Comply or and Explain Benchmark informatiebeveiliging
Comply or and Explain Benchmark informatiebeveiliging
Voor u ligt de benchmark informatiebeveiliging. Deze benchmark is uitgevoerd naar aanleiding van de verplichte audit die alle ziekenhuizen in Nederland hebben ondergaan. De resultaten van deze audit moesten op 31 december 2010 ingeleverd zijn bij de inspectie voor de gezondheidszorg (IGZ). In deze anonieme benchmark zijn de resultaten opgenomen van 35 ziekenhuizen verdeeld over de volgende categorieën: Aantal ziekenhuizen in de benchmark
Aantal verschillende auditpartijen
Algemene ziekenhuizen
19
6
Topklinische ziekenhuizen
10
6
Academische ziekenhuizen
6
1
35
13
Categorie
Totaal
De onderzoeken bij deze ziekenhuizen zijn door verschillende audit-partijen uitgevoerd variërend van traditionele accountantsen IT audit-kantoren tot ICT-dienstverleners. Om aan te geven hoe de spreiding is hebben wij het aantal auditpartijen waarvan resultaten zijn opgenomen toegevoegd. Hierin zijn audit-partijen dubbel opgenomen; er zijn audit-partijen die audits hebben uitgevoerd bij zowel algemene als topklinische ziekenhuizen. In ons onderzoek zijn geen partijen opgenomen die audits bij alledrie de categorieën hebben uitgevoerd. Contactpersonen Voor informatie of vragen naar aanleiding van deze benchmark of dit onderwerp kunt u contact opnemen met:
ir. J.G.G.V. (Guill) van den Boom RE
drs. A.J.A. (Arjan) Hassing RE RA
06- 2125 2118
06- 2125 1874
[email protected]
[email protected]
1
2
Comply or and Explain
Inleiding
“Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken.” (NEN 7510, 2004)
In Nederland wordt hoogwaardige zorg verleend op diverse vlakken. Hierbij is het van belang dat de zorgverlener beschikt over betrouwbare informatie om de veiligheid van de patiënt te garanderen. Daarnaast is de vertrouwelijkheid van gegevens ook van essentieel belang. Om hierbij te helpen is NEN 7510 in het leven geroepen. De norm NEN 7510 gaat over informatiebeveiliging binnen de zorgsector. “Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken.” (NEN 7510, 2004) Oftewel hoe wordt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en de informatievoorziening gegarandeerd? Uiterlijk 31 december 2010 moesten de Nederlandse ziekenhuizen aantonen in hoeverre zij voldeden aan (een subset van) deze norm. Deze benchmark is gebaseerd op de resultaten van de verplichte NEN 7510-audit. In deze benchmark zijn de scores van 35 ziekenhuizen opgenomen. Acht ziekenhuizen in onze benchmark hebben een rapportage beschikbaar gesteld met een datum die na 31 december 2010 ligt, dit is ongeveer 20% van de populatie. Wij zijn er vanuit gegaan dat deze rapportages na 31 december 2010 ingeleverd zijn bij de IGZ.
Deze benchmark heeft als titel ‘Comply or and Explain ’. Waarom deze titel? Er is namelijk geen keuze om wel of niet te voldoen. Het aloude adagium ‘comply or explain’ gaat voor dit onderwerp niet op. De instelling moet namelijk voldoen. Het is echter wel van belang dat er duidelijk uitgelegd wordt waarom informatiebeveiliging zo belangrijk is.
3
The magic number is:
4
2
Toetsingsreglement
Voor het uitvoeren van de audit is een toetsingsreglement opgesteld. Dit toetsingsreglement is op 19 april 2010 beschikbaar gesteld door de NVZ vereniging van ziekenhuizen. In dit toetsingsreglement zijn 33 normelementen opgenomen verdeeld over vijf clusters:► ►► Beleid en organisatie; ►► Personeel; ►► Ruimten en apparatuur; ►► Continuïteit; ►► Identificatie, authenticatie en autorisatie. Per normelement is een score toegekend variërend van 1 tot en met 4. De bijbehorende omschrijvingen per score zijn als volgt:
Score
Omschrijving
1
Het normelement krijgt weinig of geen aandacht of er zijn uitsluitend plannen om met het normelement aan de slag te gaan.
2
Het normelement is op projectbasis of slechts op beperkte schaal in de instelling of werkeenheid geïmplementeerd of de kwaliteitscyclus is nog niet doorlopen.
3
Het normelement is geïmplementeerd op alle voor de kwaliteit meest kritieke plaatsen in de instelling of werkeenheid en de kwaliteitscyclus is tenminste eenmaal doorlopen.
4
Het normelement is breed in de instelling of werkeenheid geïmplementeerd en het doorlopen van de kwaliteitscyclus heeft een structureel karakter.
Figuur 1- Omschrijvingen van normelementen Een ongewogen gemiddelde score van 2,0, waarbij het element is geïmplementeerd maar de interne controle op doeltreffendheid nog niet heeft plaatsgevonden, wordt als voldoende gekwalificeerd.
Dus 2 is the magic number.
5
Risicoanalyse
Risicoanalyse “Zomaar starten met de implementatie van NEN 7510 is niet aan te raden. Geen enkele organisatie is gelijk en de wereld rondom ons veranderd continu. Daarom is het (periodiek) uitvoeren van een gedegen risicoanalyse essentieel. “
“Zomaar starten met de implementatie van
Naast een onderzoek naar het voldoen aan de normelementen is de risicoanalyse van NEN 7510 is niet aan te raden. Geen enkele organisatie is gelijk en de wereld rondom de instelling beoordeeld. Hierbij is beoordeeld of de intern uitgevoerde risicoanalyse ons is continu aan verandering onderhevig. Daarom is het (periodiek) uitvoeren van een goed uitgangspunt is voor een traject op weg naar certificering volgens de een gedegen risicoanalyse essentieel. “ volledige NEN 7510-norm. In het toetsingskader zijn slechts beperkte richtlijnen opgenomen waaraan een risicoanalyse moetis voldoen. Ditvan is te zien aan de wijze Naast een onderzoek naar het voldoen aan de norm elementen de risicoanalyse de instelling beoordeeld. een traject op weg naar Hierbij is beoordeeld of de internvan uitgevoerde risicoanalyse in eende goed uitgangspunt is voorheeft waarop de uitwerking dit onderwerp auditrapporten plaatsgevonden, certificering volgens de volledige NEN 7510-norm. In het toetsingskader zijn slechts beperkte richtlijnen die is heel verschillend. Daardoor zijnDit deis uitkomsten slecht vergelijkbaar. opgenomen waaraan een risicoanalyse moet voldoen. te zien aan de wijze waarop de uitwerking van dit onderwerp in de auditrapporten heeft plaatsgevonden, die is heel verschillend. Daarmee zijn de uitkomsten slecht vergelijkbaar. Landelijk ziet de beoordeling van de risicoanalyses er als volgt uit: Landelijk ziet de beoordeling van de risicoanalyses er als volgt uit:
30
28
25 20 15
Riscoanalyse voldoende
13
Risicoanalyse onvoldoende 9
10 6
7
6
5 1 0 Algemeen
Topklinisch
0 Academisch
Totaal
Figuur 2- 2Uitkomsten van de beoordeling van de risicoanalyses Figuur Uitkomsten van de beoordeling van de risicoanalyses Het valt op dat bij de algemene ziekenhuizen bijna 30% een onvoldoende scoort op de uitvoering van de risicoanalyse. Dit is opmerkelijk omdat de risicoanalyse een belangrijk startpunt is voor de invoering van NEN 7510. De norm kent veel raakvlakken met andere wet- en regelgeving. Zoals bijvoorbeeld: ► Wet gebruik burgerservicenummer in de zorg (Wbsn-z); op dat bij de algemene ziekenhuizen bijna 30% een onvoldoende scoort op ►Het Wet valt geneeskundige behandelingsovereenkomst (WGBO); ►de Wet bescherming van persoonsgegevens (WBP); uitvoering de risicoanalyse. Dit is opmerkelijk omdat de risicoanalyse een ► Wet computercriminaliteit (WCC); startpunt is voor(WID); de invoering van NEN 7510. ►belangrijk Wet identificatie bij dienstverlening ► Wet Beroepen in de Individuele Gezondheidszorg (Wet BIG); ► Wet Kwaliteit Zorginstellingen.
