Niet minder, wel makkelijker


Om applicaties goed te kunnen blijven gebruiken moeten we steeds meer doen. Het aantal koppelingen neemt toe, de wetgeving neemt toe. Informatiebeveiliging wordt ook elke dag belangrijker en vraagt om steeds meer werk. Wij maken dit werk niet minder. We maken het wel stukken makkelijker.

We leggen in de zorg met elkaar heel veel gegevens vast. En met deze gegevens kunnen en willen wij ook veel. Zo gaan we steeds meer datagedreven werken. En ja, mede door de Wegiz wisselen wij ook steeds meer gegevens uit. Er ontstaan discussies over data uitwisselen en data beschikbaar stellen. Informatiebeveiliging speelt daarbij een toenemende belangrijke rol. Vergeet hierbij niet dat we met elkaar ook ethische discussies moeten voeren. En niet alleen omdat we aan elkaars privacy moeten denken.

Een functioneel (applicatie)beheerder en een informatiemanager houden zich dan ook al lang niet meer alleen met applicaties bezig. Het werkveld breidt zich elk jaar verder uit. Hoe houd je al die ontwikkelingen bij? Eén ding is wat ons betreft zeker: niemand kan dit in zijn eentje. Het is te veel en het werkgebied is te omvangrijk.

Ons beeld van de oplossing? Integraal en samen

Integraal & samen

Wij zijn ervan overtuigd dat informatiebeveiliging een integraal onderdeel moet zijn van de informatiehuishouding. En dat een functionaris gegevensbescherming (FG) en een Chief Information Security Officer (CISO) integraal deel uitmaken van die informatiehuishouding. In die huishouding werken zij intensief samen met een functioneel (applicatie) beheerder, procesbeheerder, informatiemanager en ook steeds meer met een verpleegkundig informatiekundige (Chief Nursing Information Officer, CNIO).

Het werken wordt eenvoudiger als deze rollen samen naar de applicatie-architectuur kijken en ermee werken en iedereen ervaart en doorvoelt dat dit echt een gezamenlijke architectuur is. Zo werken wij ook op dit vlak op basis van registratie aan de bron, gebruiken we samen één bron en heeft niet iedereen zijn eigen Excel-overzicht in gebruik.

Dit betekent dat er in gezamenlijkheid naar de applicaties wordt gekeken. Want weet jij samen met jullie FG wat er vastgelegd wordt van welke applicatie? Welke applicaties herbergen persoonlijke gezondheidsinformatie en moeten dus extra veilig zijn? Die applicaties scoren vast hoog op de aspecten beschikbaarheid, integriteit en vertrouwelijkheid (BIV). Dat is geen ding van alleen de FG en CISO, zeker niet.

Dit wiel kennen wij!

In 2018 hebben wij zelf werk gemaakt van onze certificering voor de ISO 270001 en de NEN 7510. En vanaf dag 1 hebben wij dit integraal aangepakt. Onze functioneel (applicatie)beheerders moesten hier samen met de applicatie-eigenaren mee aan de slag. We wilden geen aparte set van documenten. Wij registreerden bij de basis, aan de bron. En koppelden dat aan de vereisten van de normen. Zo ontstonden onze raamwerken in onze informatiehuishouding. Dwarsdoorsnedes (denk aan saté prikkers) die vanuit een bepaald perspectief naar de informatiehuishouding kijken.

Deze lijn hebben wij doorgetrokken. Als wij nu voor onze klanten applicaties op beschikbaarheid, integriteit en vertrouwelijkheid - BIV - scoren, dan zetten wij dat direct in onze bibliotheek en delen wij dat daarmee met al onze klanten. Zo heb je als Infozorg-klant een concreet voorbeeld en hoef je zelf het wiel niet opnieuw uit te vinden.

We maken het werk dus niet minder, maar vele malen makkelijker. Je hoeft het niet alleen te doen, wij doen het werk samen met jou.

