Heb je als organisatie een gebouw met slagbomen naar de parkeerplaats, een door de beveiliging bedienbare deur en een receptie waar iedereen die binnenkomt zich inschrijft? Dan is het relatief eenvoudig om in ieder geval te weten wie er in je gebouw rondlopen. Bij een ziekenhuis is dat echter anders. Daar lopen mensen dag en nacht in en uit. Dit betekent dat je een andere benadering moet hanteren als het gaat om fysieke en digitale beveiliging. Temeer doordat je als ziekenhuis werkt met patiëntgegevens die per definitie strikt vertrouwelijk zijn en dus maximaal beschermd moeten zijn.
Dit geldt ook voor ons ziekenhuis, waar de ruim 3.500 medewerkers zorg bieden of deze ondersteunen voor honderdduizenden patiënten uit de regio Rotterdam. Om ervoor te zorgen dat we met z’n allen veilig werken, maken we werk van de nieuwe NEN 7510:2017.
Welke stappen hebben we ondernomen?
- Het uitvoeren van een risicoanalyse. Deze hebben we organisatiebreed gedaan, met in het achterhoofd artikel 76 van de Algemene Verordening Gegevensverwerking: “De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico.”
- Het bepalen van noodzakelijke maatregelen. Op basis van de risicoanalyse hebben we noodzakelijke maatregelen bepaald. De risico’s en de gewenste behandeling van deze risico’s zijn vastgelegd. Dat hebben we gedaan op basis van het principe Plan-Do-Check-Act (opzet, bestaan/implementatie, werking). Zo voorkom je dat je blijft hangen in de planfase.
- Het implementeren van de bepaalde maatregelen conform de norm NEN 7510, op basis van een Information Security Management Systeem (ISMS). Dat vraagt enerzijds om goed na te denken over de organisatorische kant en anderzijds om te werken aan intern draagvlak en bewustwording.
- Het implementeren van Security Management, waarbij we zijn uitgegaan van de cyber security domains. Heel uitdagend is het om jezelf te blijven verdedigen tegen datgene, waarvan je eigenlijk niet weet wat komen gaat. Elke dag ontstaan er immers nieuwe virussen en kwetsbaarheden.
- Tot slot is het van belang om interne en externe audits uit te voeren. Dat maakt het mogelijk om verbeterplannen te initiëren en uit te voeren.
Tegen deze achtergrond maken we veel werk van awareness onder medewerkers. Alle medewerkers moeten doordrongen zijn van het belang van veilig en respectvol omgaan met data, binnen een organisatie die draait om mensen, processen en technologie. Fysieke en digitale informatiebeveiliging conform NEN 7510, samen met de Algemene Verordening Gegevensbescherming, is topprioriteit en behoeft continue aandacht.
Ook is het verstandig om fysieke en digitale beveiliging niet als gescheiden werelden te beschouwen. Of het nu een deur met paslezer is, die moet voorkomen dat onbevoegden toegang krijgen, of een firewall die de digitale ‘voordeur’ van het ziekenhuis bewaakt: bij alles moeten we in control zijn. Ons team van fysieke en digitale beveiligers levert hier 24/7 een essentiële bijdrage aan.
Verder dringen we er bij onze leveranciers op aan om intrinsiek gemotiveerd te zijn om veilige producten te leveren. Security en Privacy by Design & by Default moeten bij hen, net als bij ons, het uitgangspunt zijn. De onderzoeken van het Open Web Application Security Project (OWASP) laten zien dat leveranciers op dit punt nog veel kunnen verbeteren. Uiteindelijk gaat het bij alle betrokken partijen om bewustwording: de keten is immers zo sterk als zijn zwakste schakel.
Dennis Verschuuren en Maurice Patings houden tijdens de beurs Zorg & ICT (17 t/m 19 april 2018) op dinsdag 17 april, van 13:00 – 13:45 uur, een presentatie over de implementatie van Security Management conform de nieuwe NEN 7510 bij het Maasstad Ziekenhuis. Voor meer informatie en aanmelding: www.zorg-en-ict.nl.
Deze bijdrage verscheen eerder op: https://www.icthealth.nl/blog/digitale-beveiliging-ziekenhuis-naar-bewust-en-bekwaam