Voor een efficiënte zorgverlening is het van groot belang dat medische- en cliënt informatie op een eenvoudige en snelle wijze toegankelijk zijn. De informatievoorziening moet zijn afgestemd op de behoefte van de specifieke medewerkers in de organisatie.

Aan de andere kant wilt u voorkomen dat informatie toegankelijk wordt voor onbevoegden. Niet elke medewerker heeft toegang tot dezelfde informatie, verschillende medewerkers hebben verschillende toegangsrechten. Voor alle overige personen, binnen of buiten de organisatie moet de informatie goed worden afgeschermd. Medische- en cliënt informatie is persoonlijk en mag nooit in handen van onbevoegden terecht komen.

Om deze reden is de NEN7510 norm ontwikkelt. Deze norm is special voor de zorg en is direct afgeleid van de ISO27001 standaard. NEN7510 ondersteunt u bij het op orde brengen van uw informatiebeveiliging en bij het handhaven daarvan.

Het doorvoeren van deze norm is een intensief proces. Hoe bepaalt u of uw zorginstelling aan alle eisen voldoet? En hoe zet u de normering om tot concrete verbeteracties? Hoe zorgt u ervoor dat de verbeteringen in de organisatie verankerd worden?

Argumenten voor informatiebeveiliging in de zorg

  1. Wet Bescherming Persoonsgegevens

De Wet bescherming persoonsgegevens (Wbp) beschermt uw privacy. In de Wbp staat wat er allemaal wel en niet mag met uw persoonsgegevens. En wat uw rechten zijn als uw gegevens gebruikt worden. U heeft bijvoorbeeld het recht op informatie en inzage in uw gegevens. En het recht op verzet tegen gebruik van uw gegevens.

  1. Onderdeel van de factor ‘Kwaliteit leveren’

De Inspectie voor de Gezondheidszorg (IGZ) toetst zorginstellingen op het leveren van kwaliteit. Informatiebeveiliging is daar een integraal onderdeel van. Zorgdragen dat informatie vertrouwelijk en integer behandeld wordt, is net zo belangrijk als het verzorgen van een client.

  1. Verwachting samenleving

De samenleving verwacht van zorgorganisaties dat zij niet alleen het beste met onze gezondheid voor hebben, maar dat zij ook zorgen voor adequate informatiebeveiliging. Het gaat in dit geval om zaken als:

  • Beschikbaarheid: Toegang hebben tot de juiste informatie op het juiste moment
  • Integriteit: Beschikken over correcte informatie
  • Vertrouwelijkheid: de informatie vertrouwelijk behandelen. Patiënten hechten veel waarde aan het feit dat informatie alleen gedeeld wordt met mensen die het echt dienen te weten.
  1. Regelgeving gebruik BSN-nummers

De Wet gebruik burgerservicenummer in de zorg (vaak afgekort tot wbsn-z) is een Nederlandse wet die een uitbreiding is van de Wet algemene bepalingen burgerservicenummer (Wabb). Deze wet regelt het gebruik van het Burgerservicenummer (BSN) in de medische zorg.

De Wbsn-z is 1 juni 2008 in werking getreden. In alle berichtgevingen tussen zorgaanbieders onderling (en naar de zorgverzekering) moet het BSN zijn opgenomen. Dit geldt voor alle elektronische, maar ook voor alle papieren berichtgevingen. Dit om persoonsverwisseling en daardoor medische fouten te voorkomen.

De zorgaanbieder stelt de identiteit en het BSN van een cliënt vast wanneer de cliënt zich voor de eerste maal tot de zorgaanbieder wendt ter verkrijging van zorg, maar niet zolang een spoedeisend karakter van de hulp daarbij in de weg staat.

