Search
Close this search box.
Search

Informatiebeveiliging: geen sluitpost, maar sleutelrol

ARTIKEL: Centric-expert Gerard Stroeve over het belang van passende informatiebeveiliging bij zorginstellingen

Zorginstellingen zijn in toenemende mate afhankelijk van de informatievoorziening. Zonder informatie liggen zorgprocessen stil en is bedrijfsvoering niet mogelijk. Als de informatie waarmee wordt gewerkt onjuist is, niet beschikbaar is of op straat komt te liggen, kan dit grote gevolgen hebben. Gerard Stroeve, manager Security & Continuity Services binnen Centric, geeft samen met zijn collega’s dagelijks advies aan zorginstellingen over de bescherming van bedrijfsinformatie en de NEN7510-norm. Stroeve: "Informatiebeveiliging is niet langer een sluitpost, maar vervult een sleutelrol binnen de zorginstelling."

Toenemende risico’s
"Ik zie dat de risico’s ten aanzien van informatievoorziening toenemen als gevolg van de ontwikkelingen van deze tijd. Denk daarbij aan trends als social media, mobiel werken, BYOD, cloud computing en big data. Vaak wordt de uitdaging om informatie goed te beschermen op ad hoc-basis aangepakt en is de aandacht nagenoeg uitsluitend gericht op de digitale informatievoorziening. Er worden als het ware pleisters geplakt die op enig moment weer loslaten. In de praktijk resulteert deze aanpak in een beperkte aanpak van de issues en bovendien in een willekeurig uitgavenpatroon."

In control zijn
Met het toenemen van de afhankelijkheid van informatie neemt het belang van een betrouwbare informatievoorziening toe. Om daadwerkelijk ‘in control’ te zijn, is het raadzaam continu en op een gestructureerde manier integrale aandacht te geven aan de bescherming van informatie. Informatie moet op een weloverwogen, passende wijze beschermd worden, afgestemd op de aanwezige risico’s. Daarbij wordt idealiter procesmatig een antwoord gevonden op de volgende vragen:

• Welke informatie moet beschermd worden?
• Welke dreigingen zijn er en wat is de impact van een
• eventuele verstoring?
• Welke mate van bescherming is passend?
• Welke beheersmaatregelen moeten worden genomen?

Door structureel antwoord te zoeken op deze vragen, wordt het beschermen van informatie onderdeel van de bedrijfsvoering en organisatiecultuur. Dat is in feite de kern van de NEN7510. Informatiebeveiliging is zo niet langer een sluitpost, maar vervult een sleutelrol binnen de diverse processen."

Visie op informatiebeveiliging
Steeds meer zorginstellingen implementeren de NEN7510-norm. Dit levert vaak echter de nodige worsteling op. Het is daarbij belangrijk dat er een duidelijke visie op het onderwerp wordt gehanteerd. "Vanuit onze jarenlange ervaring met informatiebeveiliging bij uiteenlopende organisaties, hebben wij een heldere visie op de beveiliging van informatie ontwikkeld. Deze visie kenmerkt zich door een aantal uitgangspunten. Voor Centric is informatiebeveiliging breder dan IT. Het is een proces en geen project. Daarnaast is informatiebeveiligingsbewustzijn binnen de organisatie en bij medewerkers essentieel."

Informatiebeveiliging is breder dan IT
"Een van de belangrijkste pijlers van informatiebeveiliging is naar mijn overtuiging beleid. Het hoogste management moet het beleid formuleren, dragen én uitdragen naar de rest van de organisatie. Niet omdat derden dat eisen, maar vanuit een oprechte, intrinsieke motivatie. Een valkuil is het concentreren van de aandacht op enkel de digitale informatie en/of op de vertrouwelijkheid van patiëntgegevens. Het gaat immers om informatiebeveiliging in de breedste zin van het woord."

Informatiebeveiliging is een proces, geen project "
De kern van goede informatiebeveiliging is continu beoordelen welke maatregelen passend zijn en deze, waar nodig, bijstellen. De basis voor passende informatiebeveiliging wordt daarom gelegd door het inrichten van een proces, het Information Security Management System (ISMS).

Het ISMS vormt binnen de informatiebeveiligingsorganisatie het kwaliteitsproces rond (de inrichting van) informatiebeveiliging. Het proces omvat typisch de stappen Plan, Do, Check en Act (PDCA-cyclus). Vanuit deze fasen kun je de diverse activiteiten om te komen tot passende informatiebeveiliging periodiek en in onderlinge samenhang uitvoeren. Vanuit de diverse fasen kunnen er uiteraard projecten worden geïnitieerd om tot uitvoering van de activiteiten te komen.

Om informatiebeveiliging als proces te laten werken, dient de organisatie dat proces te ondersteunen. Dit betekent dat functies, rollen, taken en verantwoordelijkheden gekoppeld moeten worden aan personen. Een belangrijke coördinerende functie daarbij is die van (informatie)beveiligingsfunctionaris. Het heeft de voorkeur deze rol niet binnen de afdeling IT te beleggen, maar op een algemeen, breder niveau. Een managementforum kan de diverse onderdelen van de organisatie vertegenwoordigen en tijdens periodieke bijeenkomsten het proces evalueren, incidenten bespreken en leerpunten formuleren."

Informatiebeveiligingsbewustzijn is essentieel
"Informatiebeveiligingsbewustzijn bij het hoogste management én de medewerkers is essentieel. Het fundament voor informatiebeveiliging wordt gevormd door het draagvlak vanuit het (hoogste) management. Om dit draagvlak te creëren is inzicht nodig in de risico’s rond de informatievoorziening en in de gevolgen die een bedreiging voor de organisatie kan hebben. Daarnaast is binnen het stelsel van beheersmaatregelen de factor mens een kwetsbare pijler. Het bewustzijn rondom informatiebeveiliging draagt voor een groot deel bij aan het verstevigen van deze pijler. In de optimale situatie is de aandacht voor het passend omgaan met de informatie als een tweede natuur aanwezig bij elke medewerker."

Meer informatie: www.centric.eu/zorg

admin

ICT&health World Conference 2024

Ervaar de toekomst van de gezondheidszorg tijdens de ICT&health World Conference van 14-16 mei 2024! Claim alvast jouw ticket en dompel je onder in baanbrekende technologieën en innovatieve oplossingen. Ga in gesprek met collega-experts en verken de kracht van wereldwijde samenwerkingen.

Deel dit artikel!

Lees ook
Visuele prothese
Visuele prothese voor blinden in ontwikkeling
ransomware
Hackers richten zich nu ook op domotica
wearable
Galaxy Ring meet op sierlijke wijze gezondheid
Data SEH
SEH data en AI kunnen verkeersveiligheid verbeteren
inclusief
Philips wil in 2025 wereldwijd 2 miljard levens verbeteren
subsidies
Nieuwe subsidies voor innovatieve therapie tegen dementie
exergaming
Exergaming laat mensen meer en langer bewegen
app
Zuyderland kiest óók voor berichtenfunctie BeterDichtbij
Cardioloog Eelko Ronner van het Reinier de Graaf ziekenhuis heeft een robotecho ontworpen waarmee sneller en eenvoudiger een hartecho kan worden gemaakt. (Afbeelding: Corbotics)
Sneller hartecho maken met robot
cardioloog
Ieder hart heeft eigen elektrische vingerafdruk
Volg jij ons al?