Menu

Informatieveiligheid aantoonbaar op orde.

04-03-2024 | Verschillende wet- en regelgevingen verlangt dat elke zorgaanbieder de veiligheid van bedrijfs- en persoonsinformatie aantoonbaar op orde heeft. De Inspectie Gezondheidszorg en Jeugd (IGJ)  ziet hier op toe. Zo is bijvoorbeeld naar aanleiding van het onderzoek bij ziekenhuizen rondom ICT storingen geëist van ziekenhuizen dat ze uiterlijk in 2023 een NEN 7510 certificering behalen. Hiermee tonen ziekenhuizen aan dat de informatiebeveiliging aantoonbaar op orde is. Het is in het verlengde hiervan een kwestie van tijd dat ook andere zorginstellingen aan de NEN 7510 moeten gaan voldoen.

Wat is aantoonbaar op orde en wat moet je doen om dat voor elkaar te krijgen? Dat leggen we u uit in dit blog.

Wat is dat, aantoonbaar op orde?

Er zijn verschillende benaderingen van aantoonbaar op orde. Wij leggen dat uit in termen van het zorgen voor de organisatorische en technische maatregelen om beschikbaarheid, kwaliteit (integriteit) en de veiligheid van de (persoons) gegevens te borgen. En dat ondubbelzinnig kunnen laten zien.

Twee opties:

Route 1: het opzetten van en ISMS conform de NEN 7510

De eerste route is het opzetten van een Information Security Management System (ISMS) conform de NEN 7510 normering. Met naar wens een certificering door een geaccrediteerde Certificatie Instelling. Dat is de meest degelijke vorm. Informatiebeveiliging wordt aan de hand van een geslaagde certificering objectief aantoonbaar bevonden. Een NEN 7510 certificaat geeft aan dat uw organisatie vertrouwelijk en integer omgaat met de patiëntgegevens.

Route 2: risicoanalyse en beheersmaatregelen

Een alternatieve route die minder omvangrijk is omvat een risicoanalyse en beheersmaatregelen.

Bij de eerste stap, de risicoanalyse, gaan wij opzoek naar zowel de plekken als ook situaties binnen uw organisatie waar mogelijk ‘iets mis kan gaan’. Waar dus rond de beschikbaarheid, kwaliteit en veiligheid van uw persoonsgegevens en bedrijfsinformatie een zwakke plek is of kan ontstaan. Bijvoorbeeld door interne invloeden (eigen medewerkers bewust of onbewust), externe invloeden (kwaadwillende, hackers, ontevreden klanten, etc.) en omgevingsfactoren (brand, overstroming, storm, etc.).

Daarvoor is het wél essentieel dat uw processen actueel zijn beschreven én dat er in de praktijk ook zo wordt gewerkt. Ook de architectuur van uw ICT (netwerk, apparatuur, devices, leveranciers, updatelogs, authenticaties etc.) moet beschikbaar en compleet zijn.

De vervolgstappen in dit proces zijn het definiëren van de beheersmaatregelen. Wij gaan nu de risico’s wegen en prioriteren. Wat is het meest belangrijk en meest impactvol? Stel dat een van de situaties zich voordoet en de bedrijfsvoering wordt geraakt. Hoe makkelijk (of niet) kan de organisatie zich daarvan herstellen? In termen van continuïteit, reputatie en financiële gevolgen. Bijvoorbeeld cliënten en patiënten die niet meer komen. Wat gebeurt er als de IGJ maatregelen of een behandelverbod oplegt? Denk hierbij ook aan ontevredenheid van personeel of het niet goed meer kunnen leveren van zorg. De mening van het management is hierin doorslaggevend en moet hierbij betrokken worden. Zij kunnen ook beslissen om bepaalde risico’s te accepteren.

De meest kritische risico’s en gebeurtenissen vragen om het nemen van beheersmaatregelen.

Preventieve maatregelen, zijn erop gericht om de waarschijnlijkheid dat iets gebeurt omlaag te brengen. Zo kunt u bijvoorbeeld regelmatig awareness training geven aan het personeel om datalekken te voorkomen en het veilig omgaan met de devices buiten de deur te stimuleren.

Reactieve maatregelen, die ervoor zorgen dat de gevolgen van een gebeurtenis zo klein mogelijk zijn. Back-ups en redundante systemen zijn hier voorbeelden om bij uitval of gijzeling de informatie en zorg weer snel door te herpakken. Maatregelen voorkomen niet dat er iets gebeurt. Daarom is het van groot belang om na het nemen van de maatregelen de ‘rest risico’s’ ook in te schatten. Hoeveel kans of impact is er nog over na de uitgevoerde beheersmaatregelen. En is dat voor uw zorgorganisatie acceptabel?

Meer weten hoe wij uw organisatie kunnen helpen met de implementatie, kijk dan op onze pagina https://avgcare.nl/nen-7510/ óf maakt gelijk een afspraak via per telefoon 0317-617070 óf https://avgcare.nl/contact/