Het belangrijkste volgens Van der Linden is dat een bestuurder weet wie er in de zorginstelling werkt en welke autorisaties deze gebruikers hebben. ‘Het begint met gebruikersbeheer en het opstellen van een functiehuis. Wanneer dat op orde is, kun je een nieuw ict-systeem binnen twee à drie weken implementeren. Maar als het niet duidelijk is wie er in de organisatie werkzaam zijn, dan is het verstandiger om direct te stoppen. Dan is men slechts een bestaand probleem aan het digitaliseren.
Autorisatiemanagement
Maarten Stultjens van Elephant Security wijst eveneens op het belang van identity access management. ‘De basis van elke organisatie is een eenduidig overzicht van wie wat mag doen. Deze autorisaties goed regelen is de snelste winst voor een organisatie. Anders kunnen implementaties jaren duren.’ Stultjens legt uit dat behandelrelaties, definities van beroepen en thuiswerken bijvoorbeeld goed geregeld moet worden. Maar ook in hoeverre organisaties meegaan in het gebruik van eigen apparaten. ‘Verder moet bij het regelen van autorisaties een goede balans zijn tussen de veiligheid en werkbaarheid van het systeem. De data moet veilig zijn, maar personeel moet er goed en snel mee kunnen werken.
Veiligheid van systemen
Beveiliging van systemen wordt vaak onderschat, daarover gaat het betoog van Karel Thönissen van Garabit. Hij vertelt over de beveiliging van staatsgeheimen en wat de zorg daar van kan leren. Thönissen vergelijkt het serverpark met een gevangenis. ‘Daar zit ook een muur omheen. Deze is bedoeld om gevangenen enerzijds binnen te houden, aan de andere kant is het niet de bedoeling dat er data naar buiten gaat. Patiëntinformatie moet bijvoorbeeld geheim blijven binnen “de muren”. Ook is het niet de bedoeling dat iemand van buitenaf patiëntendata kan bekijken of veranderen.’ De opmerking uit het publiek dat er in de zorg soms bespaard moet worden op veiligheid, noemt Thönissen onzin. ‘De gelegenheid zorgt ervoor dat mensen in het systeem kunnen komen. Er wordt vaak te licht gedacht over beveiliging. Als er ook maar een klein gaatje te vinden is, komen ze binnen. Tegenwoordig is het heel simpel om openstaande poorten te scannen.’ Thönissen wijst er op dat zorginstellingen echt niet zulke extreme maatregelen hoeven te nemen als bij de bewaking van staatsgeheimen, maar ‘de beveiliging moet zeker niet onderschat worden’.
(Zorgvisie/ICT – Mark van Dorresteijn | Twitter)
Lees meer:
Onderzoeken, slides, verslagen van rivacy, Identiteit & Security seminar in Almere
Vooral Wuijster: wat jij betoogt staat nou juist in de eerste twee alinea’s! (M. Stultjens: “De data moet veilig zijn, maar personeel moet er goed en snel mee kunnen werken.”)je reactie is dus alleen op die ene spreker? Je was het dus eens met de meeste sprekers?
Verder spreken deze sprekers met ervaring in verschillende ziekenhuizen. Er is nogal veel verschil onderling tussen de 98 ziekenhuizen in Nederland. Al gehoord van het Alert-EPD debacle? Elsevier rapporten gelezen over volwassenheidsgraag ICT in ziekenhuizen?
Wat een zeldzaam slecht, onsamenhangend, ondeskundig kletspraatje, zonder inhoud. Tot mijn grote verbazing enkele dagen oud. Een willekeurige tekst over hetzelfde onderwerp uit 1965 bevat vast meer inhoud.
Ik geloof dat ik niet veel gemist heb op het Privacy, Identiteit & Security seminar in Almere. Zelden heb ik zoveel onzin bij elkaar gelezen. Zijn deze mensen echt werkzaam in de ICT? Triest artikel.
Wat een slap verhaal! Zelf ben ik werkzaam geweest in de zorg om Informatiebeveiging op de kaart te zetten, de suggestie dat het RvB totaal geen kaas heeft gegeten van ICT deel ik totaal niet. Het idee dat zorginstellingen “ommuurd” dienen te worden is juist gedreven door de gedachte dat we alles moeten beschermen waardoor onwerkbare situaties ontstaan. Belang rijk is dat (eind-)gebruikers bewust en op de juiste wijze gefaciliteerd moeten worden door ICT en dat informatiebeveiliging GEEN feestje is voor de ICT afdeling. Medisch specialisten dienen een werkwijze te hanteren waarbij wet en regelgeving beperkend en ICT functionaliteit dienend hoort te zijn. De randvoorwaarde dat het authorisatieproces goed ingeregeld is is natuurlijk randvoorwaardelijk. Ook dit artikel gaat weer uit van de technische mogelijkheden om binnen te dringen (portscanning). Maar verteld totaal niets over organisatorische maatregelen die de technische maatregelen moeten ondersteunen. Blijkbaar is er nog geen echte visie in de Zorg die bijdraagt aan meer innovatieve ICT projecten. Het voorbeeld “Ook is het niet de bedoeling dat iemand van buitenaf patiëntendata kan bekijken of veranderen.” spreekt boekdelen, hoezo transparantie, telewerken, samenwerken. Met deze instelling blijft patientinformatie waar die nu ligt, op de behandelkamer van de arts…..