Accordis: “Wij leiden zorginstellingen naar het water, zodat ze zelf kunnen drinken”
Zorginstellingen hebben te maken met overweldigend veel wetgeving, normeringen, richtlijnen, besluiten, toezicht enzovoort. Zeker voor kleinere organisaties is dit nauwelijks bij te houden. Toch geldt de handhaving van alle regelgeving ook voor hen. Gelukkig reikt Accordis de helpende hand.
Gert Jan van den Bosch is senior consultant bij Accordis met een langdurige en diverse achtergrond in de zorg. Hij heeft met zijn voeten in de klei gestaan als verpleegkundige in het ziekenhuis, ambulance en thuiszorg, maar ook in management- en directiefuncties in cure en care. “Ik heb de afwijking ICT”, zegt hij met een lach. Anderhalf jaar geleden begon hij bij Accordis om daar het productenaanbod te verbreden. “In samenwerking met CGI hebben wij PrIaaS ontwikkeld: Privacy & Informatiebeveiliging-as-a-Service. Dat is een plan in zeven stappen om die twee onlosmakelijk met elkaar verbonden gebieden van privacy en informatiebeveiliging naar een volwassen niveau te brengen.”
PrIaaS
Met PrIaaS krijgt iedere zorginstelling zijn privacy en informatiebeveiliging op orde. Het vormt zelfs een goede basis voor de NEN7510-certificatie. Van den Bosch geeft aan dat Accordis deze omvangrijke certificering niet doet, maar wel dat ze zorginstellingen kunnen helpen bij het voorbereiden ervoor. “Een van de NEN-normen stelt dat ‘privacy en bescherming van persoonsgegevens voor zover van toepassing moeten worden gewaarborgd in overeenstemming met relevante wet- en regelgeving’. En dan te bedenken dat de NEN7510 in totaal 240 normen omvat. Bovendien is er meer wetgeving omtrent databeveiliging dan de AVG. Denk alleen al aan het recente Besluit elektronische gegevensverwerking door zorgaanbieders, waarin staat dat zorginstellingen naast de NEN7510 ook aan de aanvulling daarop, de NEN7512, moeten voldoen. Zorginstellingen die tot nu toe weinig aandacht aan informatiebeveiliging hebben besteed, worden overspoeld. Het is dan ook niet zo gek dat ze aanlopen tegen beperkingen op het gebied van kennis, kunde en capaciteit. Natuurlijk zijn er ook positieve uitzonderingen. Met ons PrIaaS 7-stappenplan kunnen wij zorginstellingen naar het water leiden, zodat ze zelf kunnen gaan drinken. Indien nodig blijven wij meten, adviseren en uitvoeren, net zo lang tot ze inderdaad zelf hun privacy- en informatiebeveiliging op orde kunnen brengen en houden. Met de monitor die wij hebben ontwikkeld, kunnen zorginstellingen zelf via een dashboard continu hun eigen status controleren. De gezette stappen en het bereikte volwassenheidsniveau kunnen dan worden opgenomen in de managementrapportage van de instelling.”
Bij de huisarts
De eerste stap binnen het plan – zie het kader voor alle zeven stappen – is, zoals bij de meeste stappenplannen, een nulmeting. Van den Bosch vergelijkt dit met een bezoek aan de huisarts: “De klant weet namelijk niet wat hij mankeert. In de ‘light versie’ van onze nulmeting stelt de huisarts hem gerust en stuurt hem met een eenvoudig en makkelijk uit te voeren advies naar huis. Wanneer de huisarts er zelf ook niet uitkomt en hem doorverwijst naar het ziekenhuis waar hij van de ene specialist naar de ander gaat, wordt onze nulmeting een volledig assessment met diagnose en advies. Ook kan Accordis volledig ontzorgen met toewijzing van een FG en ondersteuning bij technische maatregelen. Een volledig assessment neemt ongeveer vijf dagen in beslag, waarbij we dan ook de hele ICT onderzoeken. De nulmeting kan dus van ‘light’ naar ‘compleet’ gaan of iets daar tussenin. Onlangs wilde een klant een beoordeling naar ‘de geest van de wet’. Vanuit die optiek hebben we enkele zaken in kaart gebracht die niet op orde waren. Aan de hand van onze volwassenheidsscan leveren we een rapportage op, met adviezen over waar de zorginstelling moet beginnen.”