De norm kent veel raakvlakken met andere wet- en regelgeving. Zoals bijvoorbeeld: ►► ► Wet gebruik burgerservicenummer in de zorg (Wbsn-z); ►► ► Wet geneeskundige behandelingsovereenkomst (WGBO); ►► ► Wet bescherming persoonsgegevens (WBP); ►► ► Wet computercriminaliteit (WCC); ►► ► Wet identificatie bij dienstverlening (WID); ►► ► Wet Beroepen in de Individuele Gezondheidszorg (Wet BIG); ►► ► Wet Kwaliteit Zorginstellingen. Wij zien steeds meer dat er wordt gekozen voor een integrale aanpak. Dat betekent een aanpak die niet uitsluitend gericht is op het voldoen aan NEN 7510, maar het voldoen aan alle relevante wet- en regelgeving voor de instelling. 6
The tone is set at the Top. Dit aloude corporate governance-adagium geldt ook zeker voor informatiebeveiliging.
7
Mate van voldoen aan normelementen uit toetsingsreglement
Mate van voldoen aan normelementen uit het Voor het gemiddelde over de 33 normelementen komen de volgende scores naar toetsingsreglement voren: Voor het gemiddelde over de 33 normelementen komen de volgende scores naar voren:
4,00
3,82
3,82
3,75 3,50 3,25
3,16
3,09
3,00 2,75
2,61
2,48
2,50 2,25
Gemiddelde 33 normen per categorie Hoogste van gemiddelde 33 normen per categorie
2,32 2,18
2,13
Laagste van gemiddelde 33 normen per categorie
2,00 1,75 1,50
1,64 1,52
1,52
1,25 1,00 Algemeen
Topklinisch
Academisch
Totaal
Figuur 3– Gemiddelde, hoogste en laagste over 33 normelementen
Figuur 3– Gemiddelde, hoogste en laagste over 33 normelementen
De topklinische ziekenhuizen en algemene ziekenhuizen ontlopen elkaar gemiddeld niet veel. De academische ziekenhuizen daarentegen doen het een stuk beter, met een score van gemiddeld boven de 3,0. Ter illustratie :om Descore topklinische ziekenhuizen en algemene ontlopen gemiddeld te behalen van 2,3 gemiddeld moet op minimaal ziekenhuizen tien normelementen een score elkaar van 3,0 behaald worden. een Voor behalen een 2,6 moet op minimaal 20 normelementen een score eeneen 3,0 behaald worden. Voor niethetveel. Devan academische ziekenhuizen daarentegen doenvan het stuk beter, met een score van een 3,0 moet op alle normelementen eenTer score van minimaal eeneen 3,0 behaald worden, compensatie een score van gemiddeld boven de 3,0. illustratie: om score te behalen van door het behalen van een score 4,0 is natuurlijk ook mogelijk.
2,3 gemiddeld moet op minimaal tien normelementen een score van 3,0 behaald
van de laagste hoogste scores beter scoren Qua spreidingVoor valt ophet dat de algemene ziekenhuizen het gebied worden. behalen van een 2,6opmoet op minimaal 20ennormelementen dan de topklinische een score vanziekenhuizen. een 3,0 behaald worden. Voor een score van een 3,0 moet op alle
normelementen een score van minimaal een 3,0 behaald worden, compensatie door het behalen van een score 4,0 is natuurlijk ook mogelijk. Qua spreiding valt op dat de algemene ziekenhuizen op het gebied van de hoogste scores beter scoren dan de topklinische ziekenhuizen.
8
In onderstaand overzicht is opgenomen hoeveel ziekenhuizen een voldoende of onvoldoende hebben behaald voor de audit.
In onderstaand overzicht is opgenomen hoeveel ziekenhuizen een voldoende of onvoldoende hebben behaald voor de audit.
30 26 25 Score voldoende (gemiddelde van 33 normen)
20 15 10
12 7
5
9
8
Score onvoldoende (gemiddelde van 33 normen)
6 2 0
0 Algemeen
Topklinisch
Academisch
Totaal
Figuur 4- Overzicht van voldoendes/ onvoldoendes als gemiddelde van 33 normen
Figuur 4- Overzicht van voldoendes/ onvoldoendes als gemiddelde van 33 normen
Deze scores stemmen aardig overeen met de scores ten aanzien van de risicoanalyse. Eén uitzondering valt op bij de topklinische ziekenhuizen. Hier scoort één van de ziekenhuizen een voldoende op de risicoanalyse maar geen voldoende op het gemiddelde van de 33 normelementen.
Deze scores stemmen aardig overeen met de scores ten aanzien van de risicoanalyse. uitzondering valt op bij de topklinische ziekenhuizen. “Het geheimEénvan een succesvolle implementatie vanHier scoort één van de ziekenhuizen een voldoende op de risicoanalyse maar geen voldoende op NEN 7510 is van tijddeen het gemiddelde 33 doorzettingsvermogen.” normelementen.
“ Het geheim van een succesvolle implementatie van NEN 7510 is tijd en doorzettingsvermogen.”
9
Cluster 1: Beleid en organisatie
Het eerste cluster is beleid en organisatie. Dit cluster gaat over de bestuurlijke verankering van het onderwerp binnen de organisatie. Belangrijk hierbij is dat er Cluster 1: Beleid en organisatie een ICT-beleidsdocument is opgesteld dat periodiek wordt geactualiseerd. Daarnaast Het eerste cluster is beleid en organisatie. Dit cluster gaat over de bestuurlijke verankering van het onderwerp gaat dit cluster ook over het beleid van het ziekenhuis ten aanzien van het (online) binnen de organisatie. Belangrijk hierbij is dat er een ICT-beleidsdocument is opgesteld dat periodiek wordt uitwisselenDaarnaast van gegevens. Totook slot gaat dit cluster ook overtenhet registreren en geactualiseerd. gaat dit cluster over het beleid van het ziekenhuis aanzien van het (online) uitwisselen vanrapporteren gegevens. Tot slot gaatbeveiligingsincidenten. dit cluster ook over het registreren en periodiek rapporteren van periodiek van
beveiligingsincidenten.
cluster bestaat uit 8 normelementen bepaalt dit cluster voor bijna DitDit cluster bestaat uit 8 normelementen daarmee bepaaltdaarmee dit cluster voor bijna een kwart de uiteindelijke score.een kwart de uiteindelijke score. 4,00 3,63 3,50
3,25 3,08
2,88
3,00 2,50
3,63
2,23
Gemiddelde cluster 1
2,40
2,30
Hoogste cluster 1
2,13
2,00 1,63
Laagste cluster 1
1,75
1,63
1,50 1,00 Algemeen
Topklinisch
Academisch
Totaal
Figuur 5– Benchmark: Beleid en organisatie Figuur 5– Benchmark: Beleid en organisatie
Voor aanvang van ons onderzoek en
Deze lage scores zijn met name het
gevolg vanhadden scores van eendat1,0 op het hetaanvang samenstellen van deze benchmark Voor van ons onderzoek en het samenstellen van deze benchmark wij verwacht de scores voor dithadden cluster ruim de minimale komen te liggen. De redenvan: voor deze verwachting is dat eerst de gebied wijboven verwacht dat2,0 dezouden scores voor organisatie op orde moet zijn alvorens een dergelijk project gestart kan worden. De scores uit de benchmark wijzen ►► 10.8.1. voor De algemene en dit cluster boven de minimale anders uit. Door ruim de academische huizen wordt een score van gemiddeld bovenBeleid de 3,0 gescoord. topklinische ziekenhuizen daarentegen boven de 2,0 ligt maar geen ruime 2,0 is 2,0 zouden komenbehalen te liggen. De een score die gemiddeld gegevensuitwisseling (Algemeen: te noemen. Verder valt op dat er bij de algemene en de topklinische ziekenhuizen door sommige ziekenhuizen reden voor deze verwachting is dat 37%, Topklinisch: 40%); scores worden behaald die lager zijn dan de minimale 2,0. ►► 10.8.2. Overeenkomsten (Algemeen: eerst de organisatie op orde moet Deze scores zijneen met dergelijk name het gevolg van scores van een 1,0 op het ,gebied van: zijnlage alvorens project 11% Topklinisch: 11%); — gestart 10.8.1. Beleid voor gegevensuitwisseling (Algemeen: 37%, 40%); ►► Topklinisch: kan worden. De scores uit de 14.1.4. Bescherming van — 10.8.2. Overeenkomsten (Algemeen: 11% , Topklinisch: 11%); benchmark wijzen anders uit. Door de persoonsgegevens (Algemeen: — 14.1.4. Bescherming van persoonsgegevens (Algemeen: 26%, Topklinisch: 10%); huizen wordt een score van (Algemeen: Topklinisch: 10%); — academische 15.2.1. Het rapporteren van beveiligingsincidenten 16%, Topklinisch: 0%). ►► 15.2.1. Het rapporteren van gemiddeld boven de 3,0 gescoord. De
26%,
Bijalgemene de academische werd slechts éénmaal een score van 1,0 beveiligingsincidenten behaald, dit was op het gebied (Algemeen: van en huizen topklinische ziekenhuizen overeenkomsten (10.8.2.). behalen daarentegen een score die 16%, Topklinisch: 0%).
gemiddeld boven de 2,0 ligt maar geen ruime 2,0 is te noemen. Verder valt op dat er bij de algemene en de topklinische ziekenhuizen door sommige ziekenhuizen scores worden behaald die lager zijn dan de minimale 2,0.
