Informatiebeveiliging in de zorg “Certificering is de kers op de taart”
- 29 juni 2021
- Posted by: veerle
- Categories: Begeleiding, Forma
Dat informatiebeveiliging in de zorgsector serieus wordt genomen, lijkt vanzelfsprekend, gezien de toegenomen digitalisering. Er is het EPD (elektronisch patiëntendossier), de ziekenhuisnetwerken, de GDPR/AVG, eHealthapplicaties, dematerialisatie van geneesmiddelenvoorschriften, thuiswerken, …. Toch is het thema nog steeds een hoofdbreker. Hoe structureer en beveilig je al die informatie? En hoe ga je om met de grote afhankelijkheid van ICT en de daarbij horende bedreigingen, zoals ransomware?
Hoe je de problematiek ook benadert, een gedegen managementsysteem voor informatiebeveiliging is simpelweg een must. Certificering is vervolgens de kers op de taart, de belining van alle inspanningen en al je werk. ‘ISO 27001-certificering (en bij uitbreiding de privacy-extensie ISO 27701) bewijst dat je informatiebeveiliging als zorgorganisatie goed voor elkaar hebt, je primaire en secundaire processen naar een hoger niveau tilt en de kans op incidenten verkleint”, beklemtoont Merit Schrijvers, lead auditor bij DNV, en eigenaar van Merit-ISO.
Veel zorgorganisaties worstelen echter met certificering. Er worden handleidingen en procedures uitgeschreven, wat resulteert in een enorme digitale papierhoop, die je tegenwoordig – gelukkig – heel mooi kunt automatiseren met een documentbeheersysteem, inclusief dashboards, taken, alerts, etc. Maar dan? Hoe zet je vervolgens de stap naar certificering en verbeter je je systeem continu? Stijn Mahieu, bestuurder van Forma BV, begeleidt organisaties bij het opzetten, implementeren, onderhouden en verbeteren van zulke managementsystemen en heeft meteen een tip: “Start met een duidelijk stappenplan.” ISO is bovendien minder dwingend dan veel mensen denken.
Plan van aanpak
“Het is echt niet de bedoeling dat je het warm water opnieuw gaat uitvinden. Daarom zetten we aan de hand van de resultaten uit een startonderzoek de zwaktes en de sterktes van het ziekenhuis uit tegenover de eisen van de normen en het gewenste resultaat”, vertelt Stijn Mahieu. “Op die manier proberen we samen een werkwijze te bepalen die conform is met de positieve gewoontes van het ziekenhuis én de eisen uit de norm. Vervolgens nemen we het managementsysteem en bijhorende documenten onder de loep.”.
Merit Schrijvers: “Naast een centrale contactpersoon, moet er een dwarsdoorsnede van medewerkers en leidinggevenden bij het traject en het systeem betrokken zijn; Van directie en ICT-afdeling, over de functionaris gegevensbescherming, kwaliteitsmedewerker, security officer, en uiteraard ook specialisten, artsen en verpleegkundigen. Procesbeschrijvingen moeten zeer praktisch gericht zijn naar de werkvloer. Spreekt voor zicht dat er input van medewerkers nodig is voor het bepalen van risico- en controlepunten.
Motivatie is key
Iedereen mee aan boord krijgen en houden is uiteraard key. Merit Schrijvers: “Zorg voor betrokkenheid en ondersteuning, maak voldoende middelen vrij – geld, tijd en mensen – om de werking van je systeem en alle controles te waarborgen, train mensen die ermee an de slag gaan en die ermee werken. En start op tijd! Ook al werkt men soms al jaren met een systeem, vaak realiseert men zich niet dat het doorlichten en finetunen ervan en vervolgens het hele certifcatietraject maanden kan vergen.”
Stijn Mahieu: “De basis is een risicoanalyse. Op grond daarvan bepalen we de relevantie van verschillende maatregelen voor die of die organisatie. Als je risico’s doeltreffend wil terugdringen, onzekerheden wil managen en incidenten wil voorkomen, moet je duidelijk in kaart brengen hoe je binnen de organisatie met risico’s omgaat en regelmatig evalueren en nagaan of je maatregelen voldoen.”
Proef op de som
Stijn Mahieu: “Als laatste stap voor de ‘echte’ audit controleren we aan de hand van een interne audit de werking van het systeem. Zo nodig kan er een en ander nog worden aangepast. Een bijkomend doel is mensen vertrouwd maken met de audittechniek om onnodige en storende ‘zenuwen’ op het moment van de certificatieaudit voor te zijn. Ook dit doe je best ruim op voorhand. Zo kun je essentiële verbeteracties identificeren en vervolgens nog verscheidene weken naar het certificaat toewerken.”
En dan is er de audit zelf. Merit Schrijvers: “De audit bestaat uit twee delen. Eerst een dag tot anderhalve dag die de opzet van het systeem tot in detail onder de loep neemt. En vervolgens een tweede stuk gericht op de implementatie, waarvoor we de vloer opgaan. Dat gaat heel pragmatisch. Eigenlijk hebben we gewoon heel speelse gesprekken over wat mensen in hun dagelijkse werk doen, om te toetsen of dat overeenstemt met wat in de documentatie staat. Ik benadruk hierbij altijd dat we het systeem beoordelen, niet de medewerkers. We zijn niet van de politie!”
