Comply or and Explain. Benchmark informatiebeveiliging

Transcriptie

1 Comply or and Explain Benchmark informatiebeveiliging

2

3 Comply or and Explain Benchmark informatiebeveiliging Voor u ligt benchmark informatiebeveiliging. Deze benchmark is uitgevoerd naar aanleiding verplichte audit die alle ziekenhuizen in Nerland hebben onrgaan. De resultaten ze audit moesten op 31 cember 2010 ingeleverd zijn bij inspectie voor gezondheidszorg (IGZ). In ze anonieme benchmark zijn resultaten opgenomen 35 ziekenhuizen vereld over volgen categorieën: Categorie Aantal ziekenhuizen in benchmark Aantal verschillen auditpartijen Algemene ziekenhuizen 19 6 Topklinische ziekenhuizen 10 6 Acamische ziekenhuizen 6 1 Totaal De onrzoeken bij ze ziekenhuizen zijn door verschillen audit-partijen uitgevoerd variërend traditionele accountantsen IT audit-kantoren tot ICT-dienstverleners. Om aan te geven hoe spreiding is hebben wij aantal auditpartijen waar resultaten zijn opgenomen toegevoegd. Hierin zijn audit-partijen dubbel opgenomen; er zijn audit-partijen die audits hebben uitgevoerd bij zowel algemene als topklinische ziekenhuizen. In ons onrzoek zijn g partijen opgenomen die audits bij alledrie categorieën hebben uitgevoerd. Contactpersonen Voor informatie of vragen naar aanleiding ze benchmark of dit onrwerp kunt u contact opnemen met: ir. J.G.G.V. (Guill) n Boom RE guill..n.boom@nl.ey.com drs. A.J.A. (Arjan) Hassing RE RA arjan.hassing@nl.ey.com 1

4 Comply or and Explain 2

5 Inleiding Informatiebeveiliging is stelsel maatregelen om verstoringen in zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele scha als gevolg sondanks optren verstoringen te beperken. (NEN 7510, 2004) In Nerland wordt hoogwaardige zorg verld op diverse vlakken. Hierbij is belang dat zorgverlener beschikt over betrouwbare informatie om veiligheid patiënt te garanren. Daarnaast is vertrouwelijkheid gegevens ook essentieel belang. Om hierbij te helpen is NEN 7510 in leven geroepen. De norm NEN 7510 gaat over informatiebeveiliging binnen zorgsector. Informatiebeveiliging is stelsel maatregelen om verstoringen in zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele scha als gevolg sondanks optren verstoringen te beperken. (NEN 7510, 2004) Oftewel hoe wordt beschikbaarheid, integriteit en vertrouwelijkheid informatie en informatievoorziening gegaranerd? Uiterlijk 31 cember 2010 moesten Nerlandse ziekenhuizen aantonen in hoeverre zij voln aan ( subset ) ze norm. Deze benchmark is gebaseerd op resultaten verplichte NEN 7510-audit. In ze benchmark zijn scores 35 ziekenhuizen opgenomen. Acht ziekenhuizen in onze benchmark hebben rapportage beschikbaar gesteld met datum die na 31 cember 2010 ligt, dit is ongeveer 20% populatie. Wij zijn er uit gegaan dat ze rapportages na 31 cember 2010 ingeleverd zijn bij IGZ. Deze benchmark heeft als titel Comply or and Explain. Waarom ze titel? Er is namelijk g keuze om wel of niet te voldoen. Het alou adagium comply or explain gaat voor dit onrwerp niet op. De instelling moet namelijk voldoen. Het is echter wel belang dat er duilijk uitgelegd wordt waarom informatiebeveiliging zo belangrijk is. 3

6 The magic number is: 4 2

7 Toetsingsreglement Voor uitvoeren audit is toetsingsreglement opgesteld. Dit toetsingsreglement is op 19 april 2010 beschikbaar gesteld door NVZ vereniging ziekenhuizen. In dit toetsingsreglement zijn 33 normelementen opgenomen vereld over vijf clusters: Beleid en organisatie; Personeel; Ruimten en apparatuur; Continuïteit; Intificatie, authenticatie en autorisatie. Per normelement is score toegekend variërend 1 tot en met 4. De bijbehoren omschrijvingen per score zijn als volgt: Score Omschrijving Het normelement krijgt weinig of g aandacht of er zijn uitsluitend plannen om met normelement aan slag te gaan. Het normelement is op projectbasis of slechts op beperkte schaal in instelling of werkheid geïmplementeerd of kwaliteitscyclus is nog niet doorlopen. Het normelement is geïmplementeerd op alle voor kwaliteit meest kritieke plaatsen in instelling of werkheid en kwaliteitscyclus is tenminste maal doorlopen. Het normelement is breed in instelling of werkheid geïmplementeerd en doorlopen kwaliteitscyclus heeft structureel karakter. Figuur 1- Omschrijvingen normelementen Een ongewogen gemidl score 2,0, waarbij element is geïmplementeerd maar interne controle op doeltreffendheid nog niet heeft plaatsgevonn, wordt als voldoen gekwalificeerd. Dus 2 is the magic number. 5

8 Risicoanalyse Risicoanalyse Zomaar starten met implementatie NEN 7510 is niet aan te ran. G enkele organisatie is gelijk en wereld rondom ons veranrd continu. Daarom is (periodiek) uitvoeren gegen risicoanalyse essentieel. Zomaar starten met implementatie Naast onrzoek naar voldoen aan normelementen is risicoanalyse NEN 7510 is niet aan te ran. G enkele organisatie is gelijk en wereld rondom instelling beooreld. Hierbij is beooreld of intern uitgevoer risicoanalyse ons is continu aan veranring onrhevig. Daarom is (periodiek) uitvoeren goed uitgangspunt is voor traject op weg naar certificering volgens gegen risicoanalyse essentieel. volledige NEN 7510-norm. In toetsingskar zijn slechts beperkte richtlijnen opgenomen waaraan risicoanalyse moet voldoen. Dit is te zien aan wijze waarop uitwerking dit onrwerp in auditrapporten heeft plaatsgevonn, die is heel verschillend. Daardoor zijn uitkomsten slecht vergelijkbaar. Naast onrzoek naar voldoen aan norm elementen is risicoanalyse instelling beooreld. Hierbij is beooreld of intern uitgevoer risicoanalyse goed uitgangspunt is voor traject op weg naar certificering volgens volledige NEN 7510-norm. In toetsingskar zijn slechts beperkte richtlijnen opgenomen waaraan risicoanalyse moet voldoen. Dit is te zien aan wijze waarop uitwerking dit onrwerp in auditrapporten heeft plaatsgevonn, die is heel verschillend. Daarmee zijn uitkomsten slecht vergelijkbaar. Lanlijk ziet beoorling risicoanalyses er als volgt uit: Lanlijk ziet beoorling risicoanalyses er als volgt uit: Algem Topklinisch Acamisch Totaal Riscoanalyse voldoen Risicoanalyse onvoldoen Figuur 2-2- Uitkomsten beoorling beoorling risicoanalyses risicoanalyses Het valt op dat bij algemene ziekenhuizen bijna 30% onvoldoen scoort op uitvoering risicoanalyse. Dit is opmerkelijk omdat risicoanalyse belangrijk startpunt is voor invoering NEN De norm kent veel raakvlakken met anre wet- en regelgeving. Zoals bijvoorbeeld: Wet gebruik burgerservicenummer in zorg (Wbsn-z); Wet geneeskundige behanlingsoverkomst (WGBO); Wet bescherming persoonsgegevens (WBP); Wet computercriminaliteit (WCC); Wet intificatie bij dienstverlening (WID); Wet Beroepen in Individuele Gezondheidszorg (Wet BIG); Wet Kwaliteit Zorginstellingen. Het valt op dat bij algemene ziekenhuizen bijna 30% onvoldoen scoort op uitvoering risicoanalyse. Dit is opmerkelijk omdat risicoanalyse belangrijk startpunt is voor invoering NEN De norm kent veel raakvlakken met anre wet- en regelgeving. Zoals bijvoorbeeld: Wet gebruik burgerservicenummer in zorg (Wbsn-z); Wet geneeskundige behanlingsoverkomst (WGBO); Wet bescherming persoonsgegevens (WBP); Wet computercriminaliteit (WCC); Wet intificatie bij dienstverlening (WID); Wet Beroepen in Individuele Gezondheidszorg (Wet BIG); Wet Kwaliteit Zorginstellingen. Wij zien steeds meer dat er wordt gekozen voor integrale aanpak. Dat betekent aanpak die niet uitsluitend gericht is op voldoen aan NEN 7510, maar voldoen aan alle relete wet- en regelgeving voor instelling. 6