Het PrIaaS 7-stappenplan
Krijg controle over uw privacy en informatieveiligheid in de volgende zeven stappen.
- Doe een nulmeting privacy en informatieveiligheid.
- De nulmeting geeft inzicht in de status per aandachtsgebied.
- Stel verantwoordelijken aan voor informatiebeveiliging (CISO) en privacy (FG).
- Accordis kan FG-ondersteuning en CISO-ondersteuning bieden.
- Breng de privacy-administratie en -boekhouding op orde.
- Accordis kan een Managed Privacy Impact Assessment uitvoeren en het Verwerkingsregister opstellen.
- Breng de contracten met leveranciers en ketenpartners op orde.
- Accordis kan Verwerkersovereenkomsten en Gegevensoverdrachtovereenkomst opstellen en beheren.
- Regel de informatiebeveiliging en privacy-beheer in (ISMS) en breng de documentatie op orde.
- Ondersteuning mogelijk van CGI’s Security Framework en documentatiediensten.
- Aandacht voor gedrag en communicatie.
- Trainingen, campagnes en simulaties zijn beschikbaar.
- Voer technische voorzieningen en maatregelen uit.
- Denk daarbij aan monitoring (SoC), Incident Response (CERT), IAM, Ransomware, secure e-mail, kennis.
Verantwoording
Naast de samenwerking met CGI, werkt Accordis samen met Mind Your Own Business Information (MYOBI). Van den Bosch volgt de opleiding tot FG bij de Duthler Academy. Vanuit deze brede expertise kan iedere mogelijke behoefte op het gebied van privacy en informatiebeveiliging worden ingevuld. “Met onze servicestappen werken we vanaf stap 1 toe naar een zogeheten Declaration of Accountability”, vertelt Van den Bosch. “Dit omvat een officiële verklaring dat je je als zorginstelling volledig kunt verantwoorden tegenover het maatschappelijk verkeer. We doen dus niet alleen een nulmeting, maar we kijken ook vooruit. In het overzicht van de DoA komt mooi de adviserende rol van de FG naar voren. Hij is verantwoordelijk voor de privacy-boekhouding, en dat alles bevestigd moet worden in audits. Pas dan kan de bestuurder een verklaring van accountability opstellen.”
Kennissessies
Volgens Van den Bosch zijn zorginstellingen van nature al heel goed in privacy. “Het zit in hun opleiding om de privacy van cliënten te respecteren. Alleen moeten ze het nu ook aantoonbaar kunnen maken dat ze dat doen. De AVG is geen doel op zich, maar een goed middel om de privacy van betrokkenen te borgen. Deze en andere boodschappen trachten wij over te dragen tijdens de vijf kennissessies die we tot eind maart houden. Tot nog toe ontvangen we enthousiaste feedback van de mensen die de sessies bijwonen. Onze aanpak wordt als helder, praktisch en werkbaar ervaren. In de praktijk horen we van klanten dat ze met onze gestructureerde aanpak de eisen van informatiebeveiliging en privacy op orde gaan krijgen. Dat typeert ook wel onze aanpak. Voor mij staat de afkorting AP dan ook niet alleen voor de Autoriteit Persoonsgegevens, maar ook voor ‘van Abstractie naar Pragmatiek’. De abstractie van al die regelgeving, wetgeving en normering kunnen wij vertalen naar een pragmatische aanpak met werkbare instrumenten, stappen en beleid.”