10
Bij de academische huizen werd slechts éénmaal een score van 1,0 behaald, dit was op het gebied van overeenkomsten (10.8.2.). Ten slotte valt op dat slechts twee van de instellingen in ons onderzoek een score van een 4,0 behaald hebben op de normen ten aanzien van overeenkomsten (10.8.2) of bescherming van persoonsgegevens (14.1.4).
11
Cluster 2: Personeel Het tweede cluster gaat over personeel, het meest waardevolle bezit van een instelling. Dit cluster omvat echter slechts twee normelementen.
Cluster 2: Personeel
Het eerste normelement gaat over de wijze waarop informatiebeveiliging is verankerd in het arbeidscontract van een medewerker. Het tweede normelement gaat over bewustwording, opleiding en training. De scores zijn als volgt: Het tweede cluster gaat over personeel, het meest waardevolle bezit van een instelling. Dit cluster omvat echter slechts twee normelementen. Cluster 2: Personeel 3 Het eerste normelement gaat over de wijze waarop informatiebeveiliging is Cluster 2: Personeel verankerd in het arbeidscontract van een medewerker. Het tweede normelement Het tweede cluster gaat over personeel, het meest waardevolle bezit van een instelling. Dit cluster omvat echter 2,5 gaattwee over bewustwording, opleiding en training. slechts normelementen. Het normelement over de wijze waarop informatiebeveiliging is verankerd in het arbeidscontract van 2eerste De scores zijn alsgaat volgt: een medewerker. Het tweede normelement gaat over bewustwording, opleiding en training. De1,5 scores zijn als volgt:
4,00
4,00 1
4,00
3,50 0,5 3,00
0 3,00
2,50
Catharina
2,09
3,08
3,00
Maxima Medisch Centrum
St. Anna
2,26
2,10
2,00
2,00 1,50
Elkerliek
Peer-group
Gemiddelde cluster 2 Hoogste cluster 2 Laagste cluster 2
1,50
De onderlinge scores ontlopen elkaar niet echt. De enige ‘achterblijver’ is het 1,00 1,00 Catherina Ziekenhuis. De reden voor het achterblijven is dat de 1,00 bewustwordingscampagne bij dit ziekenhuis pas in 2011 geformaliseerd van start is 0,50 gegaan. De acties op het gebied van bewustwording zijn voor een deel wel gestart in Algemeen Topklinisch Academisch Totaal 2010 maar moeten nog afgerond worden. Figuur Benchmark: Personeel Figuur 6– 6– Benchmark: Personeel Op het gebied van de verwijzing naar informatiebeveiliging in het arbeidscontract De scoresalle lopenleden erg uiteen van 1,0 dezelfde tot 4,0. Bij de algemene ziekenhuizen er ziekenhuizen bij die voor scoren vanvariërend de alliantie score, een 2. In hetzijn algemeen hierbij dat de beide normen een score van 1,0 behalen. De topklinische ziekenhuizen behalen voor minimaal één van de normen norm een2,0. expliciete verwijzing in het arbeidscontract vereist. Deze de minimale De academische ziekenhuizen behalen voor beide normen de minimale 2,0 expliciete of zelfs hoger zoals de De scores lopen maximale score van 4,0. erg uiteen variërend van 1,0 tot 4,0. Bij de algemene ziekenhuizen verwijzing ontbreekt, echter er zijn wel indirecte verwijzingen bijvoorbeeld door te zijn er ziekenhuizen bij die voor beide normen een score van 1,0 behalen. De Een verandering in gedrag en cultuur is van belang voor het succes van opgenomen. een effectief verwijzen naarziekenhuizen een handboek of essentieel ander medium waarin topklinische behalen voor minimaal ééndit vanisde normen de minimale informatiebeveiligingsbeleid. De scores wijzen uit dat het merendeel van de ziekenhuizen nog in de eerste cyclus van bewustwording zitten. In 60% van de gevallen hebben de ziekenhuizen een score vande 2,0 minimale of lager gescoord 2,0. De academische ziekenhuizen behalen voor beide normen 2,0 of voor norm 8.2.2. bewustwording, opleiding en aan training informatiebeveiliging. betekent dataan er bij geest drie van Hiermee wordt misschien volgens devoor letter van de norm,Dit echter wel zelfs hoger zoals de maximale score van 4,0. de vijf ziekenhuizen nog geen interne evaluatie heeft plaatsgevonden of het programma effectief is geweest.
van de norm…..werknemers moeten op hun taken, bevoegdheden en Een verandering in gedrag engebied cultuur is van essentieel belang voor hetgewezen. succes van verantwoordelijkheden op het van informatiebeveiliging worden Wij een effectief informatiebeveiligingsbeleid. De scores wijzen uit dat het merendeel onderschrijven de wijze die de leden van de alliantie hebben gekozen. Door deze wijze van de ziekenhuizen nog in de eerste cyclus van bewustwording zitten. In 60% tevan kiezen wordt het eenvoudig om de bepalingen te actualiseren en het daarmee de gevallen hebben de ziekenhuizen een score van 2,0 of lager gescoord voor beheersbaar houden voor de organisatie. norm 8.2.2. bewustwording, opleiding en training voor informatiebeveiliging. Dit betekent dat er bij drie van de vijf ziekenhuizen nog geen interne evaluatie heeft plaatsgevonden of het programma effectief is geweest.
12
Alle rechten voorbehouden - Ernst & Young
Benchmark NEN7510
8
Spanningsveld
Er is een groot spanningsveld dat doorbroken moet worden: werkbaarheid versus voldoen aan de nor Er is een groot spanningsveld dat doorbroken moet worden: werkbaarheid versus het voldoen aan de norm… -
Spanningsveld
Techniek
Procedures
Gedrag en Cultuur
Figuur 7– Radar van componenten
Dit is een lastige spagaat. Hoe hiermee om te gaan is geheel aan de interpretatie van de zorgverlener. De bewerkstelligen van een verandering Veruit de belangrijkste component geheel is gedrag en cultuur. Hetregelgeving bewerkstelligen van iseen wet- en hieromtrent nogverandering in gedragin enhet cultuur is niet eenvoudig, niet helder en spreekt elkaar somsdan zijn de echter indien hierinindien een verandering gedrag en cultuur is niet eenvoudig, echter hierin een verandering wordt bewerkstelligd tegen over dit onderwerp. Toch is dit wordt bewerkstelligd dan zijn de resultaten vaak ook zeer positief. het speelveld met de bijbehorende resultaten vaak ook zeer positief. regels van waarin je als organisatie dejebest mogelijke enmoet verantwoorde De doelstelling van de NEN 7510-norm is ondersteuning in het leveren begeven. De doelstelling van de NEN 7510-norm zorg. Daarnaast is het waarborgen van de privacy van patiëntgegevens ook van essentieel belang. Dit wekt een is ondersteuning in het leveren van bepaald spanningsveld op. Aan de mogelijke ene kanten dienen patiëntgegevens iederemoet specialist beschikbaar te zijn om Eenvoor organisatie een aantal de best verantwoorde die best mogelijke zorg te kunnen leveren. Aan de andere kant kunnen de patiëntgegevens niet aan iedere fasen doorlopen om uiteindelijk zorg. Daarnaast is het waarborgen van patiënten dan wordt geschonden. specialist beschikbaar worden gesteld omdat de privacy te komen tot een verankering van van de privacy van patiëntgegevens informatiebeveiliging binnen haar ook van essentieel belang. Dit wekt organisatie. De norm aan de ene een hiermee bepaald spanningsveld Aan de aan de Dit is een lastige spagaat. Hoe om te gaan op. is geheel interpretatie vankent de zorgverlener. De wet- e enkele ‘harde normen’. Voorbeelden ene kant voor somskant regelgeving hieromtrent is nog nietdienen helderpatiëntgegevens en spreekt elkaar tegen over dit onderwerp. Toch is dit het hiervan zijn het opstellen en beschrijven iedere specialist beschikbaar zijn speelveld met de bijbehorende regels waarin je je als te organisatie moet begeven. van bepaalde procedures of het op om die best mogelijke zorg te kunnen een bepaalde wijze inrichten van een leveren. Aan de andere kant kunnen Een organisatie moet een aantal fasen doorlopen om uiteindelijk te komen tot een verankering van applicatie of een ICT-infrastructuur. Er de patiëntgegevens niet aan iedere informatiebeveiliging binnen haar organisatie. norm kent aan de kant enkele ‘harde zijnene echter ook een aantal watnormen’. zachtere Voorbeeld specialist beschikbaar De worden gesteld hiervan zijn het opstellen enomdat beschrijven van bepaalde of het waar op een wijze inrichten van ee normen eenbepaalde organisatie zich op de privacy van patiëntenprocedures dan applicatie of een ICT-infrastructuur. Er zijn echter ook een aantal moet wat zachtere richten. normen waar een organisatie zic wordt geschonden. Veruit de belangrijkste component in Figuur 7– Radar van componenten het geheel is gedrag en cultuur. Het
op moet richten.