9 The tone is set at the Top. Dit alou corporate governance-adagium geldt ook zeker voor informatiebeveiliging. 7

10 Mate voldoen aan normelementen uit toetsingsreglement Mate voldoen aan normelementen uit toetsingsreglement Voor gemidl over 33 normelementen komen volgen scores naar voren: Voor gemidl over 33 normelementen komen volgen scores naar voren: 4,00 3,75 3,82 3,82 3,50 3,25 3,09 3,16 3,00 2,75 2,50 2,25 2,00 2,13 2,18 2,61 2,48 2,32 Gemidl 33 normen per categorie Hoogste gemidl 33 normen per categorie Laagste gemidl 33 normen per categorie 1,75 1,50 1,52 1,64 1,52 1,25 1,00 Algem Topklinisch Acamisch Totaal Figuur 3 Gemidl, hoogste en laagste over 33 normelementen Figuur 3 Gemidl, hoogste en laagste over 33 normelementen De topklinische ziekenhuizen en algemene ziekenhuizen ontlopen elkaar gemidld niet veel. De acamische ziekenhuizen daarentegen doen stuk beter, met score gemidld boven 3,0. Ter illustratie :om De score topklinische te behalen ziekenhuizen 2,3 gemidld moet en algemene op minimaal ziekenhuizen tien normelementen ontlopen score elkaar 3,0 behaald gemidld worn. Voor niet veel. behalen De acamische 2,6 moet op ziekenhuizen minimaal 20 normelementen daarentegen score doen 3,0 behaald stuk beter, worn. met Voor score score 3,0 gemidld moet op alle normelementen boven 3,0. Ter score illustratie: minimaal om 3,0 behaald score te worn, behalen compensatie door behalen score 4,0 is natuurlijk ook mogelijk. 2,3 gemidld moet op minimaal tien normelementen score 3,0 behaald worn. Voor behalen 2,6 moet op minimaal 20 normelementen score 3,0 behaald worn. Voor score 3,0 moet op alle normelementen score minimaal 3,0 behaald worn, compensatie door behalen score 4,0 is natuurlijk ook mogelijk. Qua spreiding valt op dat algemene ziekenhuizen op gebied laagste en hoogste scores beter scoren dan topklinische ziekenhuizen. Qua spreiding valt op dat algemene ziekenhuizen op gebied hoogste scores beter scoren dan topklinische ziekenhuizen. 8

11 In onrstaand overzicht is opgenomen hoeveel ziekenhuizen voldoen of onvoldoen hebben behaald voor audit. In onrstaand overzicht is opgenomen hoeveel ziekenhuizen voldoen of onvoldoen hebben behaald voor audit Algem Topklinisch Acamisch Totaal Score voldoen (gemidl 33 normen) Score onvoldoen (gemidl 33 normen) Figuur 4- Overzicht voldoens/ onvoldoens als gemidl 33 normen Figuur 4- Overzicht voldoens/ onvoldoens als gemidl 33 normen Deze scores stemmen aardig over met scores ten aanzien risicoanalyse. Eén uitzonring valt op bij topklinische ziekenhuizen. Hier scoort één ziekenhuizen voldoen op risicoanalyse maar g voldoen op gemidl 33 normelementen. Deze scores stemmen aardig over met scores ten aanzien risicoanalyse. Eén uitzonring valt op bij topklinische ziekenhuizen. Hier scoort één ziekenhuizen voldoen op risicoanalyse maar g voldoen op gemidl 33 normelementen. Het geheim succesvolle implementatie NEN 7510 is tijd en doorzettingsvermogen. Het geheim succesvolle implementatie NEN 7510 is tijd en doorzettingsvermogen. 9

12 Cluster 1: Beleid en organisatie Het eerste cluster is beleid en organisatie. Dit cluster gaat over bestuurlijke verankering onrwerp binnen organisatie. Belangrijk hierbij is dat er ICT-beleidsdocument is opgesteld dat periodiek wordt geactualiseerd. Daarnaast gaat dit cluster ook over beleid ziekenhuis ten aanzien (online) uitwisselen gegevens. Tot slot gaat dit cluster ook over registreren en periodiek rapporteren beveiligingsincinten. Cluster 1: Beleid en organisatie Het eerste cluster is beleid en organisatie. Dit cluster gaat over bestuurlijke verankering onrwerp binnen organisatie. Belangrijk hierbij is dat er ICT-beleidsdocument is opgesteld dat periodiek wordt geactualiseerd. Daarnaast gaat dit cluster ook over beleid ziekenhuis ten aanzien (online) uitwisselen gegevens. Tot slot gaat dit cluster ook over registreren en periodiek rapporteren beveiligingsincinten. Dit cluster bestaat uit 8 normelementen daarmee bepaalt dit cluster voor bijna kwart uiteinlijke score. 4,00 Dit cluster bestaat uit 8 normelementen daarmee bepaalt dit cluster voor bijna kwart uiteinlijke score. 3,63 3,63 3,50 3,25 3,08 3,00 2,88 2,50 2,00 2,23 1,63 2,30 1,75 2,13 2,40 1,63 Gemidl cluster 1 Hoogste cluster 1 Laagste cluster 1 1,50 1,00 Algem Topklinisch Acamisch Totaal Figuur 5 Benchmark: Beleid en organisatie Figuur 5 Benchmark: Beleid en organisatie Voor aang ons onrzoek en Deze lage scores zijn met name Voor aang samenstellen ons onrzoek ze en benchmark samenstellen ze gevolg benchmark hadn scores wij verwacht dat 1,0 scores op voor dit hadn cluster ruim wij boven verwacht minimale dat 2,0 zoun scores komen voor te liggen. gebied De ren : voor ze verwachting is dat eerst organisatie op or moet zijn alvorens rgelijk project gestart kan worn. De scores uit benchmark wijzen anrs dit cluster uit. Door ruim acamische boven huizen minimale wordt score gemidld boven Beleid 3,0 gescoord. voor De algemene en topklinische 2,0 zoun ziekenhuizen komen behalen te liggen. daarentegen De score die gemidld gegevensuitwisseling boven 2,0 ligt maar g (Algem: ruime 2,0 is te noemen. Verr valt op dat bij algemene en topklinische ziekenhuizen door sommige ziekenhuizen ren voor ze verwachting is dat 37%, Topklinisch: 40%); scores worn behaald die lager zijn dan minimale 2,0. eerst organisatie op or moet Overkomsten (Algem: Deze zijn lage alvorens scores zijn met rgelijk name gevolg project scores 1,0 op 11%, gebied Topklinisch: : 11%); Beleid voor gegevensuitwisseling (Algem: 37%, gestart kan worn. De scores Topklinisch: 40%); Bescherming Overkomsten (Algem: 11%, Topklinisch: 11%); benchmark wijzen anrs uit. Door persoonsgegevens (Algem: 26%, Bescherming persoonsgegevens (Algem: 26%, Topklinisch: 10%); acamische Het rapporteren huizen wordt beveiligingsincinten score (Algem: Topklinisch: 16%, Topklinisch: 10%); 0%). gemidld boven 3,0 gescoord. De Het rapporteren Bij algemene acamische en huizen topklinische werd slechts ziekenhuizen éénmaal score 1,0 beveiligingsincinten behaald, dit was op gebied (Algem: overkomsten behalen daarentegen ( ). score die 16%, Topklinisch: 0%). gemidld boven 2,0 ligt maar g ruime 2,0 is te noemen. Verr valt op dat er bij algemene en topklinische ziekenhuizen door sommige ziekenhuizen scores worn behaald die lager zijn dan minimale 2,0. Bij acamische huizen werd slechts éénmaal score 1,0 behaald, dit was op gebied overkomsten ( ). Ten slotte valt op dat slechts twee instellingen in ons onrzoek score 4,0 behaald hebben op normen ten aanzien overkomsten (10.8.2) of bescherming persoonsgegevens (14.1.4). 10

