Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

Schipperen tussen NEN 7510 en wat haalbaar is

Wie als zorgverlener de informatiebeveiliging hoog in het vaandel heeft staan, moet er voor zorgen dat daar draagvlak voor bestaat onder de werknemers. Menselijk handelen blijft immers de zwakste schakel.

Per 1 januari 2009 gaat Valent fuseren met stichting WWZ-Mariënstaete. Valent is een Zuid-Hollandse organisatie voor onder andere thuiszorg, verzorgingshuis- en verpleeghuiszorg. WWZ-Mariënstaete verzorgt voor ouderen en jong-dementerenden wonen, welzijn, zorg en diensten. De nieuwe organisatie zal uit zo’n veertig locaties bestaan. Stichting Valent heeft informatiebeveiliging hoog in het vaandel staan. Marjan Geudeker, hoofd ict: "Het beleid hiervan duidelijk vastleggen en uitdragen is héél belangrijk. Kunnen beschikken over betrouwbare informatie staat of valt met de accuratesse van de medewerkers zelf. Daarom gaat het erom steeds draagvlak te krijgen bij alle medewerkers."

Nulmeting

De fusie zal voor de informatiebeveiliging betekenen dat veel zaken gestroomlijnd moeten worden. Marjan Geudeker: "We zijn daar nu volop mee bezig. Een hele operatie waarbij goede wil en enthousiasme belangrijk zijn. ActiZ helpt hier bij.” Met de nulmeting gebaseerd op NEN 7510, de norm voor informatiebeveiliging in de zorg, krijgen ze inzicht in de mate waarin Valent NEN 7510 heeft geïmplementeerd. “We proberen daarmee ook concrete verschillen in beeld te brengen in werkwijze van de fusiepartners, en we kijken waar verbeterpunten liggen.” Mariënstaete loopt in sommige opzichten voor op Valent. “Zij hebben bijvoorbeeld al een security officer aangesteld, bij Valent moet dat nog gebeuren.”

De nieuwe organisatie telt straks 3600 medewerkers, verspreid over ongeveer veertig locaties. Daarmee worden de informatiestromen complexer en neemt het belang van een goede informatiebeveiliging toe. De komst van de zorgzwaartepakketten (ZZP) doet daar nog een schepje bovenop. Geudeker: "In de thuiszorg is een nauwkeurige registratie al heel lang ingevoerd. Behandelaren en het verplegende personeel zijn dit minder gewend. Zij moeten straks meer gaan registreren en moeten kunnen aantonen dat er conform de indicering gehandeld is.” Het belang van informatiebeveiliging speelt ook mee bij andere ontwikkelingen. Dementie bijvoorbeeld komt steeds vaker voor, niet alleen bij ouderen maar ook op jongere leeftijd. “Daarbij heb je te maken met zeer privacygevoelige gegevens waarvan de familie of contactpersoon niet wil dat deze zomaar over straat gaan."

Backup-systeem

In 2001 is Valent overgegaan op Server Based Computing, data worden centraal opgeslagen. Ook kunnen medewerkers niet meer zelf data op externe media of een lokale schijf zetten. Wordt een computer gestolen, dan is er geen informatie kwijt en ligt er niet zomaar informatie op straat. Verder is er een nieuw backup-systeem geïmplementeerd waardoor het mogelijk is om data efficiënter terug te zetten. Zo’n anderhalf jaar geleden heeft Valent al een keer de nulmeting van ActiZ uitgevoerd. Geudeker: "De uitkomst was niet slecht. Op alle fronten scoorden we alleszins redelijk, maar bijna overal moesten de puntjes nog op de i worden gezet. Veel meer zaken moesten in procedures worden vastgelegd.”

Geudeker geeft aan dat hardware- en softwarematig alles ‘heel goed te beveiligen is’, mits er voldoende budget is. “Het is een beetje schipperen tussen hoe het volgens NEN 7510 zou moeten en wat haalbaar is. Heel belangrijk voor mijn vakgebied is de fysieke beveiliging. Is de computerruimte afgesloten met een codeslot, is er ’s nachts bewaking in het pand? Als ict-afdeling zijn we bijvoorbeeld bewust niet op de begane grond gaan zitten voor het geval de Rijn buiten z’n oevers treedt. Maar door het beperkte budget nemen we ook bewust risico’s. Stel dat de bliksem inslaat. We kunnen ons geen volledig tweede schaduwsysteem permitteren."

Zwakke plekken

Op sommige punten gaat de NEN 7510 wel heel erg ver, vindt Geudeker. "Dat beveiligingsincidenten of zwakke plekken geanalyseerd en gemeld moeten worden en dat er lering uit getrokken moet worden is heel begrijpelijk, maar disciplinaire maatregelen nemen? Hoever moet je daarin gaan?"

Soms zijn er spanningsvelden. Bijvoorbeeld als mensen worden geblokt door de firewall, terwijl ze de informatie op dat moment wel nodig hebben. Begin 2008 is het wachtwoordenbeleid verder aangescherpt. “Daar waren de medewerkers niet blij. Het veroorzaakte bovendien extra werk bij de ict-servicedesk omdat medewerkers het moeilijkere wachtwoord niet konden onthouden.”

Attentheid

Informatiebeveiliging gaat niet alleen over de digitaal opgeslagen informatie, maar ook over informatie op papier en informatie die mensen in hun hoofd hebben. Wat zeg je wel, wat zeg je niet, en tegen wie? Geudeker: "Dat is natuurlijk heel moeilijk te sturen. Mijn ervaring is dat medewerkers gevoelsmatig best goed weten waar de grenzen liggen. Ze krijgen het in hun opleiding al mee. Het heeft ook te maken met de attentheid van onze mensen. Ze zien er bijvoorbeeld op toe dat dossiers goed worden opgeborgen.” Vertrouwen op het gezonde verstand is het beste wat je kunt doen, volgens Geudeker. Toch blijft het menselijk handelen een zwakke schakel waar zij met al haar dure middelen niet tegenop kan. “Door mensen continu te blijven attenderen op de voorschriften werken we aan bewustwording en draagvlak. Dat gebeurt ook door uit te leggen waarom we iets wel of niet doen. Daardoor treedt vaak gewenning op. Weten waar je mee bezig bent en waarom, dat is nog steeds het belangrijkste."

Auteur: Mies Blok is freelance journalist

Dit artikel verscheen eerder in ICTzorg Magazine, november/december 2008.

Mario Gibbels

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden