BDO | Goede zorg en informatieveiligheid
2
GOEDE ZORG EN INFORMATIEVEILIGHEID Betrouwbare en beveiligde informatie is letterlijk van levensbelang in de zorg. Een goed niveau van informatiebeveiliging zorgt er ten eerste voor dat het zorgproces zonder gevaren voor de patiënt verloopt, ook wel informatieveiligheid genoemd. Alle middelen in de zorg blijven immers gericht op de veilige zorg voor de patiënt. Omdat mensen tellen! Ten tweede zorgt informatiebeveiliging dat informatie daar blijft waar die hoort, het privacyaspect. Zorgconsumenten zijn zich bewust van deze vereisten en zorgverleners en hun leveranciers doen veel moeite om informatie- beveiliging te realiseren. Dit blijft lastig en misstanden halen het nieuws en veroorzaken maatschappelijke onrust. Het werken volgens de norm NEN 7510 door zorginstellingen is reeds lang verplicht. De tijd is gekomen om aan de slag te gaan! Normatiek Al vanaf 2004 is in Nederland de norm NEN 7510 ‘Medische informatica - Informatiebeveiliging in de zorg’ de standaard omtrent beveiligingsmaatregelen. De gereviseerde norm NEN 7510 – 2011 is in oktober 2011 gepubliceerd. De norm is meer in lijn gebracht met internationale normen en de theorie van risico- management (conform ISO 27001). Kern van de revisie is dan ook de inbedding in risico- en kwaliteits- management, gecombineerd met een aanscherping van richtlijnen voor autorisatie- en toegangsbeheer. Er zijn inmiddels verdere invullingen beschikbaar van onderdelen van de NEN 7510: de NEN 7512 voor communicatieprocessen en de NEN 7513 voor logging. Een nieuwe NEN-norm voor autorisatieprotocollen is in de maak. De kaders zijn dan ook voldoende uitgewerkt. Toezicht ontwikkelt zich Toezichthouders en budgetbewakers in de zorg willen grip krijgen op kwaliteit in de zorg en ontwikkelen meetindicatoren om deze kwaliteit te meten. De organisaties rondom toezicht veranderen, zo zijn NEN en HKZ per 1 mei 2012 gefuseerd en zal vanaf 2013 een centraal kwaliteitsinstituut voor de zorg het op- stellen en afstemmen van kwaliteitscriteria in de zorg landelijk gaan organiseren. Allemaal veranderingen om toezicht te uniformeren, bundelen en de klant hierin ook meer plaats te bieden. Kortom: het toezicht wordt klaargestoomd! Beveiligen in de keten Zorg ontwikkelt zich in toenemende mate in ketens, waarbij juist op het gebied van informatieveiligheid extra uitdagingen ontstaan. Elektronische communicatie en informatie-uitwisseling kan kwaliteit in de zorg aanzienlijk verbeteren, maar introduceert ook weer nieuwe bedreigingen. Doordat de gebruikte systemen vaak complex worden verdeeld over de verschillende organisaties in de keten, bestaat meestal onduidelijkheid over welke partij welke maatregelen op welke plaats moet treffen. Toezichthouders gaan in de toekomst ook meer toezien op ketens en hun koppelvlakken. Kortom: bij de toekomstige organisatievormen past een gedegen beheerssysteem voor informatieveiligheid. Waar te starten? Kern van het werken volgens NEN 7510 is dat aange- toond kan worden dat het ‘Plan-Do-Check-Act’-proces voor informatieveiligheid adequaat is geïmplementeerd. Dit proces start met het zelf inventariseren van de risico’s die momenteel worden gelopen. Een risico- analyse op informatie in processen die aan moet sluiten bij de vaak reeds bestaande procesbeheersing. De basis hiervoor is dat allereerst inzicht moet worden gekregen in waar welke informatie zich nu überhaupt bevindt.
