Met kleine stappen groot resultaat behalen op informatieveiligheid
Wij merken dat er nog veel vragen worden gesteld over informatieveiligheid daarom hebben wij vanuit ZEL, enkele van deze vragen voorgelegd aan Olaf Nijeboer, specialist informatieveiligheid bij Conan Doyle. Hij legt in dit artikel onder andere het verschil uit tussen AVG-wetgeving en NEN 7510 en geeft enkele tips.
Waarom is informatieveiligheid belangrijk? “Als huisarts heb je gevoelige informatie van patiënten. Deze verwachten dat er zorgvuldig met hun gegevens wordt omgegaan en als huisarts wil je ook graag uitstralen dat je zorgvuldig te werk gaat. Daarom is informatieveiligheid een belangrijk onderwerp binnen de praktijk. Bovendien ben je als bedrijf wettelijk verplicht om op een veilige manier om te gaan met de gegevens uit je praktijk. Voldoe je niet aan deze verplichting dan kan dat consequenties hebben voor je praktijk én voor de patiënt.”, aldus Olaf. Maar hoe pak je dit aan?
Wat is het verschil tussen NEN7510/AVG en AVG? Olaf heeft bij huisartspraktijken in de regio beveiligingsscans gedaan en licht toe waar je als praktijk aan moet voldoen;
“In de AVG-wetgeving staat dat bedrijven verplicht zijn om passende organisatorische en technische maatregelen te nemen om persoonsgegevens te beschermen. NEN7510 beschrijft hoe je dit doet.” Wat het voldoen aan AVG en aan NEN 7510 in de praktijk betekent, legt Olaf kort uit.
Waar moeten de zorgverleners volgens de AVG aan voldoen? “In de praktijk betekent dit dat je als zorgverlener eerst helder moet hebben wat je vastlegt, hoe en waarom. Dat helpt om risico's in beeld te krijgen. Denk hierbij aan zaken zoals: zorgen dat mensen alleen die data zien die ze mogen zien voor hun werk, een verwerkersovereenkomst en een verwerkingsregister.” Waar moeten de zorgverleners volgens NEN 7510 aan voldoen? “Je gebruikt NEN 7510 om bij alle punten te kijken of je hier nu iets mee moet. Vervolgens maak je keuzes en minimaliseer je zo het risico. Vergelijk het met het beveiligen van je huis. Heb ik overal sloten? Nee, dan is het zaak te zorgen dat ik wel overal een slot heb, want daarmee verklein ik het risico op inbraak. Dat geldt ook voor informatieveiligheid; maak het hackers zo moeilijk mogelijk. Bij NEN 7510 draait het om zaken als: wachtwoordenbeleid, werkplekbeheer en het maken van back-ups.”
Wanneer voldoet een zorgverlener aan NEN7510 en is de praktijk informatieveilig? “Informatiebeveiliging regelt zichzelf niet. Er zijn stappen nodig om je praktijk veiliger te maken. Je kunt dit zelf doen of iemand om ondersteuning vragen.” Tijdens de HV ZEL in juni legde Conan Doyle onder andere uit welke stappen je als praktijk kunt nemen om te zorgen voor informatieveiligheid. Ook werd daarbij aangegeven dat kleine stappen al een groot verschil kunnen maken.
“Via de invulmatrix die wij ontwikkelden, zie je welke stap voor jouw praktijk de meeste impact heeft.” In de invulmatrix doorloop je per onderwerp (devices, applicaties, netwerk, data, mensen en leveranciers) de vijf stappen:
- Heb ik dit in beeld? (identificeren)
- Hoe heb ik het beschermd?
- Zit er iets in dit onderwerp dat detecteert?
- Kan je erop reageren?
- Kun je het repareren?
Olaf vervolgt:
“Binnen een uur heb je dan al goed in beeld waar verbeteringen te maken zijn. Heb je een onderwerp waar je mee aan de slag wil gaan, dan kun je NEN 7510 gebruiken om te kijken wat je kunt doen. Zo doe je kennis op en kun je gericht keuzes maken. Heb je na het invullen van de matrix en het bekijken van NEN 7510 vragen of twijfel je? Dan kan Conan Doyle ondersteunen om te kijken welke maatregelen je het best kunt nemen om de stap te maken.”
Waarmee kan iedere praktijk starten? Gedeelde werkplekken is een onderwerp waar in de meeste praktijken in de regio nog stappen te maken zijn, zo legt Rick Vermeer, manager digitalisering van ZEL uit:
“Doordat diverse medewerkers werken onder 1 account is niet te detecteren wie aan het werk is en wie wat heeft gedaan. Hoe organiseer je dit veilig? Om hier antwoord op te geven en op andere vragen die je over dit onderwerp hebt, organiseert ZEL met Conan Doyle op dinsdag 21 november van 16.30 tot 17.15 een online vragenuurtje.” Hiervoor ontvangen de huisartsen in de regio binnenkort een uitnodiging.
Hoe blijf je op de hoogte? Rick begrijpt dat het lastig is om alle ontwikkelingen op het gebied van digitalisering bij te houden:
“Informatieveiligheid is een continu proces. Maar er gebeurt zoveel dat het lastig is om te weten wat belangrijk en relevant is. Daarom volgen wij de laatste ontwikkelingen en houden jullie op de hoogte."Heb je een concrete vraag? Leg die dan bij ons neer:
digitalisering@zel.nl.
Een tip van Olaf is om de HIS leverancier/IT leverancier die het netwerk beheert te vragen of zij een nieuwsbrief hebben of een nieuwsbrief kunnen adviseren om zo relevante informatie te ontvangen. Rick benadrukt:
“Verlies jezelf niet in alles wat er wordt gedeeld over informatie veiligheid, AVG en NEN 7510.”