Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties1

De wc-bril

Berend de Vries heeft al meer dan 20 jaar ervaring met ict in de zorg. Sinds 2009 is hij Managing Partner van Comfort-IA. Hij richt zich op informatiseringsbeleid en informatiebeveiliging voor zorginstellingen en gemeentelijke instanties. Zijn blogs voor Zorgvisie schrijft hij meestal samen met zijn collega Jaap van der Wel.
U raadt al waar het idee voor deze column is ontstaan. Bij mij thuis, in het toilet zit de wc-bril los. Het is een gewone standaard wc-bril van de doe-het-zelfwinkel die ik op onze standaard wc-pot heb gemonteerd. Hij zit los omdat de standaarden geen standaard zijn en het afstelmechanisme het niet volhoudt.
Berend de Vries.jpg

Hoezo dan standaard, zult u zich afvragen. Houden de leveranciers zich dan niet aan de norm voor wc-brillen en wc-potten? Nee, want die bestaat niet. De ‘NEN 3215:2011/C1:2014 nl – Gebouwriolering en buitenriolering binnen de perceelgrenzen’ geeft wel aan hoeveel spoelwater er per beurt doorheen moet (6 liter) maar zegt niks over de bril.
Er zijn wel flink wat extra voorschriften over faciliteiten voor mindervaliden maar niks voor validen.

NEN 7510
In de informatiebeveiliging van de zorg hebben we de NEN 7510. Deze norm stamt uit 2011 en is toen afgeleid van de ISO 27000-groep van normen. Indertijd werd een aantal begrippen geïntroduceerd die het werkterrein van de informatiebeveiliger gedefinieerd hebben. Voorbeelden zijn het ISMS (Informatie Security Management System), de PDCA-cyclus (Plan-Do-Check-Act) en de ISO (Information Security Officer).

De NEN 7510 is een prima norm maar als organisatie heb je er niet heel veel aan. De 7510 schrijft niet voor wat je moet doen als zorginstelling om een beetje veilig met informatie om te (kunnen) gaan, het is alleen een checklist van dingen waar je aan moet denken en schrijft alleen de manier voor waarop je de verantwoording in het management vorm moet geven. De norm schrijft dus slechts een deel van het geheel voor: wel de hoeveelheid water maar niet de bevestiging van de bril.

ISO 27000
En er is ondertussen een nieuw probleem ontstaan. De ISO 27000 (eigenlijk de ISO 27001 en 27002) is enkele jaren geleden vernieuwd. Onder andere het ISMS en de PDCA-cyclus zijn overboord gegooid. En dat terwijl certificering aan de NEN 7510 in Nederland mogelijk dit jaar (eindelijk) mogelijk is geworden. Voor bedrijven is het nog lastiger dan voor zorginstellingen: Vroeger kon je je als bedrijf alleen aan de ISO-norm certificeren, nu mag dat ook aan de 7510, maar die twee normen stroken niet meer met elkaar. Omdat er meerdere normen op hetzelfde van toepassing zijn, kan het niet anders dat er onzekerheid ontstaat over wat belangrijk is en daarmee verslechtert de informatiebeveiliging.

Verschillen tussen normen
Onze informatiebeveiligingsnormen schrijven zaken voor waar je in de praktijk over na moet denken en die van norm tot norm verschillen. Maar de zaken die echt voorgeschreven kunnen worden, worden dat niet. Ik wil er graag voor pleiten dat de overheid erop gaat toezien dat de normen zaken voorschrijven die er echt toe doen. Zoals bij de informatiebeveiliging in de zorg: ‘Alle communicatie is encrypted met een sleutel van tenminste 128 bits’, ‘Voor de opslag van medische beelden wordt uitsluitend DICOM 3.1 gebruikt’, ‘Testen met productiegegevens is verboden’ of ‘Eens per jaar wordt de back-up getest door alles terug te zetten’. En vooral: ‘Van iedere closetpot zitten de gaatjes voor de bevestiging van de wc-bril exact 23 cm uit elkaar’.

Heldere voorschriften voorkomen incidenten, en ingeval van losse wc-brillen zelfs gewonden.

Berend de Vries, Comfort-IA

1 REACTIE

  1. Deze mening deel ik zeer. Voorschrijven hoe normen te gebruiken. Zeker bij het gebruik van medische gegevens. Ook in de GGZ, waar van de Autoriteit Persoonsgegevens een rapport is verschenen over toegang tot medische gegevens door medewerkers in de organisatie. Nader onderzoek heeft er bij mij toe geleid dat ik elke behandeling een schriftje (!) meeneem waar mijn voortgang in wordt geregistreerd. Ik kan er maar niet achter komen hoeveel mensen toegang hebben tot mijn medische gegevens. In ieder geval meer dan 60, waarvan ik er 58 niet ken. En allemaal conform de richtlijnen en normen.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.