13 11

14 Cluster 2: Personeel Het twee cluster gaat over personeel, meest waarvolle bezit instelling. Dit cluster omvat echter slechts twee normelementen. Cluster 2: Personeel Het eerste normelement gaat over wijze waarop informatiebeveiliging is verankerd in arbeidscontract mewerker. Het twee normelement gaat over bewustwording, opleiding en training. De scores zijn als volgt: Het twee cluster gaat over personeel, meest waarvolle bezit instelling. Dit cluster omvat echter slechts twee normelementen. Het 3 eerste normelement gaat over wijze waarop informatiebeveiliging is verankerd in arbeidscontract mewerker. Het twee normelement 2,5 gaat over bewustwording, opleiding en training. Cluster 2: Personeel De 2 scores zijn als volgt: De 1,5 scores zijn als volgt: Cluster 2: Personeel Het twee cluster gaat over personeel, meest waarvolle bezit instelling. Dit cluster omvat echter slechts twee normelementen. Het eerste normelement gaat over wijze waarop informatiebeveiliging is verankerd in arbeidscontract mewerker. Het twee normelement gaat over bewustwording, opleiding en training. 4,00 1 4,00 4,00 0,5 3,50 3,00 0 3,00 3,00 3,08 Catharina Maxima Medisch Centrum Elkerliek St. Anna Peer-group 2,50 2,26 Gemidl cluster 2 2,09 2,10 2,00 Hoogste cluster 2 2,00 Laagste cluster 2 1,50 1,50 De onrlinge scores ontlopen elkaar niet echt. De enige achterblijver is 1,00 1,00 Catherina 1,00 Ziekenhuis. De ren voor achterblijven is dat bewustwordingscampagne bij dit ziekenhuis pas in 2011 geformaliseerd start is gegaan. 0,50 De acties op gebied bewustwording zijn voor el wel gestart in Algem Topklinisch Acamisch Totaal 2010 maar moeten nog afgerond worn. Figuur Figuur 6 6 Benchmark: Benchmark: Personeel Personeel Op gebied verwijzing naar informatiebeveiliging in arbeidscontract scoren De scores alle lopen len erg uit variërend alliantie 1,0 zelf tot 4,0. Bij score, algemene ziekenhuizen 2. In zijn algem er ziekenhuizen hierbij die dat voor bei normen score 1,0 behalen. De topklinische ziekenhuizen behalen voor minimaal één normen norm minimale 2,0. expliciete De acamische verwijzing ziekenhuizen in behalen arbeidscontract voor bei normen vereist. minimale Deze 2,0 expliciete of zelfs hoger zoals maximale De scores lopen 4,0. erg uit variërend 1,0 tot 4,0. Bij algemene ziekenhuizen verwijzing ontbreekt, echter er zijn wel indirecte verwijzingen bijvoorbeeld door te zijn er ziekenhuizen bij die voor bei normen score 1,0 behalen. De verwijzen Een veranring topklinische naar in gedrag ziekenhuizen handboek en cultuur is behalen of essentieel anr voor medium belang voor minimaal waarin succes één dit is opgenomen. effectief informatiebeveiligingsbeleid. De scores wijzen uit dat merenel ziekenhuizen normen nog in eerste minimale cyclus 2,0. bewustwording De acamische zitten. In 60% ziekenhuizen gevallen hebben behalen ziekenhuizen voor bei normen score 2,0 minimale of lager gescoord 2,0 of Hiermee voor norm zelfs hoger wordt bewustwording, zoals misschien opleiding maximale volgens score aan training voor letter informatiebeveiliging. 4,0. norm, Dit echter betekent wel dat aan er bij geest drie vijf ziekenhuizen nog g interne evaluatie heeft plaatsgevonn of programma effectief is geweest. norm..werknemers moeten op hun taken, bevoegdhen en verantwoorlijkhen Een veranring in gedrag op en gebied cultuur is informatiebeveiliging essentieel belang voor worn gewezen. succes Wij effectief informatiebeveiligingsbeleid. De scores wijzen uit dat merenel onrschrijven wijze die len alliantie hebben gekozen. Door ze wijze ziekenhuizen nog in eerste cyclus bewustwording zitten. In 60% te kiezen gevallen wordt hebben voudig ziekenhuizen om bepalingen score te actualiseren 2,0 of lager en gescoord daarmee voor beheersbaar norm houn bewustwording, voor organisatie. opleiding en training voor informatiebeveiliging. Dit betekent dat er bij drie vijf ziekenhuizen nog g interne evaluatie heeft plaatsgevonn of programma effectief is geweest. <GRAAG DE TWEE PLAATJES, VERDUVELD EN HEILIG ERGENS OPNEMEN> 12 Alle rechten voorbehoun - Ernst & Young Benchmark NEN7510 8

