Applicatieontwikkeling
> M O T I V I N F O R M AT I E V O O R Z I E N I N G E N - B E V E I L I G I N G
Security Consultancy
Services
> ZORG
ICT, het kloppende hart van zorg en welzijn SECURITY IS OUR CHALLENGE
‘Burgers zullen alleen gebruikmaken van nieuwe technologieën en e-Services als ze erop vertrouwen dat hun persoonlijke gegevens, met name medische gegevens, veilig zijn’ Neelie Kroes, Europees Commissaris voor de digitale agenda
Uit ‘Interview with Neelie Kroes about Trust and Security in the Digital Agenda’ door Thom Schiltmans et al. Copyright december 2010, Platform voor InformatieBeveiliging, www.pvib.nl
Betrouwbaarheid is in het belang van de patiënt, dat staat buiten kijf. Dat vraagt binnen zorginstellingen om de juiste technische en organisatorische maatregelen. Bijvoorbeeld om aan te tonen dat niet iedereen zomaar in een medisch dossier kan kijken. En dat zij voldoen aan alle wetten en normen over de omgang met patiëntgegevens, met het hoogste beveiligingsniveau. Dat de zorginstelling ‘in control’ is. In deze brochure gaan we graag de dialoog aan over IT security en applicatieontwikkeling. En de ondersteuning die deze bieden voor strategische keuzes binnen zorginstellingen. ICT in de zorg is onze grootste zorg
I nformatievoorziening en – beveiliging in de Z org
De zorgorganisatie van morgen
IT in control beschermt ook tijdens transport gegevens optimaal
Directies van zorginstellingen hebben het vandaag de dag niet makkelijk. De Europese Commissie, de nationale overheid, de medewerkers en partners in de zorgverlening en, niet in de laatste plaats, de patiënten willen allemaal dat de Nederlandse zorgsector efficiënter werkt. Dit moet leiden tot kostenbeheersing in de zorg, betere informatievoorziening, een sterkere positie voor patiënten en het opheffen van het machtsverschil tussen partijen in de zorg. En dat allemaal zonder dat de kwaliteit, toegankelijkheid en betaalbaarheid van de zorg in gevaar komt. De betaalbaarheid van de zorg is op zichzelf al moeilijk genoeg. De dubbele vergrijzing, de combinatie van een grote groep ouderen en een langere levensverwachting, jaagt de kosten van de zorg structureel op. Tegelijkertijd stelt het nieuwe kabinet zorginstellingen een reeks ingrijpende bezuinigingen in het
vooruitzicht. Het magische woord om aan deze voorwaarden te voldoen, is ‘elektronisch’: e-Health, EPD, e-Factureren, e-Procurement. De ‘e’ lijkt meteen te staan voor ‘efficiëntie’. Maar dezelfde partijen die hierom roepen, stellen daarbij ook extra eisen. Zo moet een zorginstelling aantoonbaar maken dat alle informatie niet alleen correct en compleet is, maar vooral veilig en vertrouwelijk. Informatietechnologie is tegenwoordig overal in zorginstellingen terug te vinden. Zo zet een ziekenhuis IT in, van de diagnose tot in de operatiekamer. Ook in GGZ-netwerken speelt het digitaliseren van patiëntengegevens een belangrijke rol, zoals in deze brochure te lezen valt. IT maakt het mogelijk dat de juiste informatie overal door bevoegde personen ingezien kan worden. Dat plaveit de weg voor de komst van het elektronisch patiëntendossier (EPD). Dit is veel meer dan alleen een administratief hulpmiddel
D E A A N PA K VA N M O T I V
Informatievoorziening en -beveiliging op maat voor iedere zorginstelling Met een bewezen staat van dienst en een diepgaande expertise van IT security en applicatieontwikkeling weegt Motiv de wensen en eisen van zorginstellingen af tegen die van mens en maatschappij. Motiv luistert en denkt mee over de keuzes van organisaties. Met oog voor de balans tussen continuïteit en flexibiliteit, en tussen kostenbesparing en innovatie. De patiënt en de zorgverlening staan daarin altijd centraal.
MEER INFO > www.motiv.nl
dat alle patiëntgegevens bewaart. Het ondersteunt ook de behandeling van patiënten tijdens het hele zorgproces. Zo registreert het EPD met wie de patiënt in contact is gekomen, op welke locatie, hoe lang, en welke zorgverlener verantwoordelijk is. Daarmee vraagt het EPD om meer dan techniek alleen, stelt Timo Schipperen, Security Manager van het Amphia Ziekenhuis in deze brochure. Informatie die digitaal en gestructureerd beschikbaar is, maakt de toegang daartoe eenvoudiger en beter beheersbaar. Dit verhoogt de kwaliteit en helpt de informatievoorziening echt compleet,
accuraat, actueel en correct te maken. Dat voorziet in een juridische onderbouwing voor het naleven van wet- en regelgeving rond informatievoorziening en patiëntveiligheid. Het helpt ook bij het aantoonbaar maken van verantwoordelijkheid en rekenschap in medische en financiële rapportages. Echter, het beantwoordt niet alle vragen rond informatiebeveiliging. Zorginstellingen dienen ook te laten zien dat zij grip en controle hebben op het beschikbaar stellen van behandel- en patiëntinformatie. In termen van ICT betekent dit dat het ZIS, de infrastructuur en het beheer ‘in control’ moeten zijn. Daarbij ligt de nadruk op de
I nformatievoorziening en – beveiliging in de Z org
correctheid, compleetheid en bescherming van patiëntinformatie. De inspectie van de gezondheidszorg (IGZ) kan daarbij toetsen of de regelgeving rond de (beveiliging van de) informatiesystemen wordt nageleefd. Hiervoor zijn de beveiligingsnormen NEN 7510 en NEN 7513 een goede leidraad.