  1. Meldplicht datalekken

Door een wijziging van de Wbp (invoering artikel 34a) wordt een algemene meldplicht datalekken voor alle organisaties in de publieke en private sector ingevoerd. Een zorginstelling is straks verplicht een datalek te melden die ernstige nadelige gevolgen voor de privacy voor de betrokkenen heeft. De meldplicht geldt voor de ‘verantwoordelijke’ zoals deze in de Wbp is gedefinieerd. ‘Betrokkenen’ zijn de personen van wie de persoonsgegevens zijn gelekt. Omdat er sprake is van een hoge sanctie bij niet naleving van de meldplicht is er een directe relatie met de governance van de instelling

  1. Belang bij incidenten

Veel organisaties denken dat zij de informatiebeveiliging goed op orde hebben, maar komen er bij incidenten achter dat dit niet het geval blijkt te zijn. Vindt er een incident plaats dan wil je aan kunnen tonen:
a. hoe de informatiebeveiliging geregeld is,
b. of welke stappen je aan het ondernemen bent om de informatiebeveiliging op orde te brengen.

Hoe meer organisaties voldoen aan de norm, hoe hoger de verwachtingen vanuit de maatschappij. Nu wordt er nog geaccepteerd dat ‘eraan gewerkt wordt’, maar op een gegeven moment verwacht men dat de procedures vastliggen.

  1. Voorkomen incidenten

Een goede informatiebeveiliging kan bepaalde incidenten, zoals verkeerde medicatie of te laat handelen, voorkomen.

Informatiebeveiliging is een onderdeel van goede Zorg

Het bieden van goede zorg staat centraal in iedere zorgorganisatie. Daarbij is het zorgdragen voor een goede omgang en beveiliging van de informatie een integraal onderdeel.

BelHayes ZorgSecurity Stappenplan

NEN7510 is ontwikkeld om de informatiebeveiliging op orde te brengen en op orde te houden. Het BellHayes ZorgSecurity stappenplan biedt ondersteuning bij het stap voor stap doorlopen van alle security aspecten. Het is een praktisch proces bestaande uit 9 stappen wat BellHayes voor u kan uitvoeren. Indien gewenst zijn er onderdelen door u zelf uit te voeren waarbij wij u blijven ondersteunen.