15 Spanningsveld Er is groot spanningsveld dat doorbroken moet worn: werkbaarheid versus voldoen aan nor - Er is groot spanningsveld dat doorbroken moet worn: werkbaarheid versus voldoen aan norm Spanningsveld Techniek Procedures Gedrag en Cultuur Figuur 7 Radar componenten Veruit belangrijkste component in Dit is lastige spagaat. Hoe Figuur 7 Radar componenten geheel is gedrag en cultuur. Het hiermee om te gaan is geheel aan bewerkstelligen veranring interpretatie zorgverlener. De Veruit belangrijkste component in gedrag in en cultuur geheel is niet is gedrag voudig, en cultuur. wet- en Het regelgeving bewerkstelligen hieromtrent is nog veranring gedrag en cultuur is niet voudig, echter indien echter hierin indien veranring hierin veranring niet helr wordt en spreekt bewerkstelligd elkaar soms dan zijn resultaten vaak ook zeer positief. wordt bewerkstelligd dan zijn tegen over dit onrwerp. Toch is dit resultaten vaak ook zeer positief. speelveld met bijbehoren De doelstelling NEN 7510-norm is onrsteuning in leveren regels waarin je best je als mogelijke organisatie en moet verantwoor De doelstelling NEN 7510-norm begeven. zorg. Daarnaast is waarborgen privacy patiëntgegevens ook essentieel belang. Dit wekt is onrsteuning in leveren bepaald spanningsveld op. Aan best mogelijke ene kant en dienen verantwoor patiëntgegevens Een voor organisatie iere moet specialist aantal beschikbaar te zijn om die best mogelijke zorg te kunnen zorg. Daarnaast leveren. is Aan waarborgen anre kant kunnen fasen doorlopen patiëntgegevens om uiteinlijk niet aan iere specialist beschikbaar worn gesteld privacy omdat patiëntgegevens privacy patiënten te komen dan tot wordt verankering geschonn. ook essentieel belang. Dit wekt informatiebeveiliging binnen haar Dit is lastige spagaat. Hoe hiermee bepaald spanningsveld om te gaan op. is geheel Aan aan organisatie. interpretatie De norm kent zorgverlener. aan ene De wet- e regelgeving hieromtrent is nog ene kant niet dienen helr patiëntgegevens en spreekt elkaar voor soms kant tegen enkele over har dit onrwerp. normen. Voorbeeln Toch is dit speelveld met bijbehoren iere regels specialist waarin beschikbaar je je als te organisatie zijn moet hier begeven. zijn opstellen en beschrijven om die best mogelijke zorg te kunnen bepaal procedures of op leveren. Aan anre kant kunnen bepaal wijze inrichten Een organisatie moet aantal fasen doorlopen om uiteinlijk te komen tot verankering patiëntgegevens niet aan iere applicatie of ICT-infrastructuur. Er informatiebeveiliging binnen specialist haar organisatie. beschikbaar De worn norm gesteld kent aan zijn ene echter kant ook enkele aantal har wat normen. zachtere Voorbeeld hier zijn opstellen en omdat beschrijven privacy bepaal patiënten procedures dan normen of waar op bepaal organisatie wijze zich op inrichten ee applicatie of ICT-infrastructuur. wordt geschonn. Er zijn echter ook aantal moet wat zachtere richten. normen waar organisatie zic op moet richten. 13

16 Heel oneerbiedig gesteld is har kant voudigst te bewerkstellingen, indien er voldoen resources op gebied tijd, geld en menskracht zijn is dit te realiseren. De zachtere kant informatiebeveiliging is veel lastiger vorm te geven. Daarom zal in ze paragraaf worn ingegaan op stappen die gezet moeten worn voor implementatie ze zachtere normen. Deze stappen laten zich goed uitwerken op basis bewustwordingstappen Maslow. Informatiebeveiliging is veel meer dan uitsluitend techniek, is veranrtraject Een organisatie en moet haar mewerkers aantal fases moeten doorlopen zich om evolueren uiteinlijk onbewust te komen tot onbekwaam verankering naar uiteinlijk informatiebeveiliging onbewust bekwaam. binnen haar Dit is organisatie. vaak langdurig De norm traject omdat er duilijke wijziging in gedrag en cultuur mewerker en zorginstelling kent aan ene noodzakelijk kant enkele is. har normen. Voorbeeln hier zijn opstellen en beschrijven bepaal procedures of op bepaal wijze Door inrichten werken aan applicatie houding wordt of gewerkt ICT infrastructuur. aan bewustwording Er zijn echter ook organisatie aantal wat zachtere en haar mewerkers. normen waar Veel organisatie ziekenhuizen zich op moet zijn inmidls richten. bewustwordingscampagne gestart. Door midl posters, bijkomsten en anre soms ludieke acties - zoals stresspoppetjes, muismatjes of beveilig USB-sticks Heel oneerbiedig - wordt gesteld aandacht is har op noodzaak kant voudigst informatiebeveiliging te realiseren, gelegd. indien Daarnaast er voldoen worn resources er veiligheidsrons op gebied uitgevoerd tijd, geld en en worn menskracht zogenaam zijn is dit mystery guests realiseren. uitgenodigd De zachtere om kant beveiliging informatiebeveiliging binnen zorginstelling is veel lastiger op proef te te stellen. realiseren. Dit alles Daarom heeft zal tot in doel ze paragraaf mewerkers worn bewust ingegaan te maken op stappen risico s die die gezet er zijn moeten en worn soms ingesleten voor implementatie gewoonten binnen ze organisatie zachtere normen. die uit Deze stappen laten zich goed uitwerken op basis bewustwordingstappen Maslow. Bewust Onbekwaam Houding Kennis Onbewust Bekwaam Gedrag Onbewust Onbekwaam Bewust Bekwaam Figuur 2: 8- De bewustwordingstappen bewustwordingstappen Maslow Maslow Een organisatie en haar mewerkers moet zich evolueren onbewust onbekwaam naar uiteinlijk onbewust bekwaam. Dit is vaak langdurig traject omdat er hele duilijke wijziging in gedrag en cultuur mewerker en zorginstelling. 14 Door te werken aan houding dient wordt gewerkt aan bewustwording organisatie en haar mewerkers. Veel ziekenhuizen zijn inmidls bewustwordingscampagne gestart. Door midl posters, bijkomsten en anre soms erg ludieke acties, zoals stresspoppetjes, muismatjes of beveilig USB sticks, wordt aandacht op noodzaak informatiebeveiliging gelegd. Daarnaast worn er veiligheidsrons uitgevoerd en worn zogenaam mystery guests uitgenodigd om beveiliging binnen zorginstelling op proef te stellen. Dit alles heeft tot doel mewerkers bewust te maken risico s die er zijn en soms ingesleten gewoonten binnen organisatie die

17 Informatiebeveiliging is veel meer dan uitsluitend techniek, is veranrtraject veiligheidsoogpunt eigenlijk niet kunnen. Nadat mewerkers zich bewust zijn aanwezige risico s is noodzakelijk dat men gaat beschikken over kennis. Dit kan door midl plenaire trainingen maar ook door trainingen on the job door bijvoorbeeld direct leidinggeven. De noodzakelijke training zal voor arts anrs zijn als voor logistiek mewerker. Ier heeft zijn eigen aandachtsgebied binnen organisatie en daarmee aandachtspunten op gebied informatiebeveiliging. In ze specifieke behoeften dient door training te worn voorzien. Daarnaast is natuurlijk essentieel belang dat er voldoen sprake voorbeeldgedrag is. Het is essentieel dat Raad Bestuur maar ook direct leidinggevenn mewerkers belang Informatiebeveiliging inzien en uitdragen. De laatste fase is borgen, dit is laatste stap om uiteinlijk onbewust bekwaam te zijn op gebied informatiebeveiliging. Hierbij is voornamelijk belang dat er duilijke relatie wordt gelegd tussen hoe en waarom. Dit gaat dus over EXPLAIN. Waarom is dit zo belangrijk? De wereld om ons h veranrt, technologie raast voort. Hierdoor ontstaan steeds nieuwe risico s. Het uiteinlijke doel is dat mewerkers ze risico s zelf onrkennen en daarvoor passen maatregelen nemen of laten nemen. Hiermee creëer je leren organisatie, feitelijke intern toegepaste Deming-cirkel. 15