13
“Informatiebeveiliging is veel meer dan uitsluitend techniek, het is een verandertraject”
Heel oneerbiedig gesteld is de harde kant het eenvoudigst te bewerkstellingen, indien er voldoende resources op het gebied van tijd, geld en menskracht zijn is dit te realiseren. De zachtere kant van informatiebeveiliging is veel lastiger vorm te geven. Daarom zal in deze paragraaf worden ingegaan op de stappen die gezet moeten worden voor de implementatie van deze zachtere normen. Deze stappen laten zich goed uitwerken op basis van de bewustwordingstappen van Maslow. Een haar medewerkers zich om evolueren van ‘onbewust Een organisatie organisatie en moet een aantal fasesmoeten doorlopen uiteindelijk te komen tot onbekwaam’ naar uiteindelijk ‘onbewust bekwaam’. Dit is vaak een langdurig traject een verankering van informatiebeveiliging binnen haar organisatie. De norm omdat er een duidelijke wijziging in de gedrag en cultuur van de medewerker en de kent aan de ene kant enkele zorginstelling noodzakelijk is.‘harde normen’. Voorbeelden hiervan zijn het opstellen en beschrijven van bepaalde procedures of het op een bepaalde wijze inrichten van een of eengewerkt ICT infrastructuur. Er zijn echter Door te werken aanapplicatie houding wordt aan de bewustwording vanook de een organisatie en haar medewerkers. Veel van de ziekenhuizen zijn inmiddels aantal wat zachtere normen waar een organisatie zich op moet richten. een ‘bewustwordingscampagne’ gestart. Door middel van posters, bijeenkomsten en andere soms ludieke acties - zoals stresspoppetjes, muismatjes of beveiligde Heel oneerbiedig is de harde kant het eenvoudigst te realiseren, gelegd. indien USB-sticks - wordtgesteld de aandacht op de noodzaak van informatiebeveiliging er voldoende resources op het gebied van tijd, geld menskracht zijn is dit te Daarnaast worden er veiligheidsrondes uitgevoerd enen worden zogenaamde ‘mystery guests’ uitgenodigd om de beveiliging binnen een zorginstelling op de proef realiseren. De zachtere kant van informatiebeveiliging is veel lastiger te te stellen. Dit alles heeft medewerkers bewust te maken de risico’s realiseren. Daarom zaltot in doel dezede paragraaf worden ingegaan op devan stappen die die er zijn en de soms ingesleten gewoonten binnen de organisatie die vanuit een gezet moeten worden voor de implementatie van deze zachtere normen. Deze stappen laten zich goed uitwerken op basis van de bewustwordingstappen van Maslow.
Bewust Onbekwaam
Houding
Onbewust Bekwaam
Kennis
Onbewust Onbekwaam
Gedrag
Bewust Bekwaam
Figuur 8-de Debewustwordingstappen bewustwordingstappen Maslow Figuur 2: vanvan Maslow
Een organisatie en haar medewerkers moet zich evolueren van ‘onbewust onbekwaam’ naar uiteindelijk ‘onbewust bekwaam’. Dit is vaak een langdurig traject omdat er hele duidelijke wijziging in de gedrag en cultuur van de medewerker en de zorginstelling.
14
Door te werken aan houding dient wordt gewerkt aan de bewustwording van de organisatie en haar medewerkers. Veel van de ziekenhuizen zijn inmiddels een ‘bewustwordingscampagne’ gestart. Door middel van posters, bijeenkomsten en andere soms erg ludieke acties, zoals stresspoppetjes, muismatjes of beveiligde USB sticks, wordt de aandacht op de noodzaak van informatiebeveiliging gelegd. Daarnaast worden er veiligheidsrondes uitgevoerd en worden zogenaamde ‘mystery guests’ uitgenodigd om de beveiliging binnen een zorginstelling op de proef te stellen. Dit alles heeft tot doel de medewerkers bewust te maken van de risico’s die er zijn en de soms ingesleten gewoonten binnen de organisatie die
“Informatiebeveiliging is veel meer dan uitsluitend techniek, het is een verandertraject”
veiligheidsoogpunt eigenlijk niet kunnen. Nadat de medewerkers zich bewust zijn van de aanwezige risico’s is het noodzakelijk dat men gaat beschikken over kennis. Dit kan door middel van plenaire trainingen maar ook door trainingen ‘on the job’ door bijvoorbeeld de direct leidinggevende. De noodzakelijke training zal voor een arts anders zijn als voor een logistiek medewerker. Ieder heeft zijn eigen aandachtsgebied binnen de organisatie en daarmee aandachtspunten op het gebied van informatiebeveiliging. In deze specifieke behoeften dient door een training te worden voorzien. Daarnaast is het natuurlijk van essentieel belang dat er voldoende sprake van voorbeeldgedrag is. Het is essentieel dat de Raad van Bestuur maar ook direct leidinggevenden van medewerkers het belang van Informatiebeveiliging inzien en uitdragen.
De laatste fase is het borgen, dit is de laatste stap om uiteindelijk ‘onbewust bekwaam’ te zijn op het gebied van informatiebeveiliging. Hierbij is het voornamelijk van belang dat er een duidelijke relatie wordt gelegd tussen het hoe en het waarom. Dit gaat dus over ‘EXPLAIN’. Waarom is dit zo belangrijk? De wereld om ons heen verandert, de technologie raast voort. Hierdoor ontstaan steeds nieuwe risico’s. Het uiteindelijke doel is dat de medewerkers deze risico’s zelf onderkennen en daarvoor passende maatregelen nemen of laten nemen. Hiermee creëer je een ‘lerende’ organisatie, feitelijke een intern toegepaste Deming-cirkel.
15
Cluster 3: Ruimten en apparatuur
Het derde cluster gaat over fysieke toegangsbeveiliging. Een zorginstelling heeft een open karakter. Afdelingen zijn veelal vrij toegankelijk. Dit brengt bepaalde risico’s Cluster 3: Ruimten en apparatuur met zich mee. De maatregelen moeten hierop aangepast worden. Het open karakter Het derde cluster gaat over fysieke toegangsbeveiliging. Een zorginstelling heeft een open karakter. Afdelingen zijn vanvrij detoegankelijk. zorginstelling dient zoveel mogelijk te blijven, het moet echter ook veelal Dit brengt bepaalde risico’s met zichbehouden mee. De maatregelen moeten hierop aangepast veiligHet zijn. worden. open karakter van de zorginstelling dient zoveel mogelijk behouden te blijven, het moet echter ook veilig zijn.
scores voor ditzijn cluster zijn DeDe scores voor dit cluster als volgt:
als volgt:
4,00 3,50
3,25
3,17 2,83
3,00 2,50
2,23
2,33
2,25
Gemiddelde cluster 3
2,41
Hoogste cluster 3 Laagste cluster 3
2,00 1,50
3,83
3,83
1,83 1,50
1,50
1,00 Algemeen
Topklinisch
Academisch
Totaal
Figuur 9– Benchmark: Ruimten en apparatuur
Figuur 9– Benchmark: Ruimte en apparatuur
Dit cluster omvat zes normelementen variërend van de realisatie van een tweede MER (Main Equipment Room) tot het beschikken over een clear desk- en clear screen-beleid en hier periodiek op toe te zien. De belangrijkste aandachtspunten voor dit cluster is de clear desk en clear screen policy (9.3.1). Gemiddeld over de Dit cluster omvat zes normelementen variërend van de realisatie van een tweede 35 ziekenhuizen in deze benchmark scoort 26% hiervoor een score van een 1,0. Daarna komen de normen inzake MER (Main Equipment Room) tot het beschikken over een clear desk- en clear (9.1.3) beveiliging van kantoren, ruimten en voorzieningen (11%) en (9.1.4) werken in beveiligde ruimten (11%), screen-beleid envan hier op toe te zien. ook hier worden scores 1,0periodiek behaald.