  1. Afhankelijkheid
  • Breng in kaart wat de belangrijkste bedrijfsprocessen zijn en van welke informatie(systemen) deze afhankelijk zijn.
  • Maak een overzicht wat voor soort gegevens wordt bewaard.
  • Welke risico’s zijn er, zorg dat er actuele informatie is over dreigingen en risico’s.
  • Wat zijn de gevolgen van reputatie- en continuïteitschade.
  • Hoe afhankelijk ben je van digitale informatie.
  • Is informatiebeveiliging een criterium bij investeringsbesluiten.
  • Wat zijn de wettelijke eisen waaraan je moet voldoen.
  1. Beveiligingsrichtlijnen
  • Stel een informatiebeveiliging plan op.
  • Maak richtlijnen betreffende informatiebeveiliging duidelijk aan medewerkers en leveranciers.
  • Richtlijnen BYOD (Bring Your Own Device)
  • Richtlijnen Sociale media
  • Hoe ga je om met beveiligingsincidenten.
  • Geheimhoudingsverklaring voor medewerkers en leveranciers.
  1. Organisatie
  • Benoem een security officer (SO), dit kan een functie of een rol zijn.
  • Test de werking van beveiligingsmaatregelen.
  • Aanspreekpunt voor beveiligingsvraagstukken.
  • Behandelt beveiligingsincidenten.
  • Informeert RvB over de actuele status van beveiliging.
  • Stel een procedure op voor het goedkeuren van (nieuwe) ICT voorzieningen.
  1. Bewustwording
  • Bespreek het belang en de regels van informatiebeveiliging regelmatig. Zorg ook dat de beveiligingsrichtlijnen bij iedereen bekend zijn.
  • Informeer medewerkers over het omgaan met gebruikersaccounts en wachtwoorden en herinner ze regelmatig aan de afspraken.
  • Stel regels op en informeer medewerkers over de manier waarop usb-sticks, smartphones en tablets moeten worden beveiligd en wat te doen bij verlies.
  • Stel regels op en bespreek deze binnen de organisatie over de manier waarop met cliëntgegevens moet worden omgegaan.
  • Denk na over een makkelijk te organiseren bewustwordingscampagne, met bijvoorbeeld posters of door extra aandacht tijdens het werkoverleg of een personeelsbijeenkomst.
  • Geef een aantal keer per jaar aandacht aan informatiebeveiliging, zodat iedereen binnen de organisatie bewust blijft hoe hij/zij zelf kan bijdragen aan veilig werken.
  • Leg verantwoordelijkheden vast in het arbeidscontract.
  • Evalueer beveiligingsincidenten, het doel is om ervan te leren.
  1. Toegang en wachtwoorden
  • Bepaal d.m.v. autorisatieschema’s vast wie de beschikking heeft tot bepaalde informatie.
  • Voer regelmatig checks uit of de toegangsrechten die medewerkers hebben in overeenstemming zijn met de functie/rol.
  • Beperk het aantal medewerkers met admin rechten.
  • Zorg voor een duidelijke change management procedure.
  • Elke medewerker heeft een eigen account.
  • Stel een strong wachtwoord policy in, inclusief een retentieperiode van 90 dagen, een oud wachtwoord mag niet worden gebruikt.
  • Verplicht medewerkers het standaard wachtwoord te wijzigen.
  • Computers worden automatisch vergrendeld als ze een aantal minuten niet worden gebruikt.
  • Overzicht van welke externe partijen toegang hebben met welk wachtwoord en pas dit aan als de situatie verandert.
  1. Beveiligen data
  • Zorg voor een classificatieschema van de opgeslagen data, zowel lokaal als in de cloud. Bepaal welk niveau van vertrouwelijkheid nodig is.
  • Zorg er voor dat data geencrypt is, zo ook bij datatransport.
  • Stel een meldprocedure op voor de situatie wanneer gegevens toegankelijk blijken te zijn voor derden of een ander beveiligingsincident is geweest.
  • Persoonsgegevens dienen volgens de wet adequaat beschermd te worden.
  • De organisatie geeft duidelijke aanwijzingen over de beveiliging van persoonsgegevens of andere gegevens die verwerkt moeten worden.
  • Stel een procedure op voor de vernietiging van oude vertrouwelijke gegevens. 
  1. Beveiliging ICT
  • Installeer een antivirusprogramma op alle apparaten aangesloten op het bedrijfsnetwerk en houdt deze up-to-date.
  • Zorg dat informatie op het bedrijfsnetwerk versleuteld is. Monitor het bedrijfsnetwerk, dit kan automatisch middels software.
  • Bij een draadloos netwerk stel encryptie op het hoogste niveau in (WPA2), voor bezoekers een apart bezoekersprofiel instellen.
  • Zorg voor installatie van een firewall.
  • Loop na welke verbindingen er zijn met de buitenwereld, zorg dat deze goed beveiligd zijn.
  • Zorg bij een opdracht tot de aanschaf van nieuwe ICT dat de beveiligingseisen duidelijk zijn en dat deze beschreven staan in de opdracht.
  • Schaf alleen legale software aan.
  • Test software in een aparte omgeving volgens een vast doorlopen testprotocol, na goedkeuring installatie op het productienetwerk.
  • Maak gebruik van het updaten van software.
  • Test beveiliging regelmatig door een extern bureau.
  1. Back-up/updates
  • Zorg voor een procedure voor het updaten van software die bekend is bij medewerkers en de afdeling ICT. Leg dit vast in de beveiligingsrichtlijnen.
  • Verplichting tot het updaten van software.
  • Procedure voor het maken, restoren en controleren van back ups. Check deze procedure maandelijks, zet de resultaten in een logboek.
  • Bewaar back ups op een veilige afstand.
  • Zorg bij online back up voor versleutelen van de data.
  • Stel een procedure op voor het onderhoud van soft- en hardware.
  • Stel een procedure op voor het beheer en beveiliging van computerruimtes.
  • Bewaar op een zorgvuldige plaats, wachtwoorden, software en documentatie.
  • Breng de ICT voorzieningen in kaart. 
  1. Fysieke beveiliging
  • Zet servers in een aparte, geconditioneerde goed beveiligde ruimte. Als alternatief kan worden gekozen voor een intern of extern data center.
  • Brand.
  • Inbraak.
  • Overstroming.
  • Stroomuitval.
  • Blikseminslag.
  • Stel een noodprocedure op indien informatie niet toegankelijk is. Zorg voor goed gedocumenteerde werk afspraken.

Indien u meer informatie of ondersteuning wenst verzoeken wij u contact met ons op te nemen. E-mail: info@bellhayes.nl / telefoon: 088 8765432

About the author