18 Cluster 3: Ruimten en apparatuur Het r cluster gaat over fysieke toegangsbeveiliging. Een zorginstelling heeft open karakter. Aflingen zijn veelal vrij toegankelijk. Dit brengt bepaal risico s met zich mee. De maatregelen moeten hierop aangepast worn. Het open karakter zorginstelling dient zoveel mogelijk behoun te blijven, moet echter ook veilig zijn. Cluster 3: Ruimten en apparatuur Het r cluster gaat over fysieke toegangsbeveiliging. Een zorginstelling heeft open karakter. Aflingen zijn veelal vrij toegankelijk. Dit brengt bepaal risico s met zich mee. De maatregelen moeten hierop aangepast worn. Het open karakter zorginstelling dient zoveel mogelijk behoun te blijven, moet echter ook veilig zijn. De scores voor dit cluster zijn als volgt: De scores voor dit cluster zijn als volgt: 4,00 3,83 3,83 3,50 3,00 3,17 2,83 3,25 2,50 2,00 2,23 2,25 1,83 2,33 2,41 Gemidl cluster 3 Hoogste cluster 3 Laagste cluster 3 1,50 1,50 1,50 1,00 Algem Topklinisch Acamisch Totaal Figuur 9 Benchmark: Ruimten en apparatuur Figuur 9 Benchmark: Ruimte en apparatuur Dit cluster omvat zes normelementen variërend realisatie twee MER (Main Equipment Room) tot beschikken over clear sk- en clear scr-beleid en hier periodiek op toe te zien. De belangrijkste aandachtspunten voor dit cluster is clear sk en clear scr policy (9.3.1). Gemidld over Dit cluster omvat zes normelementen variërend realisatie twee 35 ziekenhuizen in ze benchmark scoort 26% hiervoor score 1,0. Daarna komen normen inzake MER (Main Equipment Room) tot beschikken over clear sk- en clear (9.1.3) beveiliging kantoren, ruimten en voorzieningen (11%) en (9.1.4) werken in beveilig ruimten (11%), ook scr-beleid hier worn scores en hier 1,0 periodiek behaald. op toe te zien. De belangrijkste aandachtspunten voor dit cluster is clear sk en clear scr policy (9.3.1). Gemidld over 35 ziekenhuizen in ze benchmark scoort 26% hiervoor score 1,0. Daarna komen normen inzake (9.1.3) beveiliging kantoren, ruimten en voorzieningen (11%) en (9.1.4) werken in beveilig ruimten (11%), ook hier worn scores 1,0 behaald. 16

19 Zonr ICT moet ik mijn patiënten naar huis sturen 17

20 Cluster 4: Continuïteit Cluster 4: Continuïteit Het grootste cluster is cluster continuïteit. Dit cluster omvat tien normelementen en bepaalt daarmee voor ongeveer r uiteinlijke score. Het grootste cluster is cluster continuïteit. Dit cluster omvat tien normelementen en bepaalt daarmee voor ongeveer r uiteinlijke score. De scores voor dit cluster zijn als volgt: De scores voor dit cluster zijn als volgt: 4,00 3,80 3,80 3,50 3,22 3,00 2,80 2,50 2,00 2,02 2,10 2,50 2,40 2,24 Gemidl cluster 4 Hoogste cluster 4 Laagste cluster 4 1,50 1,30 1,30 1,30 1,00 Algem Topklinisch Acamisch Totaal Figuur 10 Benchmark: Continuïteit Figuur 10 Benchmark: Continuïteit Over geheel bekeken valt score 2,0 op gebied continuïteit tegen. Uit al onze interviews blijkt dat continuïteit of beschikbaarheid gegevens en gegevensverwerken systemen belangrijk wordt gevonn en steeds belangrijker wordt onr meer door verrgaan uitbanning papieren dossiers. Een arts vertel ons volgen: Zonr ICT moet ik mijn patiënten naar huis sturen. Wij hadn daarom verwacht op dit Over geheel bekeken valt score 2,0 op gebied continuïteit tegen. Uit al onze interviews blijkt dat continuïteit of beschikbaarheid gegevens en gegevensverwerken systemen belangrijk wordt gevonn en steeds belangrijker wordt onr meer door verrgaan uitbanning papieren dossiers. Een arts vertel ons volgen: Zonr ICT moet ik mijn patiënten naar huis sturen. Wij hadn daarom verwacht dat op dit cluster scores zoun worn behaald 3,0 of hoger. cluster scores zoun worn behaald 3,0 of hoger. Hoe kan dan toch dat scores voor algemene en topklinische ziekenhuizen zo laag uitvallen? In praktijk zien we dat er veel goe technische maatregelen worn getroffen. De (organisatorische) samenhang ze maatregelen, inbedn maatregelen in organisatiebreed calamiteitenplan en periodiek onrhoun ze plannen ontbreekt in veel gevallen nog. Dit zou mogelijke verklaring kunnen zijn voor relatief lage scores bij algemene en topklinische ziekenhuizen. De normen waarop laagste scores worn behaald zijn (onrstaand zijn percentages weergegeven score 1,0): Het proces continuïteitsbeheer (algem: 47%, topklinisch: 10%); Bepaling continuïteitsstrategie (algem: 42%, topklinisch: 30%); Structuur voor continuïteitsplannen (algem: 47%, topklinisch: 30%); Beveiliging bedrijfsdocumenten (algem: 21%, topklinisch: 40%). Hoe kan dan toch dat scores voor algemene en topklinische ziekenhuizen zo laag uitvallen? In praktijk zien we dat er veel goe technische maatregelen worn getroffen. De (organisatorische) samenhang ze maatregelen, inbedn maatregelen in organisatiebreed calamiteitenplan en periodiek onrhoun ze plannen ontbreekt in veel gevallen nog. Dit zou mogelijke verklaring kunnen zijn voor relatief lage scores bij algemene en topklinische ziekenhuizen. De normen waarop laagste scores worn behaald zijn (onrstaand zijn percentages weergegeven score 1,0): Het proces continuïteitsbeheer (algem: 47%, topklinisch: 10%); Bepaling continuïteitsstrategie (algem: 42%, topklinisch: 30%); Structuur voor continuïteitsplannen (algem: 47%, topklinisch: 30%); Beveiliging bedrijfsdocumenten (algem: 21%, topklinisch: 40%). 18

21 Cluster 5: Intificatie, authenticatie en autorisatie Je weet wat, je hebt wat en je bent wat De techniek gaat steeds verr. Nu log je veelal nog in met wachtwoord, in te toekomst gaat dit steeds meer met ID-pas (hebt wat) of vingerafdruk (bent wat). Cluster 5: Intificatie, authenticatie en autorisatie In vijf cluster staat vertrouwelijkheid en integriteit centraal. Hoe waarborg je als organisatie dat all daartoe bevoeg Je functionarissen weet wat, je hebt gegevens wat en je inzien bent wat en eventueel De techniek bewerken? gaat steeds verr. Nu log je veelal nog in met wachtwoord, in te toekomst gaat dit steeds meer met ID-pas (hebt wat) of vingerafdruk (bent Dit is gemakkelijke uitspraak die in praktijk vaak weerbarstiger is. De ren wat). hiervoor is dat techniek veelal nog niet zover is, waardoor effectieve en efficiënte beheersing nog niet mogelijk is. Daarnaast zijn rechten binnen veel organisaties organisch gegroeid geduren afgelopen jaren. Er is daarom significante tijdsinspanning noodzakelijk om rechten inzichtelijk en op or te krijgen. In vijf cluster staat vertrouwelijkheid en integriteit centraal. Hoe waarborg je als organisatie dat all daartoe bevoeg functionarissen gegevens inzien en eventueel bewerken? Dit is gemakkelijke uitspraak die in praktijk vaak weerbarstiger is. De ren hiervoor is dat techniek veelal nog niet zover is, waardoor effectieve en efficiënte beheersing nog niet mogelijk is. Daarnaast zijn rechten binnen veel organisaties organisch gegroeid geduren afgelopen jaren. Er is daarom significante tijdsinspanning noodzakelijk om rechten inzichtelijk en op or te krijgen. De scores voor dit cluster zijn als volgt: De scores voor dit cluster zijn als volgt: 4,00 4,00 4,00 3,50 3,00 3,29 3,19 2,50 2,00 2,09 2,14 2,57 2,43 2,29 Gemidl cluster 5 Hoogste cluster 5 Laagste cluster 5 1,57 1,50 1,29 1,29 1,00 Algem Topklinisch Acamisch Totaal Figuur 11 Benchmark: Intificatie, authenticatie en autorisatie Figuur 11 Benchmark: Intificatie, authenticatie en autorisatie Dit cluster kent zeven normelementen. Het merenel ze normelementen gaan over verkrijgen, wijzigingen en ontnemen toegangsrechten en inlogprocedures. De scores algemene en topklinische ziekenhuizen schommelen rond 2,0. De acamische huizen daarentegen doen stuk beter. Daar wordt goe 3,0 als gemidl behaald. Dit cluster kent zeven normelementen. Het merenel ze normelementen gaan over verkrijgen, wijzigingen en ontnemen toegangsrechten en inlogprocedures. De scores algemene en topklinische ziekenhuizen schommelen rond 2,0. De acamische huizen daarentegen doen stuk beter. Daar wordt goe 3,0 als gemidl behaald. De zwaktes zitten rondom gebruik wachtwoorn en authenticatiemidlen ( ), 77% scoort hiervoor score 2,0 of lager, autorisatieregels ( ), 69% scoort hiervoor score 2,0 of lager en toegang tot gegevens en systemen (11.3.3), 63% scoort hiervoor score 2,0 of lager. De zwaktes zitten rondom gebruik wachtwoorn en authenticatiemidlen ( ), 77% scoort hiervoor score 2,0 of lager, autorisatieregels ( ), 69% scoort hiervoor score 2,0 of lager en toegang tot gegevens en systemen (11.3.3), 63% scoort hiervoor score 2,0 of lager. Het valt op dat één acamische huizen score gemidld 4,0 scoort voor dit cluster. Waarschijnlijk is dit gevolg beperkte scope onrzoek (zorggerelateer informatie) en gegeven dat meeste acamische huizen beschikken over eigen accountants- of auditdienst die periodiek onrzoeken rondom dit onrwerp uitvoeren. In onze dagelijkse praktijk zien wij nog voldoen aandachtspunten rondom dit onrwerp, ook bij acamische huizen. 19

