Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur WHITEPAPER
Inhoud Bereid je voor op NEN 7510... 3 1. De manier van informatieverwerking verandert; (h)erken dit ook... 4 2. Ga slim om met verandering... 5 3. Verandering begint bij bestuurders en managers... 5 4. Privacy by Design: maak privacy onderdeel van elke verandering... 6 5. Stel de benodigde middelen ter beschikking... 7 6. Houd de vinger aan de pols... 8 Conclusie... 9 Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 2
Bereid je voor op NEN 7510 Beveiligingsnorm NEN 7510. Of je het nou ziet als een noodzakelijk kwaad of een goede zaak; binnenkort zal jouw zorginstelling er toch echt aan moeten geloven. Vanaf 25 mei 2018 is namelijk een Europese wet van kracht die de spelregels over de omgang met data grondig verandert. In deze Algemene Verordening Gegevensbescherming (AVG) zit ook de NEN 7510 ingesloten, die de gegevensbescherming van zorginstellingen op orde moet krijgen. Om te voldoen aan deze nieuwe wetgeving moeten zorginstellingen bepaalde beveiligingsmaatregelen nemen die een adequate omgang met patiëntgegevens garanderen. Ben jij degene die jouw zorginstelling door deze veranderingen heen moet loodsen? Dan zie je de ontwikkelingen rondom AVG waarschijnlijk met lede ogen aan. Voor velen lijkt het namelijk een tijdrovende en onnodige klus, zeker als je nog nooit slachtoffer bent geweest van malware of andere virussen. Toch is dit het moment om aan je informatiebeveiliging te sleutelen. Het heeft geen zin om te wachten totdat je een keer een datalek meemaakt. Het is tijd om nú het heft in eigen handen te nemen, eventuele gevaren voor te blijven en aan je databeveiliging op peil te brengen. Zo verlaag je de kans op ontevreden cliënten en medewerkers en loop je ook niet het risico dat je zorginstelling imagoschade oploopt. Deze aanpassingen hoeven helemaal niet zo moeilijk te zijn als je misschien denkt. Om je op weg te helpen bieden wij zes krachtige handvatten, zodat je jouw zorginstelling goed kunt voorbereiden op de invoering van de NEN 7510. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 3
1. De manier van informatieverwerking verandert; (h)erken dit ook Digitalisering verandert alles, ook de manier waarop je als zorginstelling informatie verwerkt. Wees je bewust van deze veranderingen en zie ook welke mooie kansen het oplevert. Zo wordt dankzij ehealth de cliënt meer betrokken bij zijn eigen zorgproces en geeft het de arts meer inzicht in zijn cliënt. Door de digitalisering van de cliëntendossiers hebben alle betrokkenen eenvoudig toegang tot de benodigde informatie. Het toenemende gebruik van apps zorgt ervoor dat cliënten gemakkelijker toegang hebben tot hun eigen zorg. Allemaal positieve ontwikkelingen, voor zowel artsen en begeleiders als de cliënt zelf. Maar digitalisering brengt ook minder mooie dingen met zich mee. Zo neemt het risico op een cyberaanval toe. Om de kans op een virus of aanval zoveel mogelijk te verkleinen moet de manier van informatieverwerking voortdurend worden aangepast. Tenslotte zijn er nog de veranderingen die vanuit overheidswege invloed hebben op de zorg. Zodra nieuwe wetten en bezuinigingen worden aangekondigd, vindt dat zijn weerslag in het zorgproces. Een voorbeeld is de invoering van de Wet Maatschappelijke Ondersteuning (WMO). Daarmee ligt de zorg veel meer in handen van de gemeente, zodat patiënten, cliënten en ouderen langer thuis kunnen blijven wonen. Deze wet neemt heeft de rol van zorginstellingen aanzienlijk veranderd. Dit soort veranderingen zullen zich altijd blijven voordoen. Het is daarom goed om dit te erkennen en niet je kop in het zand te steken. Zodra je die veranderingen omarmt, komt dat je zorginstelling alleen maar ten goede. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 4