NEN, NTA, ISAE 3402, NIS2 …

Hoeveel normen en keurmerken zijn er alleen al op het gebied van informatiebeveiliging? En wat betekenen deze voor zorgorganisaties? Die vraag moeten alle zorgorganisaties beantwoorden en dat hebben wij al gedaan voor onze klanten. Als wij iets uitgezocht hebben leggen wij dat zo goed mogelijk uit en dat delen wij in onze bibliotheek. We maken niet alleen een uitleg, ook de hulpmiddelen die wij gebruiken vind je er.

ISO 27001, NEN 7510, 7512, 7513

ISO 27001 is een internationaal erkende norm op het gebied van informatiebeveiliging. In deze norm staat beschreven hoe je als organisatie informatiebeveiliging procesmatig kunt inrichten. Zo kun je aantonen dat je als organisatie voldoet aan alle eisen en dat je maatregelen hebt getroffen tegen informatiebeveiligingsrisico’s.

NEN 7510 is de norm die specifiek gericht is op de gezondheidszorg en heeft als doel een uniforme en gestandaardiseerde aanpak voor informatiebeveiliging te bieden. De norm heeft betrekking op alle informatie die wordt verwerkt in de gezondheidszorg, inclusief persoonlijke en medische gegevens.

NEN 7512 heeft betrekking op de elektronische communicatie in de zorg, en wel tussen zorgverleners en zorgorganisaties onderling, met patiënten en cliënten, met zorgverzekeraars en met andere partijen die bij de zorg zijn betrokken.

NEN 7513 stelt eisen aan de registratie van gegevens rond de toegang tot elektronisch vastgelegde persoonlijke gezondheidsinformatie bij een zorgorganisatie of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt.

NTA 7516

De NTA 7516 is de norm voor veilige ad hoc communicatie van gezondheidsinformatie. Hieronder vallen e-mail, chatdiensten, portalen en messengers. De norm beschrijft aan welke, ruim twintig eisen, organisaties en de oplossingen die zij gebruiken moeten voldoen als ze willen claimen veilig te zijn.

ISAE 3402

ISAE 3402 is een internationale assurance standaard die richtlijnen biedt voor het evalueren van de interne controle systemen van serviceorganisaties (zoals softwareleveranciers). De volledige naam van ISAE 3402 is International Standard on Assurance Engagements (ISAE) 3402: Assurance Reports on Controls at a Service Organization.

NIS2

NIS staat voor Network and Information Security directive. NIS2 is de opvolger van de NIS-richtlijn. De NIS2 is vastgesteld door de Europese Unie en is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 omvat meer sectoren dan NIS deed. De sector Overheid en gezondheidszorg vallen nu ook binnen de richtlijn. Ook gelden er strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2 wordt momenteel naar Nederlandse wetgeving vertaald.

Raamwerken

Voor al deze normen hebben wij raamwerken beschikbaar die het ‘aantoonbaar werken’ conform een norm bijvoorbeeld makkelijk en inzichtelijk maken.

Eenvoud en overzicht

Wij verminderen het werk in de informatiehuishouding niet. Dat kan eenvoudigweg niet. Wel nemen wij je veel werk uit handen. We hebben informatiebeveiliging in ons functioneel beheer verweven. Het staat er niet naast en is niet weer iets extra’s.

Wij maken functioneel beheer daarmee eenvoudig en overzichtelijk. Dat is nodig, want ook het aantal beschikbare functioneel beheerders en informatiemanagers neemt alleen maar af.

Dit alles zit verweven in ons abonnement functioneel beheer en ons abonnement Saar. Want ons werk verandert op hoge snelheid, verander jij met ons mee?

Als je doet wat je deed, krijg je wat je kreeg

27 september 2023


Heb je een vraag over Saar?

Of wil je een demo van Saar, laat het ons weten

Aan- of afmelden voor onze maandbrief doet u hier