Per 25 mei van dit jaar is de Algemene Verordening Gegevensbescherming (AVG) van kracht en moeten alle organisaties zich aan de nieuwe Europese Privacywetgeving houden. Van zorgorganisaties die werken met gevoelige informatie, zoals patiënt- of cliëntgegevens, wordt meer verwacht. Hoe organiseren zij een digitale geheimhoudingsplicht anno 2018?
Jordan van den Akker, adviseur Safety & Security bij Royal Haskoning DHV en hoofddocent van de opleiding Veiligheid van gebouwen.
Vanwege het toenemende belang van informatiebeveiliging in de zorg is de NEN 7510 opgesteld. De norm beschrijft hoe om te gaan met patiënt- en cliëntgegevens en heeft als doel de vertrouwelijkheid, de integriteit en de beschikbaarheid van deze data te behouden.
De zorg verandert
Bij zorginstellingen hebben steeds meer mensen toegang tot persoonsgegevens van patiënten en cliënten. Dit maakt het op de juiste manier organiseren van de informatiesystemen in de zorg extra belangrijk. Een patiënt/cliënt heeft bovendien vaak te maken met diverse zorgverleners, maar verlangt tegelijkertijd ‘naadloze zorg’. De informatie moet zich daarom integraal & multidisciplinair uitstrekken over de grenzen van de diverse verantwoordelijkheids-domeinen, zoals beschreven in de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Vragen waarvoor zorgorganisaties zich nu gesteld zien, zijn: Hoe gaan we om met de toenemende mate van informatiebeveiliging? Hoe delen we deze informatie? En hoe organiseren we risicomanagement?
Norm vraagt maatwerk
Deze toenemende complexiteit in data betekent niet dat alle gegevens in een zorginstelling eenzelfde beveiliging vereisen. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt sterk af van de aard van de informatie en hoe deze wordt gebruikt. Ook de blootstelling aan risico’s is een belangrijk aspect. Om inzicht te krijgen op welk niveau de huidige databeveiliging is georganiseerd, dienen er vijf basisstappen te worden gezet.
Stap 1: Nulmeting – waar zitten de kwetsbaarheden?
Voer een integrale nulmeting uit om inzicht te krijgen in de huidige status van informatiebeveiliging in de organisatie. Kijk daarbij naar de eisen om te voldoen aan de NEN 7510, wat er in de organisatie al wordt opgepakt, en welke verbeteringen er nodig zijn.
Stap 2: Strategische risicoanalyse – van reactief naar proactief beveiligen
Om gedegen beheersmaatregelen te treffen, is een strategische risicoanalyse conform ISO 31000 en ISO 27005 noodzakelijk. Breng de risico’s in kaart en groepeer ze op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid. Maak ook onderscheid tussen strategische, tactische en operationele risico’s.
Stap 3: Opstellen Informatie Security Management Systeem (ISMS)
Geef vervolgens invulling aan de diverse stappen in NEN 7510. Vanuit verschillende Plan, Do, Check & Act (PDCA) stappen volgt een gedegen ontwerp van de beheersmaatregelen, waarbij gekeken dient te worden naar de diverse beveiligingsthema’s die er zijn. Denk aan:
- fysieke beveiliging;
- beveiliging van apparatuur;
- beveiliging van systemen;
- beveiliging van gegevens;
- communicatie en bewustzijn.
Stap 4: Certificering
Na het doorlopen van de PDCA-cyclus is het volwassenheidsniveau van informatiebeveiliging naar het juiste niveau gestegen. Om dit te toetsen, kan de organisatie zich laten certificeren. Middels een externe audit word bekeken waar mogelijke verbeteringen nog te treffen zijn en of certificering mogelijk is.
Stap 5: Ontwikkeling van het volwassenheidsniveau van de organisatie
Op basis van de uitkomsten van de verschillende interviews en de analyse van de documenten is het volwassenheidsniveau vast te stellen. Aan dit volwassenheidsniveau hangen diverse criteria, om zo objectief vast te kunnen stellen wat het huidige niveau van de organisatie is en waar men naar toe wilt groeien. Er zijn diverse volwassenheidsniveaus te definiëren, zoals:
- Onbekend: De organisatie is zich niet bewust van het risico en heeft geen intentie om het op te lossen.
- Ad-hoc: Onvoorspelbaar en ad-hoc, problemen worden opgelost als ze zich voordoen.
- Calculerend: Niveau waarbij de organisatie zover geprofessionaliseerd is dat bij het primaire proces gebruikgemaakt wordt van kennis die eerder is opgedaan. Beslissingen worden genomen op basis van ervaring.
- Proactief: Het niveau waarbij de belangrijkste processen zijn gestandaardiseerd en dus zijn vastgelegd.
- Reflectief: Het niveau waarbij de kwaliteit van het proces wordt gemeten, zodat het kan worden bijgestuurd. Het proces loopt als een geoliede machine en er is alleen sprake van fijne afstemming (puntjes op de i).
Op basis van deze volwassenheidsniveaus kan per discipline, onderzoeksthema, risico of dreiging bekeken worden wat het huidige niveau is, wat een basisniveau zou moeten zijn en wat de ambitie is.
Actie
Het kan toch niet zo zijn dat we niet exact weten wat er gebeurt in onze bedrijfsprocessen en hoe data daarin is beveiligd. Security is tegenwoordig niet meer weg te denken in de primaire bedrijfsprocessen, dus tijd voor actie.
Meer weten?
Op de opleiding risicomanager leert u hoe u uw organisatie beschermt tegen mogelijke risico’s.
Op de cursus Wetgeving & Security leert u wat de juridische mogelijkheden en onmogelijkheden zijn van security.