22 Samengevatte scores In onrstaand overzichten is opgenomen met welke frequentie bepaal score is Samengevatte scores toegekend. In onrstaand overzichten is opgenomen met welke frequentie bepaal score is toegekend. Totaal N= 35 Score 1 Score 2 Score 3 Score 4 Totaal Cluster 1. Beleid en organisatie 10% 55% 18% 16% 99% Cluster 2. Personeel 7% 63% 23% 6% 99% Samengevatte scores Cluster 3. Ruimten en apparatuur 10% 53% 21% 15% 100% Cluster 4. Continuïteit 18% 53% 14% 15% 99% In onrstaand Intificatie, overzichten authenticatie is opgenomen en met welke frequentie bepaal score is toegekend. Cluster 5. autorisatie 16% 51% 19% 13% 99% Totaal 13% 54% Totaal 18% N= 35 14% 99% Score 1 Score 2 Score 3 Score 4 Totaal Cluster 1. Beleid en organisatie 10% 55% 18% 16% 99% Bij twee ziekenhuizen is voor twee elementen uit diverse Algem clusters N= 19 (overigens niettoegestane) score 1,5 toegekend. Score Dit 1 verklaart Score waarom 2 Score 3 merenel Score 4 Totaal Cluster 2. Personeel 7% 63% 23% 6% 99% Cluster 3. Ruimten en apparatuur 10% 53% 21% 15% 100% clusters niet op 100% uitkomt. Cluster 1. Beleid en organisatie Cluster 4. Continuïteit 12% 61% 16% 10% 99% 18% 53% 14% 15% 99% Cluster 2. Intificatie, Personeel authenticatie en 11% 66% 21% 0% 97% Cluster 5. 16% 51% 19% 13% 99% Cluster 3. Ruimten en apparatuur 11% 61% 19% 8% 99% Cluster 4. Totaal Continuïteit 13% 21% 54% 62% 18% 9% 14% 7% 99% 98% Bij toegeken autorisatie scores valt op dat met name bij clusters continuïteit en intificatie, authenticatie en autorisatie relatief meeste scores één zijn toegekend. Intificatie, Bij cluster authenticatie personeel en valt relatief lage percentage vieren op. Cluster 5. autorisatie 16% 64% 12% 7% 98% Totaal 15% 62% Algem 14% N= 19 7% 99% Score 1 Score 2 Score 3 Score 4 Totaal Cluster 1. Beleid en organisatie 12% 61% Topklinisch 16% N= 10 10% 99% Cluster 2. Personeel Score 11% 1 Score 66% 2 Score 21% 3 Score 0% 4 Totaal 97% Cluster Ruimten Beleid en en organisatie apparatuur 11% 61% 57% 19% 22% 10% 8% 100% 99% Cluster Continuïteit Personeel 21% 5% 62% 80% 15% 9% 7% 0% 100% 98% 3. Intificatie, Ruimten apparatuur authenticatie en Cluster 5. 12% 58% 23% 100% autorisatie 16% 64% 12% 7% 98% Cluster 4. Continuïteit Totaal 22% 52% 20% 6% 100% 15% 62% 14% 7% 99% Intificatie, authenticatie en Cluster 5. autorisatie 24% 43% 27% 6% 100% Totaal 17% 54% Topklinisch 22% N= 10 7% 100% Score 1 Score 2 Score 3 Score 4 Totaal Cluster 1. Beleid en organisatie 11% 57% Acamisch 22% N= 6 10% 100% Cluster 2. Personeel Score 5% 1 Score 80% 2 Score 15% 3 Score 0% 4 Totaal 100% Cluster Ruimten Beleid en en organisatie apparatuur 12% 58% 33% 23% 19% 46% 7% 100% Cluster Continuïteit Personeel 22% 0% 52% 25% 20% 42% 33% 6% 100% 3. Intificatie, Ruimten apparatuur authenticatie en Cluster 5. 3% 22% 22% 53% autorisatie 24% 43% 27% 6% 100% Cluster 4. Continuïteit 3% 26% 17% 54% 100% Totaal 17% 54% 22% 7% 100% Intificatie, authenticatie en Cluster 5. autorisatie 0% 26% 29% 45% 100% Totaal 2% 27% Acamisch 22% N= 6 49% 100% Score 1 Score 2 Score 3 Score 4 Totaal Cluster 1. Beleid en organisatie 2% 33% 19% 46% 100% Cluster 2. Personeel 0% 25% 42% 33% 100% Cluster 3. Ruimten en apparatuur 3% 22% 22% 53% 100% Cluster 4. Continuïteit 3% 26% 17% 54% 100% Cluster 5. Intificatie, authenticatie en autorisatie 0% 26% 29% 45% 100% Totaal 2% 27% 22% 49% 100% 20