-
Upload
arjan-bosman -
Category
Documents
-
view
194 -
download
2
Transcript of BDO | Goede zorg en informatieveiligheid
GOEDE ZORG EN INFORMATIEVEILIGHEID
Betrouwbare en beveiligde informatie is letterlijk van levensbelang in de zorg. Een goed niveau van informatiebeveiliging zorgt er ten eerste voor dat het zorgproces zonder gevaren voor de patiënt verloopt, ook wel informatieveiligheid genoemd. Alle middelen in de zorg blijven immers gericht op de veilige zorg voor de patiënt. Omdat mensen tellen! Ten tweede zorgt informatiebeveiliging dat informatie daar blijft waar die hoort, het privacyaspect. Zorgconsumenten zijn zich bewust van deze vereisten en zorgverleners en hun leveranciers doen veel moeite om informatie-beveiliging te realiseren. Dit blijft lastig en misstanden halen het nieuws en veroorzaken maatschappelijke onrust. Het werken volgens de norm NEN 7510 door zorginstellingen is reeds lang verplicht. De tijd is gekomen om aan de slag te gaan!
NormatiekAl vanaf 2004 is in Nederland de norm NEN 7510 ‘Medische informatica - Informatiebeveiliging in de zorg’ de standaard omtrent beveiligingsmaatregelen. De gereviseerde norm NEN 7510 – 2011 is in oktober 2011 gepubliceerd. De norm is meer in lijn gebracht met internationale normen en de theorie van risico-management (conform ISO 27001). Kern van de revisie is dan ook de inbedding in risico- en kwaliteits-management, gecombineerd met een aanscherping van richtlijnen voor autorisatie- en toegangsbeheer.Er zijn inmiddels verdere invullingen beschikbaar van onderdelen van de NEN 7510: de NEN 7512 voor communicatieprocessen en de NEN 7513 voor logging. Een nieuwe NEN-norm voor autorisatieprotocollen is in de maak. De kaders zijn dan ook voldoende uitgewerkt.
Toezicht ontwikkelt zichToezichthouders en budgetbewakers in de zorg willen grip krijgen op kwaliteit in de zorg en ontwikkelen
meetindicatoren om deze kwaliteit te meten. De organisaties rondom toezicht veranderen, zo zijn NEN en HKZ per 1 mei 2012 gefuseerd en zal vanaf 2013 een centraal kwaliteitsinstituut voor de zorg het op-stellen en afstemmen van kwaliteitscriteria in de zorg landelijk gaan organiseren. Allemaal veranderingen om toezicht te uniformeren, bundelen en de klant hierin ook meer plaats te bieden. Kortom: het toezicht wordt klaargestoomd!
Beveiligen in de ketenZorg ontwikkelt zich in toenemende mate in ketens, waarbij juist op het gebied van informatieveiligheid extra uitdagingen ontstaan. Elektronische communicatie en informatie-uitwisseling kan kwaliteit in de zorg aanzienlijk verbeteren, maar introduceert ook weer nieuwe bedreigingen. Doordat de gebruikte systemen vaak complex worden verdeeld over de verschillende organisaties in de keten, bestaat meestal onduidelijkheid over welke partij welke maatregelen op welke plaats moet treffen. Toezichthouders gaan in de toekomst ook meer toezien op ketens en hun koppelvlakken. Kortom: bij de toekomstige organisatievormen past een gedegen beheerssysteem voor informatieveiligheid.
Waar te starten?Kern van het werken volgens NEN 7510 is dat aange-toond kan worden dat het ‘Plan-Do-Check-Act’-proces voor informatieveiligheid adequaat is geïmplementeerd. Dit proces start met het zelf inventariseren van de risico’s die momenteel worden gelopen. Een risico-analyse op informatie in processen die aan moet sluiten bij de vaak reeds bestaande procesbeheersing. De basis hiervoor is dat allereerst inzicht moet worden gekregen in waar welke informatie zich nu überhaupt bevindt.
MEER INFORMATIEMocht u naar aanleiding van deze pu-blicatie nog vragen hebben en/of meer informatie wensen, neem dan contact op met de BDO Branchegroep Zorg.
