Prismant
Informatiebeveiliging in zorginstellingen
Utrecht, 26 januari 2004
Patiënt- en onderzoeksgegevens die zoek zijn op het moment dat ze
nodig zijn, of 'op straat liggen', fout ingevoerde gegevens in het
medisch dossier, onopgemerkt verminkte gegevens, ontbreken van
recente back ups van cruciale bestanden, fouten bij het voorschrijven
van medicatie of bij het toedienen van bloedtransfusies door een
falend of verkeerd gebruikt informatiesysteem, een computervirus dat
cruciale systemen onbruikbaar maakt Zaken die een ieder bekend in de
oren klinken, 'maar gelukkig altijd bij een ander plaatsvinden!?'.
Totdat het een keer bij ú fout gaat!
En dan komen de vragen: dit had toch kunnen worden voorkomen, wie is
eigenlijk waarvoor verantwoordelijk, hoe gaan we om met de claims van
patiënten en andere gedupeerden en wie betaalt de schade, in materiële
zin of in de zin van een beschadigde reputatie en verlies aan
vertrouwen van de patiënten in de zorginstelling.
Waar is het informatiebeveiligingsplan en het calamiteitenplan?
De juridische context van informatiebeveiliging vindt zijn oorsprong
in het zogenaamde beveiligingsartikel (artikel 13) uit de WBP. Die
luidt:
'De verantwoordelijke legt technische en organisatorische maatregelen
ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige
vorm van onrechtmatige verwerking. Deze maatregelen garanderen,
rekening houdend met de stand van de techniek en de kosten van de
tenuitvoerlegging een passend beveiligingsniveau gelet op de risico's
die de verwerking en de aard van de te beschermen gegevens met zich
meebrengen'.
Een goed bij de organisatie passend en door het personeel geaccepteerd
en geadopteerd informatiebeveiligingsbeleid kan veel narigheid,
onvoorziene kosten en juridisch geharrewar voorkomen.
Maar informatiebeveiliging biedt natuurlijk ook kansen en is veel meer
dan alleen een pakket maatregelen om bedreigingen en risico's het
hoofd te kunnen bieden. Vanuit strategisch oogpunt is
informatiebeveiliging onderdeel van het kwaliteitsbewustzijn in uw
organisatie en geeft het u een voorsprong op de u omringende
zorginstellingen. Vanuit markt- en consumentenperspectief uiteraard
van zeer groot belang.
Wat levert informatiebeveiliging u op?
Samengevat zijn de baten van informatiebeveiliging:
* Een betrouwbare informatievoorziening waarmee voldaan is aan een
belangrijke randvoorwaarde voor een betrouwbaar zorgproces.
* Voorkomen van reputatie- en marktverlies.
* Concurrentievoordeel en het bereiken van de organisatiedoelen.
* Het voldoen aan wet- en regelgeving.
De Nederlandse Norm voor Informatiebeveiliging in de zorg (IBIZ)
Begin 2004 wordt Nederlandse norm voor informatiebeveiliging in de
zorg (afgekort 'IBIZ') door het NEN vastgesteld. Deze norm is
gebaseerd op de internationale standaard 'Code voor
Informatiebeveiliging', de Nederlandse vertaling van de Britse
Standaard BS 7799 Part 1, 1999 en op ISO 17799, 2000. De IBIZ-norm
geeft zorginstellingen duidelijkheid over wat van een zorginstelling
op het gebeid van informatiebeveiliging kan en mag worden verwacht.
Van belang hierbij is, dat (citaat ): 'het Ministerie van VWS van plan
is, om deze norm te gaan gebruiken voor de definitie van het begrip
"passende beveiliging", waar in een nieuwe wet betreffende het
algemene zorg identificatienummer (ZIN) naar zal worden verwezen'. Op
basis van de Code voor informatiebeveiliging kan een certificaat
worden verkregen bij daarvoor door de Raad voor Accreditatie
aangewezen instanties (zie www.rva.nl ).
IBIZ is normatief ten aanzien van de opzet van informatiebeveiliging
in de zorginstellingen en is opgebouwd uit tien
beveiligingscategorieën die elk een plaats hebben binnen de
gebruikelijke managementcyclus:
Managementcyclus Beveiligingscategorieën IBIZ
Opzet en planning
1. Informatiebeveiligingsbeleid
2. Beveiligingsorganisatie
Realisatie en in werking stellen
3. Classificatie en beheer van
informatie en bedrijfsmiddelen.