23 Informatiebeveiliging, the next step. De afgelopen jaren zijn ziekenhuizen wakker geschud door IGZ en CBP die gezamenlijk zijn opgetren in toetsen niet-wettelijk afdwingbare NEN 7510-normen. Plannen aanpak wern gesmeed en ziekenhuizen wern op hun vingers getikt als zij niet mee n aan opstellen plan en gelijke risicoanalyse. De NVZ ging aan slag met ontwikkelen generieke set normen waarlangs alle 100 ziekenhuizen in Nerland zijn gehoun door onafhankelijke auditor. Ziekenhuizen kijken nu naar elkaar en zitten rapportcijfers te beoorlen om te bepalen wie beste jongetje uit klas is. Daar gaat echter niet om. Elk ziekenhuis zal zijn eigen ren hebben om op onrlen nog stap te zetten want informatiebeveiliging richt je niet in daag op morgen. De urgentie is er maar zou kunnen dat ziekenhuisbestuurrs uit oog zijn verloren waarom ook al weer allemaal was begonnen en dat is... De veiligheid patiënt en privacy zijn persoonlijke gegevens moet voorop staan. De nieuwe techniek of nieuwe manieren waarop informatie wordt ontsloten stellen patiënt, zijn of haar arts en beheerrs ICT-omgeving voor nieuwe uitdagingen om er voor te zorgen dat bijvoorbeeld introductie Lanlijk EPD niet leidt tot lekken gevoelige informatie of dat informatie leidt tot medische fouten. Kunnen bestuurrs ziekenhuizen nu rustig gaan slapen of worn plannen gesmeed voor next big step? Wij nken dat onafhankelijk wat NVZ, IGZ en CBP gaan doen, ziekenhuizen zelf noodzaak zullen inzien dat inrichten informatiebeveiliging op basis gegen risicoanalyse meer is dan all NEN De verankering in dagelijkse processen is essentieel en techniek zal ook nieuwe mogelijkhen gaan bien. Belangrijk is dat pragmatiek wordt gebruikt om te komen tot praktische en betaalbare oplossingen die waarborgen dat informatie in beveilig omgeving beschikbaar is voor behanlend arts of anre zorgverleners. 21

24 8 Ernst Ernst & Young Young ICT-dienstverlening Ernst & Young ICT-dienstverlening Op Op gebied gebied ICT-dienstverlening ICT-dienstverlening gebruikt gebruikt Ernst Ernst & Young Young onrstaan onrstaan dienstenpalet dienstenpalet met met drie drie servicecategorieën servicecategorieën en en Op gebied ICT-dienstverlening gebruikt Ernst & Young onrstaan dienstenpalet met drie servicecategorieën en daarin daarin daarin Op Op Op opgenomen opgenomen opgenomen gebied gebied negen negen gebied negen ICT-dienstverlening ICT-dienstverlening services: services: ICT-dienstverlening services: gebruikt gebruikt Ernst Ernst & Young Young onrstaan onrstaan dienstenpalet dienstenpalet met met drie drie servicecategorieën servicecategorieën en en gebruikt Ernst & Young onrstaan dienstenpalet met drie servicecategorieën en daarin daarin opgenomen opgenomen negen negen services: services: daarin opgenomen negen services: Op gebied ICT-dienstverlening gebruikt Ernst & Young onrstaan dienstenpalet met drie servicecategorieën en daarin opgenomen negen services: 1 - IT IT Risk Risk Transformation Transformation 1 - IT IT Risk Risk Management Management 2 - Program Program Risk Risk Management Management 2 - IT IT Assurance Assurance 3 - IT IT Internal Internal audit/controls audit/controls 4 - Financial Financial audit audit IT IT integration integration 5 - Service Service Organization Organization Controls Controls Reporting Reporting 3 - IT IT Controls Controls 6 - Application Application Risk Risk and and Controls Controls 7 - Information Information Security Security 8 - IT IT Infrastructure Infrastructure Risk Risk and and Controls Controls 9 - Information Information Management Management and and Analytics Analytics Services Services 1. IT Risk Transformation 1. IT Risk Transformation 1 IT Risk Transformation IT IT IT Risk Risk Risk Management Management Transformation IT Assurance 1.1 IT Risk Management Deze Deze Deze service service 1.1 service IT IT Risk Risk focust focust IT Risk focust Management Management zich zich enerzijds enerzijds op op onrsteuning onrsteuning cliënten cliënten IT bij bij Assurance intificeren intificeren ICT-risico s ICT-risico s en en beheersing beheersing Management zich enerzijds op onrsteuning cliënten bij intificeren ICT-risico s en beheersing er, er, anrzijds anrzijds wordt wordt verbetering verbetering effectiviteit effectiviteit risicofunctionarissen risicofunctionarissen beoogd. beoogd. Typische Typische voorbeeln voorbeeln er, Deze Deze anrzijds service service focust focust wordt zich zich enerzijds enerzijds verbetering op op onrsteuning onrsteuning effectiviteit cliënten cliënten risicofunctionarissen bij bij intificeren intificeren beoogd. Typische ICT-risico s ICT-risico s voorbeeln en en beheersing beheersing er, er, opdrachten opdrachten Deze service zijn zijn focust ICT-risicoanalyse ICT-risicoanalyse zich enerzijds op in onrsteuning organisatie organisatie en en implementatie implementatie cliënten bij toetsing toetsing intificeren IT IT Governance. Governance. ICT-risico s en beheersing er, opdrachten anrzijds anrzijds zijn wordt wordt ICT-risicoanalyse verbetering verbetering in organisatie effectiviteit effectiviteit en implementatie risicofunctionarissen risicofunctionarissen toetsing beoogd. beoogd. IT Typische Typische Governance. voorbeeln voorbeeln opdrachten opdrachten IT Risk anrzijds wordt verbetering effectiviteit risicofunctionarissen beoogd. Typische voorbeeln opdrachten zijn zijn Management IT internal audit/controls Service Organization Controls ICT-risicoanalyse ICT-risicoanalyse in organisatie organisatie en en implementatie implementatie of toetsing toetsing IT IT Governance. Governance zijn Program Program ICT-risicoanalyse Risk Risk Management Management in organisatie en implementatie of toetsing IT Governance. Deze 1.2 Program Risk Management Deze Deze service service focust focust zich zich op op zich onrsteuning onrsteuning enerzijds op cliënten cliënten met met Deze mitigeren mitigeren service focust ICT-risico s ICT-risico s zich binnen binnen op grote grote Reporting ICT-projecten. ICT-projecten. Deze service Program Program focust Risk Risk zich Management Management op onrsteuning cliënten met mitigeren ICT-risico s binnen grote ICT-projecten. Typische Typische 1.2 Program voorbeeln voorbeeln Risk Management opdrachten opdrachten zijn zijn bouwen bouwen c.q. c.q. bemensen bemensen programma programma management management office office (PMO). (PMO). onrsteuning Typische Deze Deze service service voorbeeln focust focust zich zich opdrachten cliënten onrsteuning onrsteuning zijn bij bouwen monitoren risico s en Midls ze service verschaffen wij cliënten cliënten c.q. bemensen met met mitigeren mitigeren programma ICT-risico s ICT-risico s management binnen binnen office grote grote (PMO). ICT-projecten. ICT-projecten. intificeren Deze service focust zich op onrsteuning cliënten met mitigeren ICT-risico s binnen grote ICT-projecten. Typische Typische voorbeeln voorbeeln ICT-risico s opdrachten opdrachten en zijn zijn bouwen bouwen c.q. c.q. bemensen bemensen beheersmaatregelen programma programma management management en verschaffen office office (PMO). (PMO). cliënten onafhankelijke zekerheid over Typische voorbeeln opdrachten zijn bouwen c.q. bemensen programma management office (PMO). beheersing er, anrzijds wordt zekerheid over bedrijfsprocessen, IT uitbeste ICT-gerelateer processen. verbetering 15 effectiviteit general controls en applicatieve controls. Typische voorbeeln opdrachten risicofunctionarissen beoogd. Typische Typische voorbeeln opdrachten zijn SAS 70-opdrachten, Third Party voorbeeln opdrachten zijn zijn onrsteuning interne Message-verklaringen (TPM), ISAE ICT-risicoanalyse in organisatie accountantsdiensten bij uitvoering 3402-opdrachten en Agreed Upon en implementatie of toetsing IT hun werkzaamhen en bouwen Procedures. Governance. c.q. monitoren Continuous Process Monitoring (CPM) bij organisaties. Program Risk Management Deze service focust zich op onrsteuning cliënten met mitigeren ICT-risico s binnen grote ICT-projecten. Typische voorbeeln opdrachten zijn bouwen c.q. bemensen programma management office (PMO). 22 Financial audit IT integration Deze service focust zich op In kar jaarrekeningcontrole onrsteunen wij onze collega s bij intificeren en testen geautomatiseer controlemaatregelen in systemen controlecliënten. Typische voorbeeln opdrachten zijn in kaart brengen opzet, bestaan en werking IT general controls en applicatieve controls in primaire systemen c.q. testen betrouwbaarheid gegevenstransport interfaces.

