Informatiebeveiliging: de voordelen van de PLAN-DO-CHECK-ACT-cyclus in de gezondheidszorg

Inleiding
De revisie van NEN 7510 en NEN 7511 is mede een gevolg van het verschijnen van de NEN-EN-ISO 27799 – Medische informatica – informatiebeveiligingsmanagement in de gezondheidszorg volgens ISO/IEC 27002.

Op de website van de NEN worden de inhoudelijke en redactionele wijzigingen die momenteel in NEN 7510 (en 11) worden aangebracht duidelijk toegelicht. Minder aandacht is er echter voor de introductie van de Plan-Do-Check-Act-cyclus (PDCA).

Dat is de reden voor onderhavige notitie. Toegelicht wordt wat de Deming-cyclus inhoudt en wat de voordelen van de toepassing ervan zijn, ook in de gezondheidszorg.

De PDCA-cyclus
Sinds de jaren vijftig van de vorige eeuw heeft het kwaliteitsdenken zich verder ontwikkeld. Doel was (en is) het continu verbeteren van de prestaties van een organisatie door beter te letten op wat de klant wil en dat op te nemen in de organisatiestrategie.

Omdat de technologie, de klantwensen en in feite de gehele omgeving van organisaties voortdurend in verandering zijn, en daardoor ook de organisatie zelf, is het belangrijk dat er periodiek geanalyseerd wordt of de gestelde doelen nog valide zijn en of de processen waarmee je die doelen bereiken wilt tussentijds aanpassing behoeven.

De kwaliteitscirkel van Deming is een nuttig hulpmiddel voor het optimaliseren van de kwaliteit van een product, productieproces, dienst of organisatie. De cirkel beschrijft vier elkaar opvolgende activiteiten die op alle verbeteringen in organisaties van toepassing zijn. Deze activiteiten zorgen uiteindelijke voor een betere kwaliteit. Het cyclisch karakter garandeert dat de kwaliteitsverbetering continu onder de aandacht is.

De vier activiteiten zijn:

• PLAN: kijk naar de huidige werkzaamheden en stel een plan voor de verbetering van deze werkzaamheden op. Stel voor deze verbeteringen (meetbare) doelstellingen vast.

• DO: voer de geplande verbeteringen uit in een gecontroleerde proefopstelling.

• CHECK: meet het resultaat van de verbetering en vergelijk deze met de oorspronkelijke situatie en toets deze aan de vastgestelde doelstellingen.

• ACT: actualisatie van de planning. Stel (eventueel) (delen) van het oorspronkelijke plan bij aan de hand van de gevonden resultaten bij CHECK.

Kern van deze werkwijze is dat ze op elk gewenst organisatieniveau kan (en moet) worden uitgevoerd: de directie past de PDCA-cyclus toe op de primaire organisatieprocessen, het management op de daaronder gelegen processen en de medewerkers op de door hen zelf uitgevoerde deelprocessen. Op ieder niveau in de organisatie kan voor elk (deel)proces beoordeeld worden of verbetering mogelijk is en kunnen aanpassingen worden doorgevoerd.

Beproefde kwaliteitsmodellen, zoals bijvoorbeeld het INK-model (www.ink.nl), maken gebruik van deze methodiek.

Door de PDCA-cyclus te koppelen aan de jaarlijkse Planning & Control cyclus wordt bereikt dat er één systeem voor de besturing van de organisatie ontstaat, waarvan ook de verbeterbudgetten en (interne) controles onderdeel uitmaken (governance). Ook de borging van de verbeteringen (in het derde plaatje aangeduid met het blokje ‘Quality Assurance’- de wig) wordt op deze manier optimaal verzorgd.

Informatiebeveiliging en de nieuwe NEN 7510
Informatiebeveiliging is in wezen niets anders dan een kwaliteitsaspect van het creëren, opslaan, bewerken, distribueren en vernietigen van informatie. Daarbij moet de beschikbaarheid, integriteit en vertrouwelijkheid van informatie geborgd zijn.

Op zich geven NEN 7510 en het bijbehorende Handboek voldoende aanknopingspunten voor de bepaling hoe informatiebeveiliging in een bepaalde zorginstelling geregeld behoort te zijn. Maar de vraag is vaak ‘hoe zorg ik ervoor dat informatiebeveiliging structureel wordt ingebed in de bedrijfsvoering?’.

Het verbeteren of handhaven van de kwaliteit van zorg is op zich meestal al een belangrijk aandachtspunt in een zorginstelling. Vaak is er al een kwaliteitsbeleid geformuleerd of wordt zelfs gewerkt met een kwaliteitsmodel. De kunst is nu om informatiebeveiliging in te bedden in die bestaande kwaliteitsbenadering. Immers, die gebruikt als de PDCA-cyclus en heeft ook de koppeling aan de al bestaande Planning & Control cyclus gerealiseerd.

Informatiebeveiliging hoeft niet van de ene op de andere dag volledig ingeregeld te zijn. Waar het om gaat is dat er jaarlijks verbeteringen worden aangebracht en risico’s worden verkleind en beheerst. De Inspectie voor de Gezondheidszorg begrijpt dat ook wel. Als u, hoe onbeholpen dan ook, in de belangrijkste planning en control processen aandacht besteedt aan informatiebeveiliging, dan hebt u een belangrijke stap gemaakt. Een stap die structureel genoemd mag worden, want het onderwerp komt jaarlijks terug op de agenda, via jaarplannen, evaluaties van genomen maatregelen en nieuwe doelen. Daar ligt de kracht van de PDCA-cyclus voor informatiebeveiliging, ook in de gezondheidszorg.

De aanpak van informatiebeveiliging in een zorginstelling volgens de PDCA-benadering is indicatief hieronder weergegeven: Stappen en documenten van het Information Security Management System.

Drs. Mark Hoevers, CISM en Lead Auditor ISO 27001, managing consultant van TrustmarQ, is onafhankelijk adviseur op het gebied van informatiebeveiliging en kwaliteitszorg, te bereiken op mark.hoevers@trustmarq.nl.