Een correcte en veilige informatievoorziening is cruciaal voor het leveren van goede zorg. Zorgverleners moeten altijd toegang hebben tot de juiste informatie over patiënten, en patiënten moeten erop kunnen rekenen dat er veilig wordt omgegaan met hun gevoelige data.
Over Lentis GGZ
Lentis GGZ is gespecialiseerd in het behandelen van mensen met ernstige psychische problemen. Ongeveer 4.000 medewerkers helpen jaarlijks zo’n 30.000 patiënten, zowel thuis als in hun beschermde woonvormen en (poli)klinieken verspreid over (het noorden van) Nederland.
Er is heel een enorme hoeveelheid data beschikbaar binnen de organisatie en er zijn heel wat medewerkers die hier dagelijks veilig mee moeten omgaan. Om die veiligheid te garanderen is Lentis actief bezig met het voldoen aan de NEN 7510-norm.
Lourens legt uit: “Er bestaan een aantal normen op kwaliteitsgebied, en de NEN 7510 is de norm voor zorgorganisaties in Nederland als het gaat om informatiebeveiliging. Hij is gebaseerd op de internationale ISO 27001, maar dan uitgebreid met een aantal specifieke maatregelen voor de zorg. Denk aan zaken zoals de beveiliging van een patiëntendossier.”
Bewustzijn als startpunt voor een veilige zorg
Lourens’ taak als CISO binnen Lentis is vooral om te zorgen dat het directieteam en de medewerkers begrijpen wat informatiebeveiliging precies inhoudt en wat hun rol daarin is. Hij geeft advies en wil zo het eigenaarschap van informatiebeveiliging blijvend op de managementagenda krijgen.
“Een organisatie veilig doen omgaan met informatie is echt een groeiproces”, vertelt hij. “Wil je mensen meekrijgen, dan moet je hen eerst leren wat informatiebeveiliging inhoudt. Die bewustwording is belangrijk voor zowel de mensen op de werkvloer als het management, maar het start wel met dat stukje eigenaarschap bij de directie.”
Hoe hij dat doet? “Door goed te informeren en te wijzen op risico’s”, zegt Lourens. “Iedereen zit natuurlijk in zijn eigen bubbel. Ik zie elke dag datalekken en gehackte bedrijven voorbijkomen, maar een zorgdirecteur is dagelijks met heel andere dingen bezig. Je moet mensen dus echt meenemen in dit onderwerp en met hen in gesprek gaan.”
Een groot voordeel daarbij is dat Lourens niet enkel CISO is, maar dat hij ook de taal spreekt van de directie en de medewerkers. Hij is namelijk arbeids- en organisatiepsycholoog van opleiding en bekijkt informatiebeveiliging dus niet alleen vanuit technisch standpunt, maar ook vanuit het menselijke aspect.
Hoe Zenya bijdraagt aan het creëren van bewustwording
“Toen ik bij Lentis begon, nu bijna drie jaar geleden, hoorde ik dat we een licentie van Zenya hadden die we eigenlijk niet gebruikten”, vertelt Lourens. “Zonde! Want hoewel we al deels NEN 7510-gecertificeerd waren, werd alles bijgehouden in een Excelsheet. Daarin kon je bijvoorbeeld beveiligingsrisico’s afvinken, linkjes naar documenten plakken en scores geven. Maar dat werkte niet zo handig. Bovendien kon iedereen zomaar dingen toevoegen of wijzigen.”
Van verschillende ziekenhuizen hoorde Lourens dat zij samenwerken met Infoland en Zenya inzetten als een soort ISMS (Information Security Management System) tool. Zo werd zijn interesse gewekt.
Als een van de grootste voordelen van Zenya noemt Lourens het feit dat alle risico’s en de maatregelen om die risico’s te beheersen, al in de tool staan. “Je stapt als het ware op een rijdende trein, je moet zelf niets ingeven.
Wanneer je voor deze oplossing kiest, krijg je als klant een complete up-to-date import van de normkaders en maatregelen in je eigen Zenya omgeving, inclusief een instructie en training voor de CISO, beheerders en eindgebruikers. Lentis koos ook voor deze oplossing, waardoor ze een vliegende start konden maken met NEN 7510 en ze direct acties en verbetermaatregelen uit konden zetten.
Lees hier meer over de content solution NEN 7510.
Lourens: “Door deze oplossing heb ik in Zenya een compleet overzicht waar ik een-op-een met de directie kan doorlopen: wat hebben we op orde, hoe schatten we een bepaald risico in, wat kunnen we eraan doen? Dat is erg handig.”
Daarnaast is Lourens fan van de compliance tool in Zenya. Daar kan hij de stuurgroep informatieveiligheid en privacy inclusief de raad van bestuur in één keer laten zien wat de stand van zaken is, in een taal die zij ook spreken. Lourens: “De NEN 7510-norm is best wel abstract. De compliance tool helpt om dit te concretiseren. De verschillende onderdelen van de norm staan hier keurig onder elkaar, inclusief een score. Ook de scores van vorig jaar kan je hier opvragen, zodat je in één oogopslag de evolutie kan zien.”
Dankzij Zenya DOC, ten slotte, zijn er geen verouderde documenten meer in omloop. “Je hebt altijd het meest recente document ter beschikking. Bepaalde documenten moeten we bijvoorbeeld om de twee jaar updaten en daar krijgen we dan een melding van. Dat is allemaal heel prettig in Zenya en faciliteert onze organisatie.”
Heeft Lourens nog tips voor andere zorgorganisaties?
- “Het is fijn om alles in één systeem te hebben. Werk je dus bijvoorbeeld al met Zenya DOC, maar gebruik je verder nog Excelsheets om je informatiebeveiligingsrisico’s op te volgen? Praat dan zeker eens met Infoland.”
- “Zowel de bewustwording rond informatieveilig gedrag, als het leren werken met nieuwe software is een groeiproces. Wees daarom geduldig en blijf in gesprek met de mensen van je organisatie.”
- “Ga eens gluren bij de buren en maak de vertaalslag naar je eigen organisatie. Ga langs, stel vragen. Die informatie van peers is erg waardevol en leerrijk, dat hebben wij ook ondervonden.”
Wil je graag meer weten over informatieveilig gedrag in de zorg? Surf naar https://www.informatieveiliggedragzorg.nl en ontdek een handige Wegwijzer, opgesteld door Lourens en zijn collega’s.
Of heb je nog vragen over dit verhaal? Stel ze gerust hieronder of neem contact met ons op!