Hoe risicovol is jouw zorgorganisatie als het gaat om informatiebeveiliging en privacy (IB&P)? En hoe breng je eventuele risico’s tot een acceptabel niveau terug? Nu het ministerie van VWS heeft aangekondigd om zorginstellingen hierop extra streng te controleren, is het de hoogste tijd voor de kickstart IB&P, menen cybersecurity-experts Marlie Oosterik en Joost Wagenaar. “Met elf simpele vragen weet je wat je te doen staat.”
Wie tijdens Zorg & ict de kickstartsessie over informatiebeveiliging & privacy bezocht, trof op de stoel een zakje bloemzaadjes aan met daarop de aanwijzing om die voor 1 juli te planten. Een ludieke manier om mensen erop te attenderen dat ook informatiebeveiliging een uiterste houdbaarheidsdatum heeft.
“Start nu met zaaien, zodat je snel kunt oogsten”, luidde het dringende advies van Oosterik. Zij is als expert informatieveilig gedrag in de zorg verbonden aan ICTU, dat overheidsorganisaties helpt met hun uitdagingen rondom digitalisering. Om er snel achter te komen of jouw zorgorganisatie voldoet aan de nieuwe eisen van NIS2 en NEN 7510, heeft ICTU in opdracht van het ministerie van VWS de kickstart informatiebeveiliging & privacy (IB&P) ontwikkeld.
Vertrouwelijke informatie
Met ‘Start je kickstart’ kun je direct aan de slag gaan en inzicht krijgen in de informatiebeveiliging en privacy van jouw zorgorganisatie, luidt de belofte. De kickstart is met name bedoeld voor (kleine) zorgorganisaties die nog niet volledig volgens NEN 7510 werken. Volgens Oosterik en Wagenaar, innovatiemanager bij Beter Healthcare, zijn privacy en informatiebeveiliging juist in de zorg enorm belangrijk. “Het gaat om vertrouwelijke informatie van patiënten en cliënten, daar wil je natuurlijk uiterst zorgvuldig mee omgaan, zeker bij het uitwisselen van die gegevens.”
Hier komt wet- en regelgeving om de hoek kijken en die regels willen nog wel eens aangescherpt worden. “Bij de meeste instellingen is de term AVG wel bekend”, aldus de cyberexperts, “maar lastiger wordt het bij NEN 7510 en NIS2. Welke norm geldt voor jouw zorgorganisatie en voldoe je daar wel aan?”
Quickscan
De gratis kickstart bestaat uit een quickscan en vijf modules, volgens de plan-do-check-act-cyclus. De flexibele modules kunnen los van elkaar of als geheel worden doorlopen, afhankelijk van wat je organisatie nodig heeft. Wie er niet uitkomt, kan een beroep doen op de -eveneens kosteloze- ondersteuning vanuit ICTU en Bureau eOverdracht.
Laagdrempelig
“We willen het zo laagdrempelig mogelijk houden”, houdt Oosterik haar publiek voor. “Daarom kun je met elf simpele vragen in de quickscan checken of jouw organisatie klaar is voor de NEN 7510. Zo wordt direct duidelijk of de belangrijkste maatregelen al zijn geïmplementeerd, hoe je veilig gedrag bij medewerkers kunt stimuleren en of er misschien ondersteuning nodig is bij de verbetering van de informatieveiligheid.”
Beheersmaatregelen
Wagenaar: “De vijf modules geven je tools en formats in handen om zelfstandig aan de slag te gaan of om samen met onze teamleden de juiste stappen te zetten. Module 2 bestaat bijvoorbeeld geheel uit een workshop risicoanalyse, waarbij we bij de zorgorganisatie op locatie komen. Je krijgt dan direct inzicht in hoe risicovol jouw organisatie is en wat de impact daarvan is. Daarnaast reiken we beheersmaatregelen aan om eventuele risico’s in het groen te krijgen.”
Continu verbetertraject
Oosterik en Wagenaar benadrukken dat het om een continu verbetertraject gaat. “Communicatie over de mate van informatiebeveiliging in de zorgorganisatie en bewustwording creëren bij medewerkers over informatieveilig gedrag is heel belangrijk. Want iets weten en iets doen, dat zijn twee verschillende dingen.”
