarmaking heeft ernstige impact.
Informatiemanagementsysteem
Om informatiebeveiliging structureel aan te pakken in uw organisatie heeft u met een breed scala aan onderwerpen te maken. Het goed inrichten van (data)processen, risicomanagement, facilitaire zaken etc. Een kwaliteitsnorm als NEN 7510-1 en de ondersteuning van NEN 7510-2, 7512 en 7513 kunnen hierbij helpen en richting geven. Wanneer u aan deze norm voldoet, toont u aan dat u er alles aan heeft gedaan om de gevoelige persoonsinformatie waar uw organisatie mee werkt te beschermen. NEN 7510 zorgt ervoor dat u alle gegevens binnen uw zorginstelling borgt, omdat u alle datastromen in kaart brengt en hier beheersmaatregelen op uitvoert.
Organiseer uw informatiebeveiliging effectief, download het NEN 7510
NEN 7510 geeft u de handvatten om uw informatiebeveiligingsbeleid van uw zorgorganisatie op te tuigen. Maar hoe begint u ermee en hoe vindt u de juiste balans tussen technische kennis en zorgen voor acceptatie en adoptie bij medewerkers? Onze experts ontwikkelden een praktisch NEN 7510 stappenplan om u stap voor stap te helpen uw doel te bereiken.
Download hier het NEN7510 stappenplan:
Onderwerpen:
Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging nen 7510
