Iedere zorgaanbieder moet aantoonbaar voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. Deze norm bestaat uit twee delen. Deel 1 geeft aan dat de zorgaanbieder een information security management system (ISMS) moet inrichten. In bijlage A van deze norm staan vervolgens 117 verplichte beheersmaatregelen. In deel 2 van de NEN 7510 staan ‘best practices’ en richtlijnen om aan die verplichte beheersmaatregelen te voldoen.
Lastig te voldoen aan norm
Met de norm is in essentie weinig mis. In theorie is deze norm prima te gebruiken om informatiebeveiliging op orde te krijgen. In de praktijk blijkt echter dat – naar eigen inschatting op basis van informatie uit meerdere bronnen – meer dan 95 procent van de zorgaanbieders er in de afgelopen zes jaar niet in is geslaagd aantoonbaar te voldoen aan de NEN 7510. Daar zijn meerdere redenen voor:
● De regels waaraan het ISMS moet voldoen zijn streng;
● De implementatie van de NEN 7510 vraagt om kennis van projectmanagement én om kennis van informatiebeveiliging in al zijn facetten. Deze kennis is schaars, ook in de zorg;
● Als men denkt informatiebeveiliging op orde te hebben, moet dat aangetoond worden. Dat kan met een interne audit, maar de eisen van de inspectie zijn hoog en kundige auditors zijn in de zorg zeldzaam. Aantonen kan ook met een externe audit, maar daar is geen geld voor;
● Om aan kundig personeel te komen, vissen zorgaanbieders in dezelfde vijver als bijvoorbeeld banken en overheden. Maar die hebben meer geld en betere cao’s;
● De inkomsten in de zorg staan onder druk. Er wordt bezuinigd op ondersteuning van zorg en dat helpt informatiebeveiliging niet.
Afstand is te groot
Tot overmaat van ramp komen er nog meer wetten aan, meer regels en meer complexiteit. Het is een Gordiaanse knoop. Ik zie geen heil meer in de huidige aanpak: de afstand tussen het omvangrijke instrument NEN 7510 en de daadwerkelijke beheersmaatregel is veel te groot. De verantwoordelijke managers staan te ver van de materie af en sturen daarom niet. Er moet een aanpak komen die veel sneller en eenvoudiger tot de kern komt: informatiebeveiliging.
Ontwikkel een maatregelenset
Mijn oplossing is: ontwikkel een sectorbrede en duidelijke essentiële maatregelenset die voor alle zorgaanbieders geldt, met een verplichting hoe daaraan te voldoen en hoe dat aan te tonen. Deze maatregelenset is gebaseerd op de belangrijkste risico’s binnen de zorg en beweegt mee met de complexiteit en risico’s van informatievoorziening van de zorgaanbieder. Dit ‘basisbeveiligingsniveau in de zorg’ wordt vervolgens een verplicht onderdeel van de accountantscontrole. De bestuurder verklaart jaarlijks dat hij voldoet aan het basisbeveiligingsniveau en de accountant geeft hierover een verklaring.
Voor de maatregelen gaan we terug naar de internationale norm voor informatiebeveiliging ISO 27001 en ISO 27002, zodat de NEN 7510 kan worden afgeschaft.
Informatiebeveiliging naar hoger niveau
Deze eenvoudige oplossing zal snel leiden tot een hoger niveau van informatiebeveiliging in de zorg dan nu het geval is. Het is begrijpelijker en beter planbaar, beter beheersbaar en beter controleerbaar. Minder deskundig personeel is nodig, de controledruk is beperkt en gestandaardiseerd. En aangezien de accountant toch al belangrijke IT-beheersmaatregelen toetst, neigt het naar het ‘single information single audit’ principe: eenmalige informatieverstrekking, eenmalige (accountants)controle. Veel vliegen in één klap.
Terugvallen op ISO-normen
Tot slot de NEN 7512 en NEN 7513. De oplossing voor deze normen is ook vrij eenvoudig. Deze behoorlijk technische normen zijn primair van toepassing op informatiesystemen. Laat daarom de IT-leverancier verantwoordelijk zijn voor het voldoen aan de norm en het aantonen ervan, niet de zorgaanbieder. En val bij voorkeur ook hier terug op internationale ISO-normen.
Laten we de discussie voeren over de effectiviteit van de NEN 7510 en de risico’s die we daardoor lopen in de zorg. Wie pakt de handschoen op?
Door: Gerard van den Berg, register IT-auditor, gecertificeerd information security manager en privacy professional.
Implementeren van het ISMS is zeker een uitdaging. In het IZA is afgesproken dat VWS met een set tools gaat komen die daarbij ondersteund. Mogelijk helpt dat om op een pragmatische manier het ISMS te implementeren zonder dat het een papieren tijger wordt.
Terugvallen op ISO normen gaat mi. weinig verschil maken. De NEN 7510 is de ISO 27001 aangevuld met zorgspecifieke punten.
E.e.a. onderbrengen bij de accountant is wat mij betreft geen goed idee. Die kijkt niet verder dan voor de jaarrekening nodig. En zeker als de controle aanpak gegevensgericht is met een relatief hoge materialiteit dan is dat niet heel ver. En ook bij accountants is er een flink tekort aan medewerkers met voldoende IT kennis
Ik herken het probleem van de groeiende druk op het aantoonbaar voldoen aan beveiligingsnormen. Toch zie ik niet wat er nieuw of anders is aan de voorgestelde oplossing: de NEN normen (en andere normenkaders) beogen immers precies dat wat voorgesteld wordt: een standaard set aan maatregelen die, laten we eerlijk zijn, allemaal behoorlijk logisch en vanzelfsprekend zijn als je ze doorleest. Het probleem zit in mijn beleving niet in het voldoen aan de normen, maar in het aantonen dàt je er aan voldoet (of niet…). Ik zoek daarom meer naar oplossingen om de aantoonbaarheid te vergemakkelijken, hoewel ik er voor waak te hoge verwachtingen te hebben. Beveiliging komt m.i. ook neer op een manier van werken, niet (alleen) op techniek. Een radicaal andere denkwijze is dat je niet langer streeft naar het (aan een ander) aantonen dat je aan normen voldoet (einde aan de audits), maar de resultaten voor zich laat spreken: het vertrouwen in elkaar en in organisaties ontstaat door het uitblijven van calamiteiten. We durven immers gerust de handen van het stuur van onze nieuwe auto te halen zonder eerst na te gaan of de rijhulpsystemen van de fabrikant gecertificeerd zijn omdat we gezien hebben dat anderen dat ook durfden.