De belangrijkste aandachtspunten voor dit cluster is de clear desk en clear screen policy (9.3.1). Gemiddeld over de 35 ziekenhuizen in deze benchmark scoort 26% hiervoor een score van een 1,0. Daarna komen de normen inzake (9.1.3) beveiliging van kantoren, ruimten en voorzieningen (11%) en (9.1.4) werken in beveiligde ruimten (11%), ook hier worden scores van 1,0 behaald.
16
“Zonder ICT moet ik mijn patiënten naar huis sturen…“
17
Cluster 4: Continuïteit
Cluster 4: Continuïteit Het grootste cluster is het cluster continuïteit. Dit cluster omvat tien normelementen Het grootste cluster is het cluster continuïteit. Dit cluster omvat tien normelementen en bepaalt daarmee voor en bepaalt daarmee voor score. ongeveer een derde de uiteindelijke score. ongeveer een derde de uiteindelijke
DeDe scores voor dit cluster als volgt: scores voor ditzijn cluster zijn
als volgt:
4,00
3,80
3,50
3,22
3,00
2,80 2,50
2,50 2,00 1,50
3,80
2,40
2,10
2,02
1,30
Gemiddelde cluster 4 2,24
Hoogste cluster 4 Laagste cluster 4
1,30
1,30
1,00 Algemeen
Topklinisch
Academisch
Totaal
Figuur 10– Benchmark: Continuïteit
Figuur 10– Benchmark: Continuïteit
Over het geheel bekeken valt de score van een 2,0 op het gebied van continuïteit tegen. Uit al onze interviews blijkt dat continuïteit of beschikbaarheid van de gegevens en gegevensverwerkende systemen belangrijk wordt gevonden en steeds belangrijker wordt onder meer door de verdergaande uitbanning van papieren dossiers. Een arts vertelde ons het volgende: “Zonder ICT moetvalt ik mijn naar huis daarom op dit Over het geheel bekeken depatiënten score van eensturen…”. 2,0 op Wij hethadden gebied vanverwacht continuïteit cluster scores zouden worden behaald van 3,0 of hoger.
tegen. Uit al onze interviews blijkt dat continuïteit of beschikbaarheid van de
gegevens gegevensverwerkende systemen belangrijk wordt steeds Hoe kan het danen toch dat de scores voor de algemene en topklinische ziekenhuizen zo gevonden laag uitvallen?en In de praktijk we dat er veelwordt goede technische maatregelen getroffen. De (organisatorische) samenhang van deze zien belangrijker onder meer door worden de verdergaande uitbanning van papieren maatregelen, het inbedden van de maatregelen in een organisatiebreed calamiteitenplan en het periodiek dossiers.van Een arts vertelde onsinhet moetverklaring ik mijnkunnen patiënten onderhouden deze plannen ontbreekt veel volgende: gevallen nog. “Zonder Dit zou eenICT mogelijke zijn voor de relatief scores bij algemene topklinische ziekenhuizen. naarlage huis sturen…”. Wijen hadden daarom verwacht dat op dit cluster scores zouden worden behaald van 3,0 of hoger.
De normen waarop de laagste scores worden behaald zijn (onderstaand zijn de percentages weergegeven van een van 1,0): score kan het dan toch dat de scores voor de algemene en topklinische ziekenhuizen — Hoe13.1.1 Het proces van continuïteitsbeheer (algemeen: 47%, topklinisch: 10%); — zo laag 13.1.2 Bepaling van continuïteitsstrategie 42%, goede topklinisch: 30%); uitvallen? Indede praktijk zien we(algemeen: dat er veel technische maatregelen — worden 13.1.4 Structuur voor (algemeen: 47%, topklinisch: 30%);maatregelen, het getroffen. Decontinuïteitsplannen (organisatorische) samenhang van deze — inbedden 14.1.3 Beveiliging van bedrijfsdocumenten (algemeen: 21%, topklinisch: 40%). van de maatregelen in een organisatiebreed calamiteitenplan en het
periodiek onderhouden van deze plannen ontbreekt in veel gevallen nog. Dit zou een mogelijke verklaring kunnen zijn voor de relatief lage scores bij algemene en topklinische ziekenhuizen.
De normen waarop de laagste scores worden behaald zijn (onderstaand zijn de percentages weergegeven van een score van 1,0): ►► 13.1.1 Het proces van continuïteitsbeheer (algemeen: 47%, topklinisch: 10%); ►► 13.1.2 Bepaling van de continuïteitsstrategie (algemeen: 42%, topklinisch: 30%); ►► 13.1.4 Structuur voor continuïteitsplannen (algemeen: 47%, topklinisch: 30%); ►► 14.1.3 Beveiliging van bedrijfsdocumenten (algemeen: 21%, topklinisch: 40%).
18
Cluster 5: Identificatie, authenticatie en autorisatie
Je weet wat, je hebt wat en je bent wat… De techniek gaat steeds verder. Nu log je veelal nog in met een wachtwoord, in de te toekomst gaat dit steeds meer met een ID-pas (hebt wat) of een vingerafdruk (bent wat).
Cluster 5: Identificatie, authenticatie en autorisatie
In het vijfde cluster staat vertrouwelijkheid en integriteit centraal. Hoe waarborg Je functionarissen weet wat, je hebtgegevens wat en je inzien bent wat… je als organisatie dat alleen daartoe bevoegde en De techniek gaat steeds verder. Nu log je veelal nog in met een wachtwoord, in de te eventueel bewerken? toekomst gaat dit steeds meer met een ID-pas (hebt wat) of een vingerafdruk (bent wat). Dit is een gemakkelijke uitspraak die in de praktijk vaak weerbarstiger is. De reden In het vijfde cluster staat vertrouwelijkheid en integriteit centraal. Hoe waarborg je als organisatie dat alleen hiervoor is dat de techniek veelal nog niet zover is, waardoor een effectieve en daartoe bevoegde functionarissen gegevens inzien en eventueel bewerken? efficiënte beheersing nog niet mogelijk is. Daarnaast zijn de rechten binnen veel uitspraak die in de praktijk vaak weerbarstiger is. De redenjaren. hiervoorEr is dat de techniekeen veelal Dit is een gemakkelijke organisaties ‘organisch’ gegroeid gedurende de afgelopen is daarom nog niet zover is, waardoor een effectieve en efficiënte beheersing nog niet mogelijk is. Daarnaast zijn de rechten significante tijdsinspanning noodzakelijk om de rechten op orde te binnen veel organisaties ‘organisch’ gegroeid gedurende de afgelopen jaren. Erinzichtelijk is daarom eenen significante tijdsinspanning krijgen. noodzakelijk om de rechten inzichtelijk en op orde te krijgen. De scores voor dit cluster zijn als volgt:
De scores voor dit cluster zijn als volgt: 4,00
4,00
3,50
3,29
4,00
3,19
3,00 2,57 2,43
2,50 2,14
2,09
Gemiddelde cluster 5 2,29
Hoogste cluster 5 Laagste cluster 5
2,00 1,57 1,50
1,29
1,29
1,00 Algemeen
Topklinisch
Academisch
Totaal
Figuur 11– Benchmark: Identificatie, authenticatie en autorisatie
Figuur 11– Benchmark: Identificatie, authenticatie en autorisatie
Dit cluster kentnormelementen. zeven normelementen. Het merendeel vangaan deze Dit cluster kent zeven Het merendeel van deze normelementen overnormelementen het verkrijgen, wijzigingen en ontnemen van toegangsrechten en de en inlogprocedures. scores van de algemene en topklinische gaan over het verkrijgen, wijzigingen ontnemenDevan toegangsrechten en ziekenhuizen schommelen rond een 2,0. De academische huizen daarentegen doen het een stuk beter. Daar wordt de inlogprocedures. De scores van de algemene en topklinische ziekenhuizen een goede 3,0 als gemiddelde behaald.
schommelen rond een 2,0. De academische huizen daarentegen doen het een stuk
Debeter. zwaktesDaar zittenwordt rondom een gebruik van wachtwoorden en authenticatiemiddelen goede 3,0 als gemiddelde behaald.(11.2.6.), 77% scoort hiervoor een score van 2,0 of lager, autorisatieregels (11.3.1.), 69% scoort hiervoor een score van 2,0 of lager en toegang tot gegevens en systemen (11.3.3), 63% scoort hiervoor een score van 2,0 of lager.
