Succesvolle ondersteuning bij informatiebeveiliging IZIT: NEN7510 audit behaald!

HealthInsights heeft de afgelopen periode IZIT ondersteund bij de voorbereidingen op een audit tegen de NEN7510, de norm voor informatiebeveiliging in de zorg. En niet zonder succes, want vorige maand heeft IZIT succesvol een NEN7510 audit doorstaan! Uiteraard zijn wij hier trots op en feliciteren IZIT met het behaalde resultaat!

Achtergrond opdracht

Zorgverleners binnen de zorgketens of zorgnetwerken gaan steeds meer samenwerken, waarmee de behoefte aan afstemming, communicatie en informatie-uitwisseling toeneemt. Daarnaast is er behoefte aan innovatieve diensten en oplossingen die bepaalde onderdelen van de zorg minder arbeidsintensief maken. De schaal waarop deze ontwikkelingen worden gerealiseerd, is veelal die van de regio. Verreweg het grootste deel van de zorg wordt immers binnen een regio georganiseerd en binnen een regio kennen partijen elkaar voldoende om het benodigde vertrouwen in elkaar te hebben. De keuze voor regionale diensten en structuur vraagt coördinatie en regie van een organisatie die niet direct partij is, het geheel kan overzien en in staat is vragen te bundelen en waar mogelijk generieke oplossingen te vinden. In Twente is IZIT deze organisatie.

IZIT wil met ZorgNetOost de netwerkzorg in Twente structureel verbeteren en ontwikkelt en onderhoudt daarvoor een overleg- en ICT-structuur. Tevens verzorgt IZIT dienstverlening waar regionale zorgverleners gebruik van kunnen maken. Eén van de toekomstige diensten betreft het PatiëntPortaal, waarop patiënten hun toestemming voor het uitwisselen van medische informatie kunnen registreren en beheren. Nu verloopt de registratie nog via aangesloten zorgaanbieders (o.a. MST en ZGT), maar in de toekomst zal de patiënt dit zelf kunnen doen. Omdat het voor het gebruik van het portaal noodzakelijk is gebruik te maken van het BurgerServiceNummer (hierna BSN), dient IZIT rekening te houden met de Wet gebruik burgerservicenummer in de zorg (Wbsn-z). Recentelijk is door middel van een Koninklijk Besluit aangegeven dat partijen als IZIT gebruik mogen maken van het BSN, maar dat hieraan wel aanvullende voorwaarden worden gesteld. Eén van deze voorwaarden is dat een van de rechtspersoon onafhankelijke organisatie na onderzoek heeft vastgesteld dat de rechtspersoon en de voorziening voldoen aan de door de Stichting Nederlands Normalisatie-Instituut uitgegeven norm NEN 7510:2011 en dat deze die bevinding heeft opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld auditrapport. IZIT heeft HealthInsights gevraagd te ondersteunen bij de voorbereidingen voor deze NEN7510 audit.

Onze aanpak

De invoering of verbetering van informatiebeveiliging vraagt een gedegen aanpak om te borgen dat deze voldoet aan wet- en regelgeving, structureel in de organisatie kan worden ingebed en – in geval van audits door derde partijen – periodiek reproduceerbaar is. HealthInsights hanteert hiertoe een eigen ontwikkelde aanpak SecureInsights.

De methode start met het in kaart brengen van de organisatie, de dienst of product (functioneel en technisch) en de relevante risico’s door middel van een risicoanalyse. Ook vindt een (nul)meting plaats om een goed beeld te krijgen van de huidige status binnen de organisatie en de betrokken derde partijen (ontwikkeling, hosting etc.). Veelal zullen er namelijk al bewust of onbewust maatregelen zijn getroffen. De meting maakt duidelijk of de belangrijkste risico’s met voldoende maatregelen worden beheerst en welke vervolgstappen moeten worden genomen (de koers). Deze informatie is de basis om de te treffen maatregelen te bepalen, rekening houdend met minimale randvoorwaardelijke maatregelen vanuit wet- en regelgeving en normeringen (korte termijn) en maatregelen voor de lange(re) termijn. Dit laatste om de kwaliteit van informatiebeveiliging blijvend te borgen.

SecureInsights

Deze aanpak kan overkomen als een zwaar en tijdsintensief traject, maar dit is zeker niet het geval. HealthInsights hanteert een praktische insteek om te komen tot een snelle afronding, maar daarbij wel rekening houdend met de kwaliteit die dit onderwerp in de zorgsector vraagt. Hiervoor hebben wij verschillende (online) tooling beschikbaar voor bijvoorbeeld risicoanalyses en metingen. Daarnaast zoeken wij graag de samenwerking op met de organisatie om zo werkzaamheden te verdelen: inhoudelijke ondersteuning waar nodig, maar bij voorkeur worden zoveel mogelijk werkzaamheden uitgevoerd door de organisatie. Het is namelijk de organisatie zelf die later de kwaliteit van informatiebeveiliging en privacy moet blijven onderhouden.

Onze aanpak maakt gebruik van ondersteunende tooling en houdt rekening met de grootte van de organisatie. Daarnaast proberen wij de organisatie zelf zoveel als mogelijk werkzaamheden zelf te laten doen. Hierdoor kunnen wij onze eigen inzet en kosten minimaliseren.

Het resultaat

Door middel van onze aanpak is een organisatiebrede risicoanalyse, een (nul)meting bij betrokken organisaties en een Informatiebeveiligingsplan opgeleverd. Daarnaast hebben wij ondersteund bij de uitvoering van het plan en het uitwerken en documenteren van normen, procedures en werkinstructies. Alle opgeleverde producten zijn getoetst door middel van een onafhankelijke audit tegen de NEN7510. Afgelopen maand heeft IZIT deze audit succesvol doorstaan. De resultaten van de audit zijn aan de Autoriteit Persoonsgegevens verstrekt en ook daar goed ontvangen. De uitkomsten maken het mogelijk dat IZIT verder kan gaan met het realiseren van één van haar doelstellingen: het aanbieden van efficiënte en veilige diensten aan de zorgverleners en patiënten in de regio.