systemen van de overheid, verzekeraars, zorginstellingen, bemiddelingsbureaus, intermediairs en anderen? Het gaat daarbij om heel verschillende systemen, die niet per definitie dezelfde taal spreken. Daarom is het belangrijk gestandaardiseerde uitwisselingsformaten te gebruiken binnen al deze systemen.
Motiv zorgt voor de dag van morgen en laat ICT het kloppende hart zijn van zorginstellingen NEN 7510 en NEN 7513 waarborgen de betrouwbaarheid van informatievoorziening en –beveiliging in het belang van de patiënt, want daar gaat het tenslotte om. NEN 7510 stelt onder meer dat een zorginstelling maatregelen moet nemen voor de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie rond de verantwoorde zorg van patiënten. NEN 7513 vult dit aan met richtlijnen voor het registreren van acties op het elektronisch patiëntendossier. Beiden normen vragen om de juiste technische en organisatorische maatregelen. Het mag natuurlijk niet mogelijk zijn dat zomaar iedereen toegang heeft tot het medische dossier. Zoals verderop in deze brochure beschreven wordt, is het ‘in control’ zijn daarom voor iedere zorginstelling een basisbehoefte. Hoe is grip en controle echter realiseerbaar als het EPD straks informatie bevat uit
Digitale informatielabels maken het bijvoorbeeld mogelijk de informatie te classificeren. In combinatie met beleidsregels kunnen zorginstellingen dan de juiste maatregelen nemen om de informatiebeveiliging tot op dataniveau te optimaliseren. Alle zorginstellingen moeten kunnen werken met onderling uitwisselbare informatie,
AMPHIA ZIEKENHUIS
die voldoet aan alle wetten en normen, met het hoogste beveiligingsniveau. Maar door het verzorgingsgebied, patiëntenbestand en de specialismen is iedere zorginstelling uniek. De maatregelen voor informatiebeveiliging mogen nooit het zorgproces in gevaar brengen. Hoe sluit de gestandaardiseerde, generieke en globale informatievoorziening aan op specifieke situaties? Met een bewezen staat van dienst en een diepgaande expertise van IT security en applicatieontwikkeling weegt Motiv de wensen en eisen van zorginstellingen af tegen die van mens en maatschappij. Motiv luistert en denkt mee over de keuzes van organisaties. Met oog voor de balans tussen continuïteit en flexibiliteit, en tussen kostenbesparing en innovatie. De patiënt en de zorgverlening staan daarin altijd centraal. Motiv geeft zorginstellingen de regie over hun informatievoorziening en –beveiliging in handen. Door bedrijfsdoelstellingen en externe regelgeving te vertalen naar werkbare oplossingen voor IT security en innovatieve applicatieontwikkelingen. Zodoende kunnen zorginstellingen intensieve ICT-strategieën ontwikkelen, met veel aandacht voor ‘IT in control’. MEER INFO > www.motiv.nl
Motiv versterkt het fundament onder de beveiligingsarchitectuur van het Amphia Ziekenhuis Het Amphia Ziekenhuis in Breda levert vanuit drie locaties met een breed spectrum aan specialismen hoogwaardige zorg aan circa 400.000 mensen. Daarmee is het een van de grootste algemene ziekenhuizen van Nederland. Het ziekenhuis draagt een grote verantwoordelijkheid voor de optimale zorg van patiënten. Daarbij hoort ook het nemen van maatregelen die de beveiliging van patiëntinformatie waarborgen. Met de invoering van het elektronisch patiëntendossier (EPD) moet dit zelfs aantoonbaar goed geregeld zijn. Begin 2009 ontvouwde Timo Schipperen, Security Officer van het Amphia Ziekenhuis, daarom een ambitieus plan om de netwerkbeveiliging te actualiseren.
