Heeft u als organisatie een gebouw met slagbomen naar de parkeerplaats, een door de beveiliging bedienbare deur en een receptie waar iedereen die binnenkomt, zich inschrijft? Dan is het relatief eenvoudig om in ieder geval te weten wie er in het gebouw rondlopen. Bij een ziekenhuis is dat anders. Hier lopen mensen dag en nacht in en uit. Dat betekent dat u een andere benadering moet hanteren als het gaat om fysieke en digitale beveiliging. Temeer doordat het ziekenhuis werkt met patiëntgegevens die per definitie strikt vertrouwelijk zijn en dus maximaal beschermd moeten zijn.
Dit geldt ook voor ons ziekenhuis, waar de ruim 3500 medewerkers zorg bieden aan honderdduizenden patiënten uit de regio Rotterdam en omstreken. Om ervoor te zorgen dat we met ons allen veilig werken, maken we werk van de nieuwe NEN7510:2017.
Welke stappen hebben we ondernomen?
- Het uitvoeren van een risicoanalyse. Dat hebben we organisatiebreed gedaan met in het achterhoofd artikel 76 van de Algemene Verordening Gegevensverwerking (AVG): ‘De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.’
- Het bepalen van noodzakelijke maatregelen. Op basis van de risicoanalyse hebben we noodzakelijke maatregelen bepaald. De risico’s en de gewenste behandeling van deze risico’s zijn vastgelegd. Dat doen we op basis van ‘plan-do-check-act’ (opzet, bestaan, werking). Zo voorkom je dat je blijft hangen in de planfase.
- Het implementeren van de bepaalde maatregelen conform de NEN7510 op basis van een information security management-systeem (isms). Dat vraagt enerzijds om goed na te denken over de organisatorische kant en anderzijds om het werken aan intern draagvlak en bewustwording.
- Het implementeren van security management waarbij we uitgaan van de cyber security domains. Heel uitdagend is het om jezelf te blijven verdedigen tegen dat, waarvan je eigenlijk niet weet wat komen gaat. Elke dag ontstaan er nieuwe virussen en kwetsbaarheden.
- Tot slot is het van belang om interne en externe audits uit te voeren. Dat maakt het mogelijk om verbeterplannen te initiëren en uit te voeren.
Tegen deze achtergrond maken we veel werk van awareness onder medewerkers. Elke organisatie draait om mensen, processen en technologie. Alle medewerkers moeten doordrongen zijn van het belang van veilig en respectvol omgaan met data. Fysieke en digitale informatiebeveiliging conform NEN7510, samen met de Algemene Verordening Gegevensbescherming, is topprioriteit en behoeft continue aandacht.
Verder is het verstandig om fysieke en digitale beveiliging niet als gescheiden werelden te beschouwen. Of het nu een deur met paslezer is, die moet voorkomen dat onbevoegden toegang hebben, of een firewall die de digitale ‘voordeur’ van het ziekenhuis bewaakt: over alles moeten we in control zijn. Ons team van fysieke en digitale beveiligers levert hier 24/7 een essentiële bijdrage aan.
Verder dringen we er bij onze leveranciers op aan om intrinsiek veilige producten te leveren. Security en privacy by design & default moeten bij hen, net als bij ons, het uitgangspunt zijn. De onderzoeken van het Open web application security project (Owasp) laten zien dat leveranciers op dit punt nog veel kunnen verbeteren. Uiteindelijk gaat het bij alle betrokken partijen om awareness: de keten is immers zo sterk als zijn zwakste schakel.
Dennis Verschuuren en Maurice Patings, beiden werkzaam bij het Maasstadziekenhuis
Zorg & ICT 2018
Dennis Verschuuren en Maurice Patings houden tijdens de beurs Zorg & ICT die van 17 t/m 19 april plaatsvindt, op dinsdag 17 april van 13:00 – 13:45 uur een presentatie over het implementeren van Security Management conform de nieuwe NEN7510 bij het Maasstad Ziekenhuis. Ga voor meer informatie en aanmelding naar www.zorg-en-ict.nl/.
