Informatiebeveiliging in de zorg (oftewel NEN 7510) is voor iedere organisatie een stevige uitdaging. Vooral in de eerste lijn lijkt het een zeer intensieve en kostbare aangelegenheid, als je al weet waar je moet beginnen. Wij stelden aan Ernst Oud vijf vragen over informatiebeveiliging in de eerste lijn.

NEN 7510 richt zich op zorginstellingen en andere instellingen die bij informatievoorziening in de gezondheidszorg zijn betrokken maar houdt geen rekening met de aard en omvang van het bedrijfsproces. Maakt dit gebrek aan onderscheid het niet onnodig moeilijk voor kleinere organisaties?

Nee, beslist niet. Bij verstandig gebruik van NEN 7510 is altijd verbetering van de kwaliteit van de informatievoorziening het uiteindelijke resultaat. De diepgang en breedte van de implementatie zal verschillend kunnen zijn tussen kleine en grote organisaties, maar bruikbaar is de norm altijd. Implementatie betekent wel dat bij een kleine organisatie met minder budget en minder tijd de risicoanalyse nog duidelijker moet maken in welke maatregelen het beschikbare budget gestoken moet worden.

De inspectie voor de Gezondheidszorg (IGZ) heeft in 2010 verlangd dat alle ziekenhuizen zich extern lieten toetsen aan de hand van de NEN 7510. De Nederlandse Vereniging van Ziekenhuizen (NVZ) heeft daarop een eigen subset ontwikkeld in overleg met IGZ. Is dit een goede aanpak en hoe zou de eerste lijn dit moeten organiseren?

Aan de slag met een zogenaamde baseline, een selectie van de mogelijke maatregelen die al een groot deel van de risico’s dekt, is een goede aanpak. Echter; er zijn binnen elke instantie altijd meer risicovolle informatiesystemen waarvoor extra maatregelen noodzakelijk zijn. Een ‘one size fits all’ strategie is dan gevaarlijk. Ook in de eerste lijn is een dergelijke aanpak zinvol. Ga met een aantal ervaren mensen bij elkaar zitten en selecteer uit NEN 7510 die maatregelen die altijd noodzakelijk zijn. Dat omvat vaak de wettelijk noodzakelijke maatregelen zoals respecteren van de WBP en kies daarnaast dan bijvoorbeeld maatregelen voor continuïteit, toegangscontrole en fysieke beveiliging. Implementeer die met de beschikbare middelen en kijk dan nog eens waar extra verbeteringen ook nog mogelijk zijn.

Als je als zorgverlener van een solo huisartsenpraktijk zelf aan de slag wil met de NEN 7510, zonder externe hulp, hoe zou je dat dan moeten aanpakken?

Stel jezelf de vraag wat nou echt een dramatische gebeurtenis zou zijn met betrekking tot de informatiesystemen die je gebruikt. Denk daarbij niet alleen aan de gevolgen voor de praktijk maar ook voor de patiënten. En bedenk dan eens wat je zou moeten doen om dit gebeurtenis(sen) te voorkomen. Pak dan NEN 7510 en probeer te begrijpen welke (kleine set) maatregelen daarbij passen. Probeer met minimale middelen die maatregelen dan zo goed mogelijk te treffen. Kun je dat niet zelf, zoek dan pas hulp.

Ligt er bij een zorgverlener van een solopraktijk een verantwoordelijkheid om aan de softwareleverancier te vragen of zijn systeem ook voldoen aan de toetsbare voorschriften van de NEN 7510 ? (en hoe moet je dat aanpakken)

Ja. Van de managementcyclus (Plan, Do, Check/Act) kun je Do wel uitbesteden. Maar je blijft als zorgverlener wel verantwoordelijk voor het bepalen van de eisen die je stelt aan informatiesystemen en het toetsen of die eisen ingevuld worden. Dus moet je aan de softwareleverancier zekerheden vragen en de mate van compliance met de relevante eisen uit NEN 7510 kan daarbij helpen. Een aantal partijen hebben daar een normenkader voor opgesteld (ZekereZorg).

De NEN 7510 lijkt geen echte borging te kennen voor software-validatie, het aantonen van de betrouwbaarheid van de gebruikte software. De financiële markt lijkt hier veel verder in te zijn. Wat zou de gezondheidszorg kunnen leren van de financiële markt in dit opzicht? 

Het punt is dat als software die een praktijk gebruikt al betrouwbaar is, dat slechts een klein deel vormt van het totale informatiesysteem. Dat informatiesysteem omvat ook de infrastructuur zoals de computer en het netwerk, maar ook de wijze van werken door de mens er omheen, de fysieke beveiliging enzovoorts. Van de NEN 7510 maatregelen is misschien maar 20% van toepassing op software, de overige maatregelen zijn ook belangrijk! Persoonlijk geloof ik niet dat de financiële sector als voorbeeld moet dienen voor de gezondheidszorg. Ook in de financiële sector zijn meer dan genoeg problemen met de bescherming van informatie. En soms zijn die problemen echt fundamenteel anders vergeleken met de gezondheidszorg.

—

Ernst Oud is sinds 1981 werkzaam in de ICT, onder andere bij Microsoft, Deloitte, Urenco, Getronics en Philips. Hij heeft vele grote en kleine organisaties, nationaal en internationaal, geholpen met business continuity en informatiebeveiligingsvraagstukken.

Daarnaast is Ernst auteur van het enige nederlandstalige boek over ISO 27001, de internationale norm voor informatiebeveiliging. Hij verzorgd ook regelmatig trainingen en presentaties over informatiebeveiliging en meer specifiek de NEN 7510, onder andere in samenwerking met NEN.

Voor contact met Ernst Oud, contact Kineta: www.kineta.nl