AMPHIA ZIEKENHUIS
De aanleiding om dit grote project te ontwikkelen was relatief basaal, vertelt Schipperen. ‘Er ontstonden problemen in de virusbeveiliging op het interne netwerk, waar de grote medische systemen met applicaties communiceren. Dat gaf ons de gelegenheid om niet alleen dat probleem op te lossen, maar meteen vernieuwingen te brengen aan de volledige beveiliging. Tenslotte leven we inmiddels in een wereld waarin interne en externe netwerken, applicaties en systemen steeds meer met elkaar verbonden zijn.’ NEN 7510 en NEN 7513 Deze beslissing werd mede aangejaagd door de richtlijnen van de NEN 7510-norm voor informatiebeveiliging binnen de zorgsector. Het implementeren daarvan is echter geen sinecure, aldus Schipperen: ‘Informatiebeveiliging in de zorgsector is uitermate complex. Zo moeten verouderde ziekenhuisinformatiesystemen samenwerken met de nieuwste oplossingen. Een grote verscheidenheid in medische apparatuur die functioneert op basis van verschillende standaarden moet gekoppeld worden. Bovendien is ieder ziekenhuis redelijk uniek. Dat geldt voor de patiënten en de specialismen, maar ook voor de informatiesystemen. De komst van een landelijk EPD maakt dat niet eenvoudiger, want
AMPHIA ZIEKENHUIS
het vereist dat al deze systemen gebruik gaan maken van dezelfde standaarden en definities.’
‘Vanzelfsprekend blijft een firewall of virusscanner van belang, maar de wereld verandert, wordt bozer en sneller’ ~ Timo Schipperen, Security Officer van het Amphia Ziekenhuis
Bovendien zijn er veel interne en externe partijen, systemen en disciplines betrokken bij het verzamelen, opslaan, verwerken en transporteren van gegevens. ‘Het voldoen aan de richtlijnen van NEN 7510 is daarom niet alleen een technische kwestie,’ zegt Schipperen. ‘Het heeft gevolgen voor de hele organisatie. Daarnaast werd medio 2010 NEN 7513 geïntroduceerd met richtlijnen voor het registreren van acties op het elektronisch patiëntendossier. Op basis van logging moet inzichtelijk zijn wie er toegang had tot een patiëntendossier.’
meer rekening hield met de eisen van NEN 7510. Onder de noemer ‘Amphia ICT Security Zones & Layers’ legde dit plan het fundament onder een gefaseerde en modulaire aanpak voor het beveiligen van de ICT-omgeving. Schipperen: ‘De verschillende processen met bijbehorende maatregelen maakten duidelijk waar de controlepunten voor de beveiliging zich moesten bevinden. Dit zijn de punten waarop informatie intern doorgegeven wordt van het ene proces of systeem naar het andere. Daarom werd de beveiligingsarchitectuur in lagen ingericht op basis van de gedefinieerde controlepunten, beleidsregels en procedures.’
Amphia ICT Security Zones & Layers Een Security Scan en risicoanalyse leidde tot een architectuurschema dat onder
Het Amphia Ziekenhuis schakelde Motiv in om, op basis van deze architectuur, een doeltreffende oplossing te implementeren. De keuze viel op Motiv vanwege de ervaring met het beveiligen van complexe IT-infrastructuren. Dat heeft Motiv ook bewezen met verschillende projecten in de zorgsector. ‘In onze optiek was Motiv daarom uitermate geschikt om de inrichting van onze informatiebeveiliging te verzorgen,’ zegt Schipperen. ‘Motiv bracht meteen een oplossing naar voren die volledig aansloot op de aanpak die we
voorstonden. De gelaagdheid van ons architectuurmodel kwam duidelijk naar voren in de presentatie van Motiv. Bovendien hadden we al snel het vertrouwen dat we met Motiv ook een open dialoog konden aan gaan over de toekomst van informatiebeveiliging en IT-architectuur. Het is altijd prettig om met vakmensen te discussiëren, want dat brengt nieuwe inzichten en mogelijke oplossingen die we zelf nog niet bedacht hadden.’
‘Met het voorkomen van één incident is de investering al vele malen terugverdiend’ Defense in Depth De oplossing van Motiv is gebaseerd op de Defense in Depth-strategie die het bedrijf ontwikkelde. Deze strategie sluit volledig aan op de richtlijnen van NEN 7510. ‘Motiv hanteert hierbij de stelregel dat de keten zo sterk is als de zwakste schakel,’ aldus Schipperen. ‘In ons geval bestaat de beveiligingsketen uit een serie maatregelen die elkaar aanvullen en versterken. Dat waarborgt de kwalitatief
hoogwaardige beveiligingsomgeving die een ziekenhuis nodig heeft.’ De beveiligingsarchitectuur werd door Motiv uitgewerkt in een scenario voor de gefaseerde implementatie. Motiv maakt hiervoor gebruik van een afgeleide methode van PRINCE2. Bij iedere fase wordt voor aanvang van de werkzaamheden bepaald wat het verwachte resultaat is en met welke middelen dit resultaat behaald moet worden. De daadwerkelijke migratie naar de nieuwe productieomgeving vindt ook gefaseerd plaats. Schipperen: ‘Dit kan zorgvuldig gebeuren doordat de nieuwe omgeving naast de huidige omgeving is gebouwd. Hierdoor wordt de productie niet verstoord en kan de migratie plaatsvinden nadat de nieuwe omgeving volledig is opgebouwd en getest.’
AMPHIA ZIEKENHUIS
‘Het is altijd prettig om met vakmensen te discussiëren, want dat brengt nieuwