Zorginstellingen zijn verplicht om aan diverse normen te voldoen, zodat iedereen veilig en verantwoord te werk kan gaan. Denk hierbij aan normen met betrekking tot kwaliteitsmanagement, medische hulpmiddelen, ICT en informatiebeveiliging. Voor de laatste categorie spreken we voor de zorgsector over de NEN 7510 norm.
Deze Nederlandse norm voor informatiebeveiliging in de zorg, is een zorgspecifieke verdieping van de internationale norm ISO 27001.
Van zorginstellingen wordt verwacht dat zij werken in overeenstemming met de NEN 7510 zodat, met name de persoonlijke gezondheidsinformatie van patiënten en cliënten beschikbaar, veilig en betrouwbaar is.
Hoe toon je aan dat je in overeenstemming met de NEN 7510 werkt?
Als je als organisatie kiest voor een certificering tegen de NEN 7510 dan beoordeelt een onafhankelijke partij (de certificerende instantie) of je in voldoende mate het managementsysteem voor informatiebeveiliging (ISMS) hebt ingericht en of je de op jouw situatie van toepassing zijnde maatregelen hebt geïmplementeerd.
Een certificering wordt voorafgegaan door een implementatietraject. In dit traject wordt een risico gebaseerd ISMS ingericht waarbij op basis van risicoanalyses grip ontstaat op de beveiligingsrisico’s. Aan de hand van een Plan-Do-Check-Act (PDCA) cyclus wordt continu bewaakt dat de maatregelen afdoende werken. Het management krijgt met rapportages inzicht in de status, de genomen acties en de eventuele restrisico’s.
De implementatie duurt gemiddeld zes maanden tot een jaar, afhankelijk van de mate waarin de organisatie zich al bezighoudt met informatiebeveiliging en de prioriteit (m.n. beschikbaarheid van mensen) die aan het traject kan worden gegeven. Vervolgens controleert een auditor in twee auditfases, ’de theorie’ en ‘de praktijk’, of de implementatie geslaagd is en of je voldoet aan de norm. Door onderstaande tips te volgen, kom je dichter bij het behalen van de NEN 7510.
1. Management commitment
Het behalen van de certificering is een serieus, langdurig traject dat invloed heeft op de gehele organisatie. Het is niet alleen de verantwoordelijkheid van de ICT-afdeling; als je geen actieve ondersteuning hebt van de Raad van Bestuur, de Directie en het Management Team dan heb je onvoldoende draagvlak, is de urgentie afwezig en krijgt het traject onvoldoende prioriteit. Een NEN 7510 implementatietraject is dan gedoemd te mislukken. Zeker in een sector die met veel veranderingen en projecten te maken heeft, waarin personeel schaars is en waarin de zorg, terecht, altijd voorrang krijgt. Zorg er daarom voor dat de juiste mensen zich verantwoordelijk voelen en dat zij dit actief uitdragen. Alleen dan kun je de hele organisatie mee krijgen in een traject waar iedereen wat van zal merken.
2. Procesgerichte aanpak
Kies voor een procesgerichte aanpak bij de implementatie van de NEN 7510. Dit houdt o.a. in dat je de te implementeren maatregelen borgt in de (bestaande) processen van de organisatie. Vaak zijn dit ondersteunende processen zoals HR-processen, ICT-processen en leveranciersbeheer processen. De primaire zorgprocessen blijven dan veelal buiten schot. Mooie bijvangst is dat met deze aanpak de genoemde processen weer eens kritisch bekeken worden, hetgeen niet zelden leidt tot verbeteringen in deze processen waar de hele organisatie baat bij heeft.
3. Awareness
Het is belangrijk om tijdig te beginnen met het creëren van informatiebeveiligingsbewustzijn bij je medewerkers. Zorgmedewerkers zijn zich over het algemeen wel bewust van het feit dat ze met persoonsgegevens werken, de Algemene Verordening Gegevensbescherming (AVG) is al een aantal jaar geleden ingevoerd en organisaties hebben vaak al een awareness programma opgetuigd, inclusief een e-learning omgeving. Bij de NEN 7510 gaat het ook voor een belangrijk deel over de bescherming van persoonsgegevens. Sluit voor je informatiebeveiligingsbewustzijn daarom bij voorkeur aan bij al bestaande initiatieven en breidt deze uit met specifieke communicatie en trainingen voor de NEN 7510.
