“Informatiebeveiliging is een lastig begrip. Veel mensen denken als ze deze term horen aan beveiliging van ICT, maar het is veel meer dan dat. Zorgverleners snappen wel dat je zorgvuldig moet omgaan met bijvoorbeeld cliëntendossiers, maar informatiebeveiliging gaat ook over het beschermen van informatie over je eigen medewerkers, de financiële informatie, het toegangsbeleid tot locaties. Als je de informatiebeveiliging van een zorginstelling wilt verbeteren, dan ben je met alle processen binnen een organisatie bezig: van beleidsmatig tot operationeel niveau. Dat is een behoorlijke klus, want je moet alle betrokken afdelingen zo ver krijgen dat ze willen meewerken.”
Aan het woord is VKA-medewerker Christ Reniers, consultant informatiebeveiliging en risicomanagement. Hij werd in 2013 door zorginstelling Triade ingehuurd om hun organisatie aantoonbaar in control te maken op het gebied van informatiebeveiliging, met als uiteindelijke doel een NEN7510 certificering: de Nederlandse norm voor informatiebeveiliging bij zorginstellingen. Reniers: “Je ziet dat er vanuit de decentrale overheid steeds meer eisen komen op het gebied van wet- en regelgeving. Daarop anticiperend wilde VKA alle risico’s met betrekking tot informatievoorziening in kaart brengen en daar passende maatregelen op nemen, zodat er zo min mogelijk fout kon gaan.”
Gouden regels
Met behulp van een quick scan werd door VKA gekeken wat er wel in orde was, wat niet en waar de grootste gaten zaten. Reniers: “Je moet mensen zo ver zien te krijgen dat ze in risico’s gaan denken en daar actie op ondernemen. Het is een verandering van mindset. Dat is soms moeilijk. Een zorginstelling als Triade heeft een centraal kantoor en daarnaast nog zo’n honderd locaties voor cliënten, variërend van woningen tot wooncomplexen en een dagbesteding. Bijna iedere locatie heeft een grote zelfstandigheid, dus hoe coördineer je dat bijvoorbeeld met sleutel- en toegangsbeheer? Kun je daar iets generieks voor verzinnen? Hoe regel je toegang tot zorg of financiële informatie? En klopt die informatie allemaal wel?”
Om op de werkvloer draagvlak te creëren voor de optimalisering van de informatiebeveiliging, introduceerde VKA Gouden Regels. Reniers: “De regels variëren van: ‘Lock je computer’ en ‘Bespreek je cliënten niet in het openbaar’ tot ‘Ga zorgvuldig om met social media in relatie tot je cliënten’. Binnen korte tijd kende iedereen deze regels uit z’n hoofd en – niet onbelangrijk – volgde ze op. Tezamen met het algehele verandertraject dat door VKA in werking was gezet, leidde dit ertoe dat Triade eind vorig jaar succesvol door de audit kwam en het NEN7510 certificaat behaalde. Een prestatie waar zowel Triade als VKA trots op is.
“Het mooie van werken voor zorginstellingen is dat je direct bijdraagt aan een betere maatschappij,” verklaart Reniers. “We helpen zorginstellingen niet alleen om veilig om te gaan met informatie van cliënten, maar ook om de juiste, volledige en betrouwbare informatie te verschaffen. Dit zorgt ervoor dat cliënten de zorg krijgen die ze nodig hebben. Voor de achterban van de cliënt is het van belang dat zij erop kunnen vertrouwen dat hun dierbare de juiste zorg krijgt en er netjes wordt omgegaan met zijn of haar informatie. Het vergroot het gevoel van veiligheid in alle opzichten.”
Wilt u meer weten over deze opdracht of het onderwerp informatiebeveiliging in de zorg? Neem dan vrijblijvend contact op met Steven Debets.