De zwaktes zitten rondom gebruik van wachtwoorden en authenticatiemiddelen (11.2.6.), 77% scoort hiervoor een score van 2,0 of lager, autorisatieregels (11.3.1.), 69% scoort hiervoor een score van 2,0 of lager en toegang tot gegevens en systemen (11.3.3), 63% scoort hiervoor een score van 2,0 of lager. Het valt op dat één van de academische huizen een score van gemiddeld 4,0 scoort voor dit cluster. Waarschijnlijk is dit het gevolg van de beperkte scope van het onderzoek (zorggerelateerde informatie) en het gegeven dat de meeste academische huizen beschikken over een eigen accountants- of auditdienst die periodiek onderzoeken rondom dit onderwerp uitvoeren. In onze dagelijkse praktijk zien wij nog voldoende aandachtspunten rondom dit onderwerp, ook bij de academische huizen.
19
Samengevatte scores In onderstaand overzichten is opgenomen met welke frequentie een bepaalde score is Samengevatte scores toegekend. In onderstaand overzichten is opgenomen met welke frequentie een bepaalde score is toegekend. Totaal N= 35 Score 1
Score 2
Score 3
Score 4
Totaal
10%
55%
18%
16%
99%
7%
63%
23%
6%
99%
10%
53%
21%
15%
100%
18% 53% 14% 15% In onderstaand overzichten is opgenomen Identificatie, authenticatie enmet welke frequentie een bepaalde score is toegekend. Cluster 5. 16% 51% 19% 13% autorisatie Totaal18% N= 35 Totaal 13% 54% 14%
99%
Cluster 1.
Beleid en organisatie
Cluster 2.
Personeel
Samengevatte scores Cluster 4. Continuïteit Cluster 3.
Cluster 1.
Ruimten en apparatuur
Beleid en organisatie
99%
Score 1
Score 2
Score 3
Score 4
99% Totaal
10%
55%
18%
16%
99%
Bij twee ziekenhuizen is voor twee elementen uit diverse clusters een (overigens nietAlgemeen N= 19 Cluster 2. Personeel 7% 63% 23% 6% 99% toegestane) score van 1,5 toegekend. Dit1verklaart het3merendeel Score Scorewaarom 2 Score Score 4van de Totaal Cluster 3. Ruimten en apparatuur 10% 53% 21% 15% 100% clusters open100% uitkomt. Cluster 1. niet Beleid organisatie 12% 61% 16% 10% 99% Cluster 4. Continuïteit 18% 53% 14% 15% Cluster 2. Identificatie, Personeel authenticatie en 11% 66% 21% 0% Cluster 5. 16% met name 51%bij de clusters 19% 13% Bij de 3. toegekende scores valt het op dat continuïteit en autorisatie Cluster Ruimten en apparatuur 11% 61% 19% 8% 13% identificatie, authenticatie en autorisatie de meeste 18% scores van 14% één Cluster 4. Totaal Continuïteit 21% relatief54% 62% 9% 7% zijn
99% 97% 99% 99% 99% 98%
Identificatie, authenticatie en toegekend. Bij het cluster personeel valt het relatief lage percentage van vieren op. Cluster 5. 16% 64% 12% 7% 98% autorisatie Totaal
Cluster 1.
Beleid en organisatie
Cluster 2.
Personeel
Cluster 3. 1. Cluster 4. 2.
Ruimten apparatuur Beleid enen organisatie Continuïteit Personeel Identificatie, authenticatie en Ruimten en apparatuur autorisatie Continuïteit Totaal Identificatie, authenticatie en autorisatie Totaal
Cluster 5. 3. Cluster Cluster 4. Cluster 5.
Cluster 1.
Beleid en organisatie
Cluster 2.
Personeel
Cluster 3. 1. Cluster 4. 2.
Ruimten apparatuur Beleid enen organisatie Continuïteit Personeel Identificatie, authenticatie en Ruimten en apparatuur autorisatie Continuïteit Totaal Identificatie, authenticatie en autorisatie Totaal
Cluster 5. 3. Cluster Cluster 4. Cluster 5.
N= 19 62% Algemeen 14% Score 2 Score 3
99% Totaal
12%
61%
10%
99%
11% 1 Score
66% 2 Score
21% 3 Score
0% 4 Score
97% Totaal
11% 21% 5%
61% 57% 62% 80%
19% 22% 9% 15%
8% 10% 7% 0%
99% 100% 98% 100%
12% 16% 22% 15% 24%
58% 64% 52% 62% 43%
23% 12% 20% 14% 27%
7% 7% 6% 7% 6%
100% 98% 100% 99% 100%
7% Score 4
100% Totaal
17% Score 1
16%N= 10 Topklinisch
7% Score 4
54% Topklinisch 22%N= 10 Score 2 Score 3
11%
57%
10%
100%
5% 1 Score
80% 2 Score
15% 3 Score
0% 4 Score
100% Totaal
12% 2% 22% 0%
58% 33% 52% 25%
23% 19% 20% 42%
7% 46% 6% 33%
100% 100%
3% 24% 3% 17% 0%
22% 43% 26% 54% 26%
22% 27% 17% 22% 29%
53% 6% 54% 7% 45%
100% 100% 100% 100% 100%
49% Score 4
100% Totaal
2% Score 1
22% N= 6 Academisch
27% Academisch 22% N= 6 Score 2 Score 3
Cluster 1.
Beleid en organisatie
2%
33%
19%
46%
100%
Cluster 2.
Personeel
0%
25%
42%
33%
100%
Cluster 3.
Ruimten en apparatuur
3%
22%
22%
53%
100%
Cluster 4.
Continuïteit Identificatie, authenticatie en autorisatie Totaal
3%
26%
17%
54%
100%
0%
26%
29%
45%
100%
2%
27%
22%
49%
100%
Cluster 5.
20
15% Score 1
Informatiebeveiliging, the next step. De afgelopen jaren zijn de ziekenhuizen wakker geschud door de IGZ en CBP die gezamenlijk zijn opgetreden in het toetsen van de niet-wettelijk afdwingbare NEN 7510-normen. Plannen van aanpak werden gesmeed en ziekenhuizen werden op hun vingers getikt als zij niet mee deden aan het opstellen van een plan en een degelijke risicoanalyse. De NVZ ging aan de slag met het ontwikkelen van een generieke set van normen waarlangs alle 100 ziekenhuizen in Nederland zijn gehouden door een onafhankelijke auditor. Ziekenhuizen kijken nu naar elkaar en zitten de rapportcijfers te beoordelen om te bepalen wie het beste jongetje uit de klas is. Daar gaat het echter niet om. Elk ziekenhuis zal zijn eigen reden hebben om op onderdelen nog een stap te zetten want informatiebeveiliging richt je niet in van vandaag op morgen. De urgentie is er maar het zou kunnen dat ziekenhuisbestuurders uit het oog zijn verloren waarom het ook al weer allemaal was begonnen en dat is... De veiligheid van de patiënt en de privacy van zijn persoonlijke gegevens moet voorop staan. De nieuwe techniek of nieuwe manieren waarop informatie wordt ontsloten stellen de patiënt, zijn of haar arts en de beheerders van ICT-omgeving voor nieuwe uitdagingen om er voor te zorgen dat bijvoorbeeld de introductie van het Landelijk EPD niet leidt tot het lekken van gevoelige informatie of dat informatie leidt tot medische fouten. Kunnen bestuurders van ziekenhuizen nu rustig gaan slapen of worden de plannen gesmeed voor de next big step? Wij denken dat onafhankelijk van wat NVZ, IGZ en CBP gaan doen, ziekenhuizen zelf de noodzaak zullen inzien dat het inrichten van informatiebeveiliging op basis van een gedegen risicoanalyse meer is dan alleen NEN 7510. De verankering in de dagelijkse processen is essentieel en de techniek zal ook nieuwe mogelijkheden gaan bieden. Belangrijk is dat pragmatiek wordt gebruikt om te komen tot praktische en betaalbare oplossingen die waarborgen dat de informatie in een beveiligde omgeving beschikbaar is voor de behandelend arts of andere zorgverleners.