4. Beveiligingseisen ten aanzien van personeel
5. Fysieke beveiliging
6. Beheer van communicatie- en bedieningsprocessen
7. Beveiliging van de toegang van informatie
8. Ontwikkeling en onderhoud van systemen
9. Continuïteitsmanagement
Controleren en bijsturen 10. Naleving en toezicht
Doordat de IBIZ-norm de gebruikelijke managementcyclus volgt, biedt de
norm een uitstekend handvat om het als onderdeel van het
instellingsbeleid en het daarvan afgeleide informatie- en
kwaliteitsbeleid op te zetten en uit te voeren.
Onze aanpak
Uitgangspunt voor onze aanpak is de Code voor Informatiebeveiliging en
de daarvan afgeleide nationale NEN-norm voor de zorg. Wij
onderscheiden drie fasen:
1. Domeinanalyse en focusbepaling
2. Risicoanalyse en beveiligingsmaatregelen
3. Implementatie en borging van het informatiebeveiligingsbeleid
Hierbij sluiten wij aan op de jaarlijkse beleid- en planningscyclus
die elke zorginstelling in meer of minder geformaliseerde vorm kent op
de gebieden concernstrategie, kwaliteit, informatievoorziening en
informatiebeveiliging.
Binnen dit geheel aan beleidsplannen kan het
informatiebeveiligingsbeleid op compacte wijze worden vormgegeven.
Door aan te sluiten op de beleidscyclus van de zorginstelling is en
blijft het informatiebeveiligingsbeleid consistent met de
doelstellingen en speerpunten van de organisatie. Het kan naar de
toekomst worden geborgd.
1. Domeinanalyse en focusbepaling
Doel van deze fase is met de raad van bestuur van een zorginstelling
de bedrijfsrisico's die een eventuele uitval van de verschillende
informatiesystemen en -stromen met zich meebrengen voor de primaire-,
logistieke en besturingsprocessen te classificeren naar hoog,
gemiddeld en laag risico. Op basis van deze classificatie kiest het
bestuur het beveiligingsniveau dat men adequaat acht voor het risico
dat me wil afdekken. Hiermee geeft het bestuur richting aan en biedt
het de uitvoerders van het beveiligingsbeleid draagvlak en mandaat:
een belangrijke voorwaarde voor succes!
Deze initiële fase wordt afgesloten met een kort actieplan en een
duidelijk ambitieniveau en focus voor de beveiliging van de
geclassificeerde informatiesystemen.
2. Risicoanalyse en beveiligingsmaatregelen.
Een risicoanalyse levert informatie op waarmee het management in staat
is te beslissen welke risico's een te grote potentiële schade in zich
hebben en met welke maatregelen deze risico's teruggedrongen kunnen
worden.
Afhankelijk van de risicoclassificatie van bedrijfsprocessen,
informatiesystemen- en stromen (fase 1) wordt een risicoanalyse in
meer of mindere diepgang uitgevoerd:
1. een uitgebreide risicoanalyse met eventuele aanvullingen op de
beveiligingscategorieën uit de IBIZ-norm voor de hoge risico's
2. een risicoanalyse op basisbeveiligingsniveau geheel conform de
beveiligingscategorieën van de IBIZ norm voor de gemiddelde
risico's
3. een quick scan (inventarisatie en statusbepaling) voor de lage
risico's.
(Nb.: deze driedeling is een vereenvoudigde weergave van het proces
van risicoanalyse zoals beschreven in ISO 13335).
Een risicoanalyse wordt nader uitgewerkt in drie deelanalyses:
1. De afhankelijkheidsanalyse: de mate van afhankelijkheid van de
processen van de onderliggende informatiesystemen.
2. Kwetsbaarheidanalyse: kwetsbaarheid van de informatiesystemen voor
de risico's binnen de beveiligingscategorieën van de IBIZ-norm.
Hierbij worden de risico's binnen de verschillende
beveiligingscategorieën van de IBIZ-norm onderzocht op:
+ de kans dat ze zich kunnen voordoen (schaal: 0-1)
+ de omvang van de schade (schaal: onbelangrijk - kritiek)
+ de mate waarin het betreffende risico überhaupt beheersbaar
is (schaal: uitstekend tot niet of nauwelijks) en
+ de mate van urgentie van ingrijpen (schaal: zeer hoog -
laag).
Het kwantificeren binnen de verschillende schalen van de
risico's vindt plaats via het bijeenbrengen van expert
opinions. Per zorginstelling moet hiermee ervaring worden
opgedaan en moet worden gewerkt aan een zo objectief mogelijk
beoordelingsmechanisme.