Algemeen secretariaatPostbus 4053, 3502 HB UtrechtTelefoon 088 - 236 48 03E-mail [email protected] www.bdo.nl/zorgTwitter www.twitter.com/BDOZorg
ColofonDeze publicatie is zorgvuldig voorbereid, maar is in algemene bewoordingen gesteld en bevat alleen informatie van algemene aard. Deze publicatie bevat geen advies voor concrete situaties, zodat uitdruk-kelijk wordt aangeraden niet zonder advies van een deskundige op basis van de informatie in deze publicatie te handelen of een besluit te nemen. Voor het verkrijgen van een advies dat is toegesneden op uw concrete situatie kunt u zich wenden tot BDO Accountants & Adviseurs of een van haar adviseurs. BDO Accountants & Adviseurs en haar adviseurs aanvaarden geen aansprakelijkheid voor schade die het gevolg is van handelen of het nemen van beslui-ten op basis van de informatie in deze publicatie.
BDO heeft een strategische samenwerking met Dijk-stra Voermans Advocatuur & Notariaat. Daardoor zijn wij in staat de belangen van de cliënt optimaal te behartigen.
BDO is een op naam van Stichting BDO te Amster-dam geregistreerd merk.
In deze publicatie wordt BDO gebruikt ter aandui-ding van de organisatie die onder de merknaam ‘BDO’ actief is op het gebied van de professionele dienstverlening (accountancy, belastingadvies en consultancy).
BDO Accountants & Adviseurs is een op naam van BDO Holding B.V. te Eindhoven geregistreerde handelsnaam en wordt gebruikt ter aanduiding van een aantal met elkaar in een groep verbonden rechtspersonen, die ieder afzonderlijk onder de merknaam ‘BDO’ actief zijn op een bepaald terrein van de professionele dienstverlening (accountancy, belastingadvies en consultancy).
BDO Holding B.V., is lid van BDO International Ltd, een rechtspersoon naar Engels recht met beperkte aansprakelijkheid, en maakt deel uit van het wereld-wijde netwerk van juridisch zelfstandige organisaties die onder de naam ‘BDO’ optreden.
BDO is de merknaam die wordt gebruikt ter aandui-ding van het BDO-netwerk en van elk van de BDO Member Firms.
Een door BDO reeds veel met succes toegepaste methode is dat wij als externe adviseur in een aantal dagen middels workshops, interviews en documentatie-studie inzicht geven in dit informatiegebruik en be-dreigingen die wij reeds zien. Samen met de organisatie wordt vervolgens een verbeterplan gemaakt (het in de norm aangegeven ‘risicobehandelplan’) waarin overzichtelijk per proces/systeem combinatie be-dreigingen, reeds getroffen maatregelen, verbeter-punten en risico-evaluatie van uw eigen organisatie vast wordt gelegd. Vervolgens kan onderbouwd worden gekozen om bepaalde maatregelen wel of niet te implementeren.
Samengevat: De noodzaak tot actie is voor alle partijen helder en de kaders en aanpak zijn bepaald. De maat-schappij en toezichthouders vragen erom. Laten we beginnen. Wij helpen u graag.
09/2012 – FC12317
BDO BRANCHEGROEP ZORGDe specifi eke kennis en kunde binnen de zorgsector heeft BDO gebundeld in de BDO Branchegroep Zorg. Deze branchegroep adviseert en onder-steunt diverse zorginstellingen, zoals ziekenhuizen, privéklinieken, AWBZ-instellingen en eerstelijns zorgverleners, bij onder meer fi nanciële, fi scale en organisatorische vraagstukken. Wij zijn ervan overtuigd dat de basis van het succes van ons en dat van onze klanten ligt in wederzijds vertrouwen. Wij geloven dat alleen vak- en branchekennis, cijfers en regels hiervoor niet de enige uitgangs-punten zijn. Het draait om wat onze klanten nodig hebben. Maar ook wie ze nodig hebben. Een be-trokken, persoonlijke relatie is voor ons de basis van een bestendige vertrouwensband. Het ontwikkelen van deze relatie staat centraal in alles wat wij doen. Als accountant, als fi scalist of als consultant. Wij richten ons op het verhaal achter de vraag van onze klanten. Omdat wij begrijpen dat het de mensen zijn die er toe doen. BDO, omdat mensen tellen.