2. Ga slim om met verandering Nog beter is om deze ontwikkelingen niet alleen te omarmen; grijp ze ook met beide handen aan. Ze bieden namelijk kansen om beveiligingszaken aan te pakken die in het verleden niet gelukt zijn. De implementatie van NEN 7510 moet een doorlopend proces zijn, geen project met een begin- en einddatum. Als je de veranderingen hebt doorgevoerd, maak er dan ook beleid van. Zo zorg je ervoor dat ze geborgd worden in jouw organisatie. Let er wel op dat de aandacht bij zo n nieuw beveiligingstraject niet alleen uitgaat naar ICT. Er zijn ook veel andere factoren die invloed hebben op de veiligheid. Denk daarbij aan zaken met betrekking tot het personeel of het gebouw, waaronder het werken met toegangspasjes of een receptie. Door veranderingen organisatiebreed aan te pakken, zorg je ervoor dat jouw zorginstelling voldoet aan de hoogste normen. 3. Verandering begint bij bestuurders en managers De NEN 7510 luidt een ware cultuurverandering in. Het gaat hier niet om een aantal ICT-gerelateerde wijzigingen; het betreft de privacy en beveiliging van vertrouwelijke cliënteninformatie. Als bestuurder heb je dan ook een grote maatschappelijke verantwoording, zowel tegenover je cliënten en personeel als de maatschappij. Door deze veranderingen als bestuurder positief tegemoet te treden laat je zien dat je je uiterste best om incidenten te voorkomen. Het is daarom belangrijk om je intrinsieke motivatie aan te tonen. Laat zien dat je deze veranderingen echt wilt. Toon je betrokkenheid aan je managers en werknemers. En zorg er voor dat het management gedreven en motiverend is. Op die manier is het eenvoudiger om ook je medewerkers mee te krijgen in je enthousiasme. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 5
4. Privacy by Design: maak privacy onderdeel van elke verandering Voor de invoering van NEN 7510 is het noodzakelijk om nú na te denken over je informatiebeveiliging. Maar in de toekomst kun je het privacy aspect beter direct in iedere kwaliteitsverbetering of verandering meenemen. Wacht dus niet tot je alle procedures op orde hebt gebracht totdat je over privacy gaat nadenken. Dit is vanaf 2018 bovendien een verplichting. In de Europese privacywetgeving wordt dit Privacy by Design genoemd. Dit houdt in dat je als zorginstelling al tijdens de ontwikkeling van producten of diensten aandacht moet besteden aan privacyverhogende maatregelen, ook wel Privacy Enhancing Technologies (PET) genoemd. Zo wordt het privacy aspect een verplicht onderdeel van het veranderen en ontwikkelen van nieuwe zorgprocessen. Een belangrijk onderdeel van Privacy by Design is het minimaliseren van het aantal gebruikte gegevens. Er mogen niet méér persoonsgegevens verwerkt worden dan strikt noodzakelijk is. Ook is het handig om data te pseudonimiseren of gegevens van elkaar los te koppelen. Dit verlaagt het risico dat er vertrouwelijke informatie verloren gaat of misbruikt wordt. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 6
5. Stel de benodigde middelen ter beschikking Als je als zorginstelling je gegevensbeveiliging op peil wilt brengen, moet dat proces wel ondersteund worden. Dat betekent dat functies, taken en verantwoordelijkheden worden gekoppeld aan medewerkers. Zolang iedereen zijn rol in de veranderingen kent is de kwaliteit van het zorgproces verzekerd. In de voorbereiding op NEN 7510 is een belangrijke rol weggelegd voor de Functionaris voor de Gegevensbescherming (FG). Dit is iemand binnen je organisatie die toezicht houdt op de toepassing en naleving van de nieuwe norm. Deze rol kan eventueel gedeeld worden onderling of met andere zorginstellingen. Het is het beste om deze FG niet op een ICT-afdeling te beleggen. Hoewel de nieuwe wetgeving wel raakvlakken heeft met ICT, is dat zeker niet het enige. Er zit ook een groot cultureel aspect in, waarbij de focus ligt op menselijk handelen en bewustwording. Als er te veel vanuit een ICT-oogpunt wordt gestuurd bestaat het risico dat er te veel naar functionaliteiten wordt gekeken en dat de cultuur niet mee verandert. Er wordt dan te veel gefocust op het wat en te weinig op het waarom. Behalve menselijke capaciteit is er voor NEN 7510 uiteraard ook geld en tijd nodig. Als dat er niet is heb je kans dat de beveiliging uiteindelijk niet op het gewenste niveau is. Neem gegevensbescherming daarom jaarlijks op in de begroting. Zo zorg je ervoor dat het proces gewaarborgd is. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 7