3. Maatregelen-analyse:
+ een assessment van de bestaande beveiligingsmaatregelen met
de uitkomsten van de afhankelijkheids- en
kwetsbaarheidanalyse als toetssteen en
+ actualisatie en vernieuwing van het pakket
beveiligingsmaatregelen.
(Nb.: de opdeling in drie deelanalyses is een vereenvoudigde weergave
van het model van Overbeek, Lindgreen en Spruit in
'Informatiebeveiliging onder controle').
Het resultaat van deze fase is een overzichtelijk en praktisch pakket
van beveiligingsmaatregelen die de informatiesystemen en - stromen
zodanig beschermen tegen blootgelegde bedreigingen dat de risico's die
overblijven acceptabel zijn voor de zorginstelling.
De beveiligingsmaatregelen worden ingedeeld conform de 10
onderscheiden beveiligingscategorieën binnen de IBIZ-norm. Bij
beveiligingscategorie 2, de organisatie van de beveiliging, kunnen
maatregelen horen als bijvoorbeeld het inrichten van
beveiligingsfuncties, taken en verantwoordelijkheden, bij categorie 3
'personeel' bijvoorbeeld opleiding en geheimhoudingsverklaringen, bij
categorie 9 'continuïteitsmanagement' bijvoorbeeld calamiteitenplannen
en geregeld geteste uitwijk van de informatieproductie.
3. Implementatie en borging van het informatiebeveiligingsbeleid
De resultaten uit fase 1 en 2 dienen voor de toekomst geborgd te
worden: dit houdt een periodieke evaluatie in van de risico's en het
daarbij vastgestelde pakket van maatregelen. Om die reden is het van
belang dat het informatiebeveiligingsbeleid onderdeel uitmaakt van de
jaarlijkse beleids- en planningscyclus van de zorginstelling. Het
informatiebeveiligingsbeleid, in casu de resultaten van de hierboven
geschetste fasen, laten zich goed vertalen naar een
informatiebeveiligingsplan. Een conceptinhoudsopgave van zo'n plan kan
er als volgt uitzien:
1. Strategische uitgangspunten en randvoorwaarden, inbedding in de
jaarlijkse beleids- en planningscyclus.
2. De organisatie van de informatiebeveiligingsfunctie.
3. Toewijzing van verantwoordelijkheden voor informatiesystemen aan
het lijn (cluster) management (verantwoordelijkheidsmatrix).
4. De wijze waarop het beleid vertaald wordt naar concrete
maatregelen en de wijze waarop deze gefinancierd worden.
5. Het meldsysteem voor inbreuken op het beveiligingssysteem en de
wijze van afhandeling daarvan.
6. De wijze waarop het informatiebeleid wordt geëvalueerd, getoetst
en geactualiseerd.
7. De wijze waarop het beveiligingsbewustzijn wordt bevorderd.
Ervaring van Prismant met informatiebeveiliging
Prismant heeft een brede ervaring in het adviseren en begeleiden van
instellingen binnen de gezondheidszorg. In veel van deze
adviestrajecten staat de procesbenadering centraal Ook binnen het
gebied van de informatiebeveiliging zijn de processen het primaire
ankerpunt voor de analyses en praktische uitkomsten daarvan.
In een dertigtal adviestrajecten rondom de Wet op de bescherming van
Persoonsgegevens (WBP) - aangeduid met de WBP-privacy scan - hebben we
al uitgebreid ervaring opgedaan met betrekking tot het
beveiligingsartikel 13 uit de WBP. Onze dienstverlening voor de
informatiebeveiliging binnen de zorginstellingen is een uitwerking van
dit artikel 13 van de Wet op de Bescherming van Persoonsgegevens,
waarbij de Code voor informatiebeveiliging en de IBIZ-norm leidraad en
toetssteen vormen het op te zetten informatiebeveiligingsbeleid.
Hoe kan Prismant u hierbij van dienst zijn
Prismant kan voor en met u het informatiebeveiligingsbeleid uitwerken
in concrete beveiligingsmaatregelen, het beleid helpen implementeren
en eventuele nieuw ontstane beveiligingsactiviteiten, eventueel
geformaliseerd in de functie van de beveiligingsfunctionaris, op
interim basis, tijdelijk invullen.
Uitgangspunt hierbij is dat uw organisatie het operationele
informatiebeveiligingsbeleid zo snel mogelijk zelf ter hand neemt.
Contact
Voor vragen of opmerkingen ten aanzien van onze dienstverlening
betreffende uw informatiebeveiligingsbeleid kunt u e-mailen naar
dick.belderbos@prismant.nl of bellen met het secretariaat van de
afdeling Informatiemanagement, 030-2345644.