21
88
Ernst &&Young Young Ernst & Ernst Young Ernst & Young ICT-dienstverlening ICT-dienstverlening ICT-dienstverlening Ernst & Young ICT-dienstverlening ICT-dienstverlening
Op Op het het gebied gebied van van ICT-dienstverlening ICT-dienstverlening gebruikt gebruikt Ernst Ernst & & Young Young het het onderstaande onderstaande dienstenpalet dienstenpalet met met drie drie servicecategorieën servicecategorieën en en
Op het gebied van ICT-dienstverlening gebruikt Ernst & Young het onderstaande dienstenpalet drie servicecategorieën en daarin opgenomen negen services: Op het gebied van ICT-dienstverlening gebruikt Ernst & Young hetmet onderstaande dienstenpalet met drie servicecategorieën en Op het gebied ICT-dienstverlening gebruikt daarin opgenomen negen services: Op opgenomen het gebied van van ICT-dienstverlening gebruikt Ernst Ernst & & Young Young het het onderstaande onderstaande dienstenpalet dienstenpalet met met drie drie servicecategorieën servicecategorieën en en daarin negen services: het opgenomen gebied van ICT-dienstverlening gebruikt Ernst & Young het onderstaande dienstenpalet met drie servicecategorieën en daarin services: daarin opgenomen negen negen services: daarinOp opgenomen negen services: daarin opgenomen negen services:
1 IT Risk Transformation 1 --- IT IT Risk Risk Transformation Transformation 1
1 IT Risk Management 1 --- IT IT Risk Risk Management Management 1 2 Program Risk Management 2 -- Program Program Risk Risk Management Management 2
2 IT Assurance 2 --- IT IT Assurance Assurance 2
3 IT Internal audit/controls 3 --- IT IT Internal Internal audit/controls audit/controls 3 4 Financial audit IT integration 4 Financial audit IT integration integration 4 - Financial audit IT 5 Service Organization Controls Reporting 5 Service Organization Controls Reporting Reporting 5 - Service Organization Controls
6 Application Risk and Controls 6 --- Application Application Risk Risk and and Controls Controls 6
3 IT Controls 3 --- IT IT Controls Controls 3
7 Information Security 7 --- Information Information Security Security 7 8 -- IT Infrastructure Risk and Controls 8 IT Infrastructure Risk and and Controls Controls 8 - IT Infrastructure Risk 9 Information Management and 9 --- Information Information Management Management and and 9 Analytics Services Analytics Services Analytics Services
1. 1. IT IT Risk Risk Transformation Transformation 1. IT Transformation 1 Risk IT Risk Risk Transformation 1 IT Transformation 1.1 IT Risk Management 1 IT Risk Transformation 1.1 IT Risk Management
IT Assurance IT bij Assurance 1.1 IT Risk Management Deze service focust zich het 1.1 IT Management Deze service focust zich enerzijds enerzijds op op de de ondersteuning ondersteuning van van cliënten cliënten bij het identificeren identificeren van van ICT-risico’s ICT-risico’s en en de de beheersing beheersing 1.1 IT Risk Risk Management
Deze service focust zich een enerzijds op de ondersteuning van cliënten bij het identificeren van ICT-risico’s en de beheersing ervan, anderzijds wordt van de van beoogd. Typische voorbeelden van 1.1 IT Risk Management ervan, anderzijds wordtzich een verbetering verbetering van de effectiviteit effectiviteitvan van risicofunctionarissen risicofunctionarissen beoogd. Typische voorbeelden van Deze service focust op de bij het identificeren van ICT-risico’s en ervan, ervan, anderzijds wordt een enerzijds verbetering de effectiviteit vancliënten risicofunctionarissen beoogd. Typische voorbeelden van Deze service focust zich enerzijds op van de ondersteuning ondersteuning van cliënten bij of hettoetsing identificeren van ICT-risico’s en de de beheersing beheersing ervan, opdrachten zijn een ICT-risicoanalyse in organisatie en implementatie van Governance. opdrachten zijnwordt een ICT-risicoanalyse in een een organisatie en implementatie van IT ITTypische Governance. Deze service focust zich enerzijds van op de ondersteuning van cliënten bij of hettoetsing identificeren van ICT-risico’s en de beheersing ervan, anderzijds een verbetering de effectiviteit van risicofunctionarissen beoogd. voorbeelden opdrachten zijnwordt een ICT-risicoanalyse in een implementatie of toetsing van ITTypische Governance. anderzijds een verbetering van de organisatie effectiviteiten van risicofunctionarissen beoogd. voorbeelden van van opdrachten opdrachten IT internal audit/controls IT Risk Management anderzijds wordt een verbetering van de effectiviteit van risicofunctionarissen beoogd. Typische voorbeelden van opdrachten zijn een ICT-risicoanalyse in een organisatie en implementatie of toetsing van IT Governance. een ICT-risicoanalyse in een organisatie en implementatie of toetsing van IT Governance. 1.2zijn Program Risk Management Management 1.2 Program Risk zijn een ICT-risicoanalyse in een organisatie en implementatie of toetsing van IT Governance. Deze service focust zich op het 1.2 Program Risk Management Deze service focust zich enerzijdsvan op Deze service focust zich op de cliënten Deze service focust zichManagement op de ondersteuning ondersteuning van cliënten met met het het mitigeren mitigeren van van de de ICT-risico’s ICT-risico’s binnen binnen grote grote ICT-projecten. ICT-projecten. 1.2 Program Risk Deze service focust zich opopdrachten de ondersteuning van cliënten met het mitigeren van van de ICT-risico’s binnen grote ICT-projecten. 1.2 Program Risk Management Typische voorbeelden van zijn het c.q. van office (PMO). monitoren demanagement risico’s en de Typische voorbeelden van opdrachten zijn bij het bouwen bouwen c.q. bemensen bemensen van het het programma programma management office (PMO). 1.2 Program Risk Management de ondersteuning van cliënten het Deze focust zich op van met mitigeren van binnen grote ICT-projecten. Typische voorbeelden opdrachten zijn het bouwen c.q. bemensen het programma management office (PMO). Deze service service focustvan zich op de de ondersteuning ondersteuning van cliënten cliënten met het hetvan mitigeren van de de ICT-risico’s ICT-risico’s binnen grote ICT-projecten. beheersmaatregelen en het verschaffen Deze service focust zich op de ondersteuning van cliënten met het mitigeren van de ICT-risico’s binnen grote Typische voorbeelden van opdrachten zijn het bouwen c.q. bemensen van het programma management office (PMO). identificeren van ICT-risico’s enzijn dehet bouwen c.q. bemensen van het programma management officeICT-projecten. Typische voorbeelden van opdrachten (PMO). Typische voorbeelden van opdrachten zijn het bouwen c.q. bemensen van het programma management office (PMO). 15 van zekerheid over bedrijfsprocessen, IT 15 15 beheersing ervan, anderzijds wordt 15 15 15 general controls en applicatieve controls.
een verbetering van de effectiviteit van risicofunctionarissen beoogd. Typische voorbeelden van opdrachten zijn een ICT-risicoanalyse in een organisatie en implementatie of toetsing van IT Governance. Program Risk Management Deze service focust zich op de ondersteuning van cliënten met het mitigeren van de ICT-risico’s binnen grote ICT-projecten. Typische voorbeelden van opdrachten zijn het bouwen c.q. bemensen van het programma management office (PMO).
22
Typische voorbeelden van opdrachten zijn ondersteuning van interne accountantsdiensten bij de uitvoering van hun werkzaamheden en het bouwen c.q. monitoren van Continuous Process Monitoring (CPM) bij organisaties. Financial audit IT integration Deze service focust zich op het In het kader van de jaarrekeningcontrole ondersteunen wij onze collega’s bij het identificeren en testen van geautomatiseerde controlemaatregelen in de systemen van controlecliënten. Typische voorbeelden van opdrachten zijn in kaart brengen van opzet, bestaan en werking van IT general controls en applicatieve controls in primaire systemen c.q. het testen van de betrouwbaarheid van het gegevenstransport van interfaces.
Service Organization Controls Reporting Middels deze service verschaffen wij cliënten onafhankelijke zekerheid over uitbestede ICT-gerelateerde processen. Typische voorbeelden van opdrachten zijn SAS 70-opdrachten, Third Party Message-verklaringen (TPM), ISAE 3402-opdrachten en Agreed Upon Procedures.
IT Controls Application risk & controls Wij ondersteunen organisaties met het waarborgen van de betrouwbaarheid van de gegevensverwerking door het onderzoeken, ontwerpen en implementeren van effectieve en efficiënte applicatiebeveiliging, functiescheidingen en business process controls. Typische voorbeelden van opdrachten zijn testen van functiescheidingen in SAP en Quality Assurance (QA) in een implementatietraject van software.
Information management & analytics services IMAS focust zich op het identificeren van specifieke risico’s op gegevensniveau. Het bevat het ontwerpen, implementeren en rationaliseren van data controls om datarisico’s te mitigeren. Typische opdrachten bevatten onderzoeken naar de betrouwbaarheid van gegevensverwerking in een datawarehouse, revenue recovery en vaststellen van compliance met belastingwetgeving of richtlijnen van DNB.