Je bent als organisatie vaak al meer bezig met informatiebeveiliging dan dat je in eerste instantie denkt.
4. Medewerkers bij het proces betrekken
Het NEN 7510 implementatietraject heeft, zeker in het begin, een projectmatig karakter. Naar mate je verder in het traject komt zullen steeds meer activiteiten regulier in de lijn uitgevoerd moeten worden (risicobeoordelingen, rapportages, interne audits, enz.). Door de juiste medewerkers vanaf het begin mee te nemen in het traject, vindt er kennisoverdracht plaats en stel je je medewerkers in staat om de NEN 7510 taken in hun reguliere werkzaamheden te integreren.
Hierbij is een betrokken management ook van belang. Werkzaamheden voor informatiebeveiliging moeten definitief in hun takenpakket worden opgenomen.
5. Pre-audit
Als je de mogelijkheid hebt, laat dan een pre-audit uit voeren. Op deze manier leer je de auditor kennen en leert deze persoon op zijn beurt ook jouw organisatie kennen. Tijdens deze pre-audit kan hij je tips geven en kun je een beeld krijgen van waar hij op gaat letten tijdens de daadwerkelijke audit. Daar kun jij je dan optimaal op voorbereiden.
6. Benoem “rijdende ambulances”
Tijdens de audit wordt niet van de organisatie verwacht dat alles helemaal op orde is. Het ISMS is er juist op gebaseerd dat de organisatie continu bezig is met verbeteren. Dit houdt automatisch in dat er zaken zijn die niet of niet helemaal op orde zijn. Het is belangrijk om die zaken te onderkennen, ze te benoemen en een actie aan te koppelen om het op orde te krijgen.
Een auditor zei eens: “Als ik ergens iets tegenkom dat niet in orde is, dan schiet ik daarop. Maar ik schiet niet op rijdende ambulances”. Hiermee bedoelt hij dat als het probleem onderkend is en er actie wordt genomen om het probleem te verhelpen, dit probleem niet automatisch tot een (kritische) tekortkoming leidt.
Zorg er daarom voor dat alle bekende issues, verbeterpunten, problemen, enz. vastgelegd zijn, dat er een eigenaar is benoemd, acties zijn bepaald, een planning is gemaakt en voortgang is vastgelegd.
7. Neem ruim de tijd tussen fase 1 en fase 2
Tijdens fase 1 van de audit, beoordeelt de auditor het managementsysteem voor informatiebeveiliging (ISMS) op ‘opzet’ en ‘bestaan’; is het ISMS beschreven, zijn alle documenten op orde en kan worden aangetoond met bijvoorbeeld verslagen dat wat is beschreven ook daadwerkelijk wordt uitgevoerd? Op basis hiervan beslist de auditor of de organisatie klaar is voor fase 2 van de audit.
Het kan gebeuren dat de auditor bevindingen heeft uit fase 1 die in fase 2 tot een tekortkoming zouden kunnen leiden. Door ruim de tijd te nemen tussen de twee fases – vier tot zes weken – kun je bevindingen van fase 1 tijdig bijstellen voor fase 2.
In fase 2 gaat de auditor de organisatie in om te toetsen in hoeverre de maatregelen daadwerkelijk binnen de organisatie zijn belegd (‘bestaan’) en dat het beoogde resultaat van de maatregelen ook wordt gerealiseerd (‘werking’).
Het wordt vaak vergeten om dit laatste te controleren. Risico’s worden onderkend, maatregelen geïdentificeerd en geïmplementeerd. Maak aantoonbaar dat je achteraf met een evaluatie ook hebt vastgesteld dat met de maatregelen het risico in de beoogde mate is gemitigeerd.
Door het volgen van deze zeven tips, kom je dichter bij het behalen van de NEN 7510 certificering. Informatiebeveiliging is belangrijk en een certificering helpt je om hier scherp op te blijven. Door verdergaande digitalisering in de zorg en nieuwe ontwikkelingen op het gebied van e-health gaat dit in de toekomst alleen nog maar een grotere rol spelen.
