Informatiebeveiliging, voorwaarde in de zorg

De opslag van medische persoonsgegevens wordt in toenemende mate geautomatiseerd en gecentraliseerd. Er is een tendens om medische persoonsgegevens meer en meer te delen met andere zorgverleners. De komst van het Burgerservicenummer in de zorg zorgt voor een versterking van deze trends, waardoor gegevens van één patiënt makkelijker te koppelen zijn. Deze ontwikkelingen maken goede beveiliging steeds belangrijker. Zoals toegangsbeveiliging van het gebouw en de informatievoorziening, maar ook bescherming tegen het verlies van belangrijke en privacygevoelige informatie.

NEN 7510
Zorginstellingen zijn verantwoordelijk voor de beveiliging van de informatie die zij beheren. Het Nederlandse Normalisatie Instituut (NEN) ontwikkelde speciaal voor de zorgsector de informatiebeveiligingsnorm NEN 7510. Door deze norm toe te passen is de informatie daadwerkelijk beveiligd. In de `Wet gebruik Burgerservicenummer` staat een verwijzing naar NEN 7510. Deze wet is per 1 juni 2008 van kracht en vanaf 1 juni 2009 zijn zorgaanbieders verplicht om het BSN in gebruik te nemen.

Beschikbaarheid
De informatievoorziening en de gegevens moeten op elk gewenst moment voor de geautoriseerde gebruikers beschikbaar zijn. Daarnaast bestaat de mogelijkheid dat gebeurtenissen voorkomen waardoor de beschikbaarheid in gevaar komt. Om dit tegen te gaan, dienen zorginstellingen passende maatregelen te treffen. Enkele mogelijkheden zijn back-ups maken, centrale dataopslag en redundantie in belangrijke en gevoelige onderdelen van het informatiesysteem.

Uw ICT-infrastructuur & NEN 7510
Om gebruik te maken van het Burgerservicenummer en het elektronisch patiëntendossier moet uw ICT-infrastructuur aan bepaalde eisen voldoen. Om deel te nemen aan de huidige ontwikkelingen in de zorg moet de infrastructuur op een bepaalde manier zijn ingericht. Apparatuur waarop belangrijke informatie staat, mag alleen voor geautoriseerde gebruikers toegankelijk zijn. Daarom is het verstandig om beveiligde ruimten in te richten. Deze inrichting is een verantwoordelijkheid van de zorginstelling zelf.
Voor een veilig gebruik van deze middelen moet uw informatievoorziening een zeker niveau van beveiliging hebben. Hierbij kan de informatiebeveiligingsnorm NEN 7510 – informatiebeveiliging in de zorg – als hulpmiddel dienen. Deze norm gaat over de waarborging van beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is in de zorgsector. Uitgangspunt van deze norm is dat zorgverleners moeten beschikken over betrouwbare informatie op ieder gewenst tijdstip.

Integriteit
Daarnaast moet de informatie ook integer zijn. Dit wil zeggen dat men informatie niet zonder toestemming mag wijzigen. Ook mag de informatie niet verloren gaan. Het kwaliteitsbegrip integriteit waarborgt daarmee de authenticiteit en betrouwbaarheid van de informatie. Om dit te realiseren moet de aandacht uitgaan naar onderhoud van de ICT-middelen.

Vertrouwelijkheid
Vertrouwelijkheid van informatie gaat over de waarborging van informatie, zodat alleen geautoriseerde gebruikers toegang hebben tot deze gegevens. Hierbij speelt de bescherming van persoonsgegevens een belangrijke rol. Ook op dit gebied is de ICT-infrastructuur te beveiligen. Een van de belangrijke aspecten is het nemen van maatregelen op het gebied van toegangsbeveiliging. Dit geldt voor de toegang tot het gebouw als ook voor de toegang tot de informatievoorziening.

Waar staat NEN 7510 in het “normen oerwoud”?
Er zijn veel verschillende normen. De afbeelding geeft een overzicht waar de NEN 7510 norm staat.

Niveau 1:
De bovenste laag van de piramide gaat dieper in op het kwaliteitsmanagementsysteem van een organisatie en de manier waarop de organisatie met het kwaliteitsbeleid omgaat.

Niveau 2:
De middelste laag richt zich op IT Service management voor het effectief en efficiënt beheren en beheersen van de kwaliteit van de ICT dienstverlening.

Niveau 3:
De onderste laag is van belang voor het realiseren van een voldoende niveau van informatiebeveiliging.

Plan-Do-Check-Act cyclus
Het is van belang dat zorginstellingen gestructureerd aandacht besteden aan informatiebeveiliging en hiervoor een informatiebeveiligings-proces inrichten. Hierbij is het mogelijk om de Plan-Do-Check-Act-cyclus van dr. W. Edwards Deming te gebruiken. Deze continue verbeter cyclus leidt tot kwaliteitsbeheersing, kwaliteitsborging en kwaliteitsverbetering.

Plan
Het informatiebeveiligingsproces start met het opstellen van het informatiebeveiligingsbeleid. Vervolgens zal een risicoanalyse plaatsvinden waarmee de zorginstelling de huidige stand van zaken in kaart brengt. Op basis van dit informatiebeveiligingsbeleid en de uitkomsten van de risicoanalyse is het mogelijk dat bijstelling van het informatiebeveiligingsplan plaatsvindt. Dit plan dient als input voor het verbeteren van de beveiligingsmaatregelen in de volgende processtap.

Do
In deze stap vindt invoering van de in het informatiebeveiligingsplan beschreven maatregelen plaats. Deze verbetering is gericht op het verminderen van de risico`s en aantoonbaar te voldoen aan de norm NEN 7510.

Check
Ook behoort de zorginstelling periodiek de naleving van het informatiebeveiligingsbeleid te controleren. Daardoor krijgt de zorginstelling een duidelijk beeld welke onderdelen van de informatievoorziening (nog) niet voldoen aan de gestelde eisen.

Act
Verbeterpunten die bij de processtap check naar voren zijn gekomen, zullen nu ingevoerd moeten worden. Hiervoor moet de zorginstelling alle of enkele delen van de NEN 7510, beschreven onder Do, opnieuw volgen. Indien nodig vindt bijstelling van het informatiebeveiligingsbeleid plaats, zodat de incidenten zullen afnemen. Inbraak en diefstal van apparatuur zijn voorbeelden van incidenten op het gebied van fysieke beveiliging.

Bewustwording
De veroorzaker van meer dan de helft van alle beveiligingsincidenten is de medewerker zelf. Vaak is dit zonder kwade bedoelingen, maar uit onkunde of onwetendheid. Informatiebeveiliging is dan ook 80% mensenwerk en 20% techniek.

Daarom dient de zorginstelling naast het hierboven beschreven informatiebeveiligings-proces ook aandacht te besteden aan bewustwording. Dit kan door een communicatieplan op te stellen waarin staat dat medewerkers voorlichting en training moeten krijgen op het gebied van informatiebeveiliging. Dit bewustwordingsproces is geen eenmalige aangelegenheid. Met enige regelmaat moet herhaling plaatsvinden.

Auteur: Eric Ruumpol (e.ruumpol@ictspirit.nl)
Eric Ruumpol is als senior accountmanger professioneel gesprekspartner voor directie en management. Zijn specialisatie ligt in de zorg en zorg gerelateerde organisaties.