Weg met de struikelblokken
Merit Schrijvers: “In de basis gaat het erom dat je werkt zoals het is uitgeschreven, met eventuele aanpassingen waar te veel risico is voor risico’s die je kan managen. Voor alle duidelijkheid: het is niet de bedoeling dat je opschrijft wat je denkt dat goed is om aan de standaard te voldoen, om vervolgens tot de vaststelling te komen dat de voorgestelde maatregel niet praktisch is, medewerkers het niet zo aanpakken of hun manier van werken na de audit veranderen.”
“En ‘goed om weten’: bedenk dat het systeem bij een eerste audit niet perfect hoeft te zijn, mits alle door de norm vereiste elementen maar operationeel zijn”, verduidelijkt Stijn Mahieu. “Nadat een managementsysteem is gecertificeerd, is het uiteraard de bedoeling om het systeem in stand te houden, interne en externe audits zijn een stok achter de deur, maar ook de beste bewaking van je informatiebeveiligingssysteem en de beste manier om er altijd bovenop te zitten.”
Op maat van de organisatie
Merit Schrijvers: “Doe wat je zegt dat je doet, blijf controles uitvoeren en als er iets afwijkt, verbeter het dan. Wat we vaak zien, is dat er in aanloop heel hard wordt gewerkt. Zodra het certificaat in de bus zit, heeft iedereen de neiging om acterover te gaan zitten. Dat moet je net niet doen, anders heb je meteen een achterstand van drie-vier maanden en moet je daarna weer heel hard werken. De bedoeling is dat de hele workflow op gaat in mensen hun dagelijkse werkzaamheden.”
Stijn Mahieu “Wij gebruiken software (Coach2Lead) om het volledige ISO 27001 in te beheren. Momenteel zijn we hierin een platform aan het uitbouwen, waarin de reeds aangesloten ziekenhuizen en hopelijk veel toekomstige, kennis en uitgewerkte documenten kunnen delen. Er is bij ziekenhuizen wel openheid in verband met het uitwisselen van ervaringskennis over informatieveiligheid en met dit platform kunnen we dit optimaal faciliteren.”.
Dit is een artikel gepubliceerd in het vakblad ‘ZORG magazine’ in de editie 68 van juni 2021.
Neem contact op met ons kantoor of laat uw vraag achter via ons contactformulier.
Open opleiding VCA basis
Slechts enkele medewerkers die een opleiding VCA nodig hebben? Sluit aan op de open opleiding en wij zoeken een locatie in de regio.
18 maart 2024-
Forma maakt deel uit van Amelior Group
Forma maakt vanaf eind februari deel uit van de Amelior Group. Hiermee bundelen we de krachten op vlak van operational excellence, kwaliteit, veiligheid, milieu, energie en informatieveiligheid.
14 maart 2024 -
Amendement klimaatverandering voor alle ISO normen
Klimaatverandering is toegevoegd aan alle managementsysteem standaarden. Lees hier hoe je dit toepast in uw managementsysteem.
11 maart 2024 -
Kies voor werkbaar werk in 2024 samen met Forma
In 2024 zijn er opnieuw werkbaarheidscheques beschikbaar! Krijg tot 10 000 euro steun om knelpunten rond werkbaar werk in uw organisatie in kaart te brengen en aan te pakken.
21 december 2023 -
Open opleiding VCA basis en VCA VOL
Slechts enkele medewerkers die een opleiding VCA nodig hebben? Sluit aan op de open opleiding en wij zoeken een locatie in de regio.
2 november 2023 -
Aanbod kwaliteitsopleidingen i.s.m. Voka
Neem deel aan een kwaliteitsopleiding georganiseerd door Voka. Versterk het kwaliteitsmanagement met een opleiding gegeven door Forma.
12 juli 2023 -
Geslaagde eerste stuurgroep ziekenhuizen
De Europese richtlijn NIS2 is in 2022 aangenomen. Op basis hiervan zal de huidige regelgeving op het gebied van cyberbeveiliging worden aangescherpt. Wat betekent dat nu in de praktijk? Ontdek het op de gratis infosessie van 23 maart 2023.
6 juli 2023 -
Gratis infosessie en netwerkevent NIS2
De Europese richtlijn NIS2 is in 2022 aangenomen. Op basis hiervan zal de huidige regelgeving op het gebied van cyberbeveiliging worden aangescherpt. Wat betekent dat nu in de praktijk? Ontdek het op de gratis infosessie van 23 maart 2023.
15 februari 2023 -
Forma is ISO 9001 én ISO 27001 gecertificeerd
We komen het niet zeggen, we komen het doen! En bovenal doen we het ook zelf. Forma is nu ook ISO 9001 én ISO 27001 gecertificeerd.
1 februari 2023 -
Flitscontroles sociale inspectie van 2023 – Wanneer bent u aan de beurt?
De sociale inlichtingen- en opsporingsdienst (SIOD) heeft de de sectoren bekend gemaakt waar en wanneer er flitscontroles verwacht worden. Bereid je voor met de voorziene checklists.
18 januari 2023