6. Houd de vinger aan de pols Als je deze veranderingen in gang hebt gezet blijft het zaak om betrokken te blijven bij het beveiligingstraject. De beveiligingsnorm moet onderdeel zijn van een doorlopend proces en kan beter niet als een tijdelijk project worden opgevat. Door als bestuurder voortdurend belangstelling te tonen voor de bescherming van persoonsgegevens wordt het privacy aspect volledig geïncorporeerd in je zorginstelling. Als je doorlopend je commitment toont sta je ook sterker in je schoenen bij eventuele incidenten. Incidenten kunnen altijd gebeuren, zelfs als je aan alle eisen van NEN 7510 voldoet. Daar verander je helaas niets aan. Maar je kunt incidenten wel zoveel mogelijk voorkomen en evalueren, om het risico te beperken. Voor een objectieve meting van je huidige stand van zaken kun je een audit uit te laten voeren door een externe partij. De Autoriteit Persoonsgegevens heeft al aangekondigd dat er verscherpte controles gaan plaatsvinden bij zorginstellingen die geen FG hebben. Mocht de privacy van een cliënt een keer geschaad worden, dan kun je aan de hand van zo n audit laten zien dat het een uitzonderlijk geval betreft. Zolang je kan aantonen dat je gedreven bent om aan alle veiligheidseisen te voldoen, bijvoorbeeld door tegenmaatregelen te nemen in het geval van een incident, vergroot je het vertrouwen van je cliënten. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 8
Conclusie De NEN 7510 zit er hoe dan ook aan te komen, daar kun je niet meer omheen. Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan de NEN 7510. Wij hopen echter dat je deze veranderingen na het lezen van dit whitepaper ziet als een kans, en niet meer als een noodzakelijk kwaad. Uiteindelijk levert de nieuwe beveiligingsnorm namelijk vooral positieve resultaten op. Natuurlijk kost het wat tijd en moeite om je zorginstelling klaar te stomen voor de nieuwe beveiligingsnorm. Maar de verbeterde gegevensbeveiliging leidt uiteindelijk tot tevreden klanten, die meer vertrouwen hebben in de omgang met hun gevoelige informatie. Bovendien is jouw zorginstelling door deze beveiligingsnorm ook beter gewapend tegen schadelijke cyberaanvallen. Korton ondersteunt je graag in de implementatie van beveiligingsnorm NEN 7510. Als gespecialiseerd bedrijf op het gebied van ICT hebben wij veel ervaring met de regels rondom informatiebeveiliging van zorginstellingen. Bovendien zijn we zelf ook NEN 7510 gecertificeerd en bieden wij advies en diverse trainingen aan. Zo kunnen wij controleren hoe het nu gesteld is met je veiligheid. Om te beoordelen of jouw zorginstelling voldoet aan de eisen van NEN 7510 voeren wij een Security Quickscan uit op je huidige netwerk. Uit deze scan zal blijken of je ICT-netwerk voorbereid is op de nieuwe beveiligingsregels. Meld je hier aan voor een Security Quickscan. Ben jij klaar voor de volgende stap maar lukt het nog niet om je organisatie mee te krijgen? Ook daarbij kunnen we helpen. Wij bieden Security Awareness trainingen, waarin we iedereen binnen jouw zorginstelling bewust maken informatiebeveiliging en aantonen hoe belangrijk de menselijke factor hierin is. Lees hier meer over onze bewustwordingstrainingen. Voor andere vragen kun je uiteraard ook direct contact opnemen met Niels Spiering. Niels heeft inmiddels ruime ervaring met het inrichten van ict-omgevingen voor zorginstellingen en kan jou helpen bij het voorbereiden op NEN 7510. Korton Group www.korton.nl 023 555 5060 Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 9