Information Security Deze service ziet toe op werkzaamheden die het gehele spectrum rondom informatie-beveiliging beslaan. Typische voorbeelden van opdrachten zijn ISO 27001 of NEN 7510-certificering, risicoanalyse informatiebeveiliging, attack & penetration-tests, implementatie of review van Cloud computing, virtualisatie, mobiele devices of draadloze netwerken.
Information Security Deze service ziet toe op werkzaamheden die het gehele spectrum rondom informatie-beveiliging beslaan. Typische voorbeelden van opdrachten zijn ISO 27001 of NEN 7510-certificering, risicoanalyse informatiebeveiliging, attack & penetration-tests, implementatie of review van Cloud computing, virtualisatie, mobiele devices of draadloze netwerken.
IT infrastructure risk & controls Middels deze service ondersteunen wij organisaties bij het verhogen van de effectiviteit en efficiëntie van hun (technische) ICT-infrastructuur. Typische voorbeelden van opdrachten zijn ITIL- en CobIT-gerelateerde onderzoeken.
IT infrastructure risk & controls Middels deze service ondersteunen wij organisaties bij het verhogen van de effectiviteit en efficiëntie van hun (technische) ICT-infrastructuur. Typische voorbeelden van opdrachten zijn ITIL- en CobIT-gerelateerde onderzoeken.
Information management & analytics services IMAS focust zich op het identificeren van specifieke risico’s op gegevensniveau. Het bevat het ontwerpen, implementeren en rationaliseren van data controls om datarisico’s te mitigeren. Typische opdrachten bevatten onderzoeken naar de betrouwbaarheid van gegevensverwerking in een datawarehouse, revenue recovery en vaststellen van compliance met belastingwetgeving of richtlijnen van DNB.
23
Ernst & Young sectorgroep Health Care
Marktleider binnen zorginstellingen, en zorgverzekeraars De sectorgroep Health Care van Ernst & Young onderscheidt zich door haar kennis en ervaring op het gebied van gezondheidszorg. ‘Health’ is het werkgebied waaronder wij zorgaanbieders, zorgverzekeraars, zorgkantoren, instellingen op het gebied van maatschappelijke dienstverlening, het Ministerie van VWS, Biotechnologie, Farmaceutische industrie, Medische Technologie, toeleveranciers voor de zorg, brancheverenigingen en overheids(gerelateerde) instellingen rekenen.
24
Ernst & Young heeft niet alleen in Nederland, maar ook internationaal, een leidende positie bij de dienstverlening aan de totale gezondheidszorg. Een groot aantal instellingen op het gebied van welzijn, maatschappelijke dienstverlening, geestelijke gezondheidszorg, verpleging, verzorging en thuiszorg, gehandicaptenzorg en kinderopvang behoort tot onze cliëntenkring. Daarnaast mogen wij vijf van de acht Universitair Medische Centra en twaalf van de zevenentwintig topklinische ziekenhuizen en een twintigtal algemene ziekenhuizen tot onze cliënten rekenen.
Internationaal netwerk De sector Health Care maakt onderdeel uit van de Health Care Industry Group van Ernst & Young International. Door de gestructureerde uitwisseling van kennis en ervaring en de ontwikkeling van wereldwijde kennissystemen, zijn wij constant in staat onze kennis te delen en op de hoogte te blijven van trends. Dit leidt tot een voortdurende innovatie, waarvan onze cliënten profiteren. In Europa en de VS wordt door Ernst & Young een belangrijke positie ingenomen in de Health Caresector. Wij adviseren één derde van de Health Care-organisaties in de wereld en hebben een netwerk van Health Care-specialisten in een groot aantal verschillende landen. Kennismanagement en management development De sector Health Care wordt door ons als een zeer belangrijke sector beschouwd. Vandaar dat wij continu investeren in het management development en de productontwikkeling van onze sectorgroep c.q. in de kennis en opleiding van onze professionals. Wij bieden een uitdagende en boeiende werkomgeving waar veel ruimte is voor persoonlijke ontwikkeling en groei. Wij besteden daarom veel aandacht aan kennisdeling, interne opleidingen en management development. In periodieke bijeenkomsten wordt, uiteraard met behoud van geheimhouding van de gegevens van de individuele opdrachtgevers, kennis en ervaring uitgewisseld.
Netwerken De sectorgroep onderhoudt nauwe contacten met onder andere het Ministerie van VWS (waaronder de minister van VWS), de NZa, het College voor Zorgverzekeringen en diverse brancheorganisaties (o.a. ZN, NFU, VGN, NVZ, ActiZ en GGZ Nederland) over actuele ontwikkelingen. Bovendien bekleden onze medewerkers diverse belangrijke functies in de zorgsector, zoals docentschappen, vertegenwoordiging in commissies, projectleiding in landelijke zorgtrajecten et cetera. Ernst & Young heeft de expliciete keuze gemaakt geen controlerend accountant te zijn van toezichthouders in de zorg. Wij vinden dat dit niet past bij de actieve rol die wij bij onze relaties vervullen. Waar nodig spreken wij de toezichthouders aan op kennelijk onredelijke eisen en thema’s. Voorts vervullen onze mensen diverse functies in de zorgsector, zoals commissariaten en docentschappen.
Transformatie zorgwereld De zorgwereld transformeert tot een volledig netwerk rondom de consument. Van aanbodgestuurd naar vraaggestuurd. Grenzen vervagen, zowel tussen landen als tussen verschillende spelers en segmenten van de gezondheidszorg. Onze cliënten profiteren van de verbreding en verdieping van onze kennis. Onderzoeken, publicaties en seminars De sector Health Care doet continu onderzoek naar ontwikkelingen in de gezondheidszorg. Zo zijn recent onderzoeksrapporten gepubliceerd over Corporate Governance en IT Governance in de zorg en hebben wij onderzoek gedaan naar de status en invoering van het Elektronisch Patiëntendossier in Nederland. Ook worden jaarlijkse benchmarkonderzoeken uitgevoerd met als doel inzicht te krijgen in de financiële ontwikkeling van verschillende segmenten van de gezondheidszorg als de Universitair Medische Centra, Topklinische Ziekenhuizen, Algemene Ziekenhuizen, Verpleging en Verzorging, Gehandicaptenzorg, Geestelijke gezondheidszorg en Thuiszorg. Daarnaast verschijnt vier keer per jaar onze nieuwsbrief ‘Health Digest’ met actuele ontwikkelingen voor onze relaties in de gezondheidszorg. Verder worden voor onze relaties regelmatig ‘round tables’, informatiebijeenkomsten en congressen georganiseerd.
Via ‘Knowledge Repositories’ hebben onze professionals toegang tot informatie over onder meer marktontwikkelingen, best practices, procesmodellen, benchmarks, regelgeving, performance indicatoren en controletechnieken. Ook via e-mail worden onze professionals van alle relevante ontwikkelingen op de hoogte gehouden.
25
“Informatiebeveiliging, een continue zorg?”
26
27
Ernst & Young Assurance | Tax | Transactions | Advisory
Over Ernst & Young Ernst & Young is wereldwijd toonaangevend op het gebied van assurance, tax, transactions en advisory. Juridische en notariële dienstverlening wordt in een strategische alliantie met Ernst & Young Belastingadviseurs LLP verzorgd door Holland Van Gijzen Advocaten en Notarissen LLP. Onze 141.000 mensen delen wereldwijd dezelfde waarden en staan voor kwaliteit. Wij maken het verschil door onze mensen, onze cliënten en de samenleving te helpen hun mogelijkheden optimaal te benutten. Waar sprake is van Ernst & Young wordt de wereldwijde organisatie van lidfirma’s van Ernst & Young Global Limited bedoeld, die elk een aparte rechtspersoon zijn. Ernst & Young Global Limited is een UK company limited by guarantee en verleent zelf geen diensten aan cliënten. Voor meer informatie over onze organisatie, kijk op www.ey.com Ernst & Young Advisory is een limited liability partnership naar het recht van Engeland en Wales met registratienummer OC335596. Ernst & Young Advisory is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, Verenigd Koninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamer van Koophandel Rotterdam onder nummer 24432939.
© 2011 Ernst & Young Advisory. Alle rechten voorbehouden.
Deze publicatie bevat informatie in samengevatte vorm en is daarom enkel bedoeld als algemene leidraad. Ze is niet bedoeld om te dienen als een substituut voor gedetailleerd onderzoek of voor het aanwenden van een professioneel oordeel. Noch EYGM Limited noch enig ander lid van de wereldwijde Ernst & Young organisatie kan aansprakelijk worden gesteld voor het verlies van iemand die handelde of die ervan afzag te handelen ten gevolge van enige informatie in deze publicatie. Bij elke specifieke aangelegenheid, dient steeds een geschikte adviseur geraadpleegd te worden.
www.ey.com/nl
NLDH1103