25 IT Controls Application risk & controls Wij onrsteunen organisaties met waarborgen betrouwbaarheid gegevensverwerking door onrzoeken, ontwerpen en implementeren effectieve en efficiënte applicatiebeveiliging, functiescheidingen en business process controls. Typische voorbeeln opdrachten zijn testen functiescheidingen in SAP en Quality Assurance (QA) in implementatietraject software. Information Security Deze service ziet toe op werkzaamhen die gehele spectrum rondom informatie-beveiliging beslaan. Typische voorbeeln opdrachten zijn ISO of NEN 7510-certificering, risicoanalyse informatiebeveiliging, attack & penetration-tests, implementatie of review Cloud computing, virtualisatie, mobiele vices of draadloze netwerken. IT infrastructure risk & controls Midls ze service onrsteunen wij organisaties bij verhogen effectiviteit en efficiëntie hun (technische) ICT-infrastructuur. Typische voorbeeln opdrachten zijn ITIL- en CobIT-gerelateer onrzoeken. Information management & analytics services IMAS focust zich op intificeren specifieke risico s op gegevensniveau. Het bevat ontwerpen, implementeren en rationaliseren data controls om datarisico s te mitigeren. Typische opdrachten bevatten onrzoeken naar betrouwbaarheid gegevensverwerking in datawarehouse, revenue recovery en vaststellen compliance met belastingwetgeving of richtlijnen DNB. Information Security Deze service ziet toe op werkzaamhen die gehele spectrum rondom informatie-beveiliging beslaan. Typische voorbeeln opdrachten zijn ISO of NEN 7510-certificering, risicoanalyse informatiebeveiliging, attack & penetration-tests, implementatie of review Cloud computing, virtualisatie, mobiele vices of draadloze netwerken. IT infrastructure risk & controls Midls ze service onrsteunen wij organisaties bij verhogen effectiviteit en efficiëntie hun (technische) ICT-infrastructuur. Typische voorbeeln opdrachten zijn ITIL- en CobIT-gerelateer onrzoeken. Information management & analytics services IMAS focust zich op intificeren specifieke risico s op gegevensniveau. Het bevat ontwerpen, implementeren en rationaliseren data controls om datarisico s te mitigeren. Typische opdrachten bevatten onrzoeken naar betrouwbaarheid gegevensverwerking in datawarehouse, revenue recovery en vaststellen compliance met belastingwetgeving of richtlijnen DNB. 23

26 Ernst & Young sectorgroep Health Care Marktleir binnen zorginstellingen, en zorgverzekeraars De sectorgroep Health Care Ernst & Young onrscheidt zich door haar kennis en ervaring op gebied gezondheidszorg. Health is werkgebied waaronr wij zorgaanbiers, zorgverzekeraars, zorgkantoren, instellingen op gebied maatschappelijke dienstverlening, Ministerie VWS, Biotechnologie, Farmaceutische industrie, Medische Technologie, toeleveranciers voor zorg, brancheverenigingen en overheids(gerelateer) instellingen rekenen. Ernst & Young heeft niet all in Nerland, maar ook internationaal, lein positie bij dienstverlening aan totale gezondheidszorg. Een groot aantal instellingen op gebied welzijn, maatschappelijke dienstverlening, geestelijke gezondheidszorg, verpleging, verzorging en thuiszorg, gehandicaptenzorg en kinropg behoort tot onze cliëntenkring. Daarnaast mogen wij vijf acht Universitair Medische Centra en twaalf zevenentwintig topklinische ziekenhuizen en twintigtal algemene ziekenhuizen tot onze cliënten rekenen. 24

27 Internationaal netwerk De sector Health Care maakt onrel uit Health Care Industry Group Ernst & Young International. Door gestructureer uitwisseling kennis en ervaring en ontwikkeling wereldwij kennissystemen, zijn wij constant in staat onze kennis te len en op hoogte te blijven trends. Dit leidt tot voortduren innovatie, waar onze cliënten profiteren. In Europa en VS wordt door Ernst & Young belangrijke positie ingenomen in Health Caresector. Wij adviseren één r Health Care-organisaties in wereld en hebben netwerk Health Care-specialisten in groot aantal verschillen lann. Kennismanagement en management velopment De sector Health Care wordt door ons als zeer belangrijke sector beschouwd. Vandaar dat wij continu investeren in management velopment en productontwikkeling onze sectorgroep c.q. in kennis en opleiding onze professionals. Wij bien uitdagen en boeien werkomgeving waar veel ruimte is voor persoonlijke ontwikkeling en groei. Wij besten daarom veel aandacht aan kennisling, interne opleidingen en management velopment. In periodieke bijkomsten wordt, uiteraard met behoud geheimhouding gegevens individuele opdrachtgevers, kennis en ervaring uitgewisseld. Via Knowledge Repositories hebben onze professionals toegang tot informatie over onr meer marktontwikkelingen, best practices, procesmollen, benchmarks, regelgeving, performance indicatoren en controletechnieken. Ook via worn onze professionals alle relete ontwikkelingen op hoogte gehoun. Netwerken De sectorgroep onrhoudt nauwe contacten met onr anre Ministerie VWS (waaronr minister VWS), NZa, College voor Zorgverzekeringen en diverse brancheorganisaties (o.a. ZN, NFU, VGN, NVZ, ActiZ en GGZ Nerland) over actuele ontwikkelingen. Bovendien beklen onze mewerkers diverse belangrijke functies in zorgsector, zoals docentschappen, vertegenwoordiging in commissies, projectleiding in lanlijke zorgtrajecten et cetera. Ernst & Young heeft expliciete keuze gemaakt g controlerend accountant te zijn toezichthours in zorg. Wij vinn dat dit niet past bij actieve rol die wij bij onze relaties vervullen. Waar nodig spreken wij toezichthours aan op kennelijk onrelijke eisen en thema s. Voorts vervullen onze mensen diverse functies in zorgsector, zoals commissariaten en docentschappen. Transformatie zorgwereld De zorgwereld transformeert tot volledig netwerk rondom consument. Van aanbodgestuurd naar vraaggestuurd. Grenzen vervagen, zowel tussen lann als tussen verschillen spelers en segmenten gezondheidszorg. Onze cliënten profiteren verbreding en verdieping onze kennis. Onrzoeken, publicaties en seminars De sector Health Care doet continu onrzoek naar ontwikkelingen in gezondheidszorg. Zo zijn recent onrzoeksrapporten gepubliceerd over Corporate Governance en IT Governance in zorg en hebben wij onrzoek gedaan naar status en invoering Elektronisch Patiëntendossier in Nerland. Ook worn jaarlijkse benchmarkonrzoeken uitgevoerd met als doel inzicht te krijgen in financiële ontwikkeling verschillen segmenten gezondheidszorg als Universitair Medische Centra, Topklinische Ziekenhuizen, Algemene Ziekenhuizen, Verpleging en Verzorging, Gehandicaptenzorg, Geestelijke gezondheidszorg en Thuiszorg. Daarnaast verschijnt vier keer per jaar onze nieuwsbrief Health Digest met actuele ontwikkelingen voor onze relaties in gezondheidszorg. Verr worn voor onze relaties regelmatig round tables, informatiebijkomsten en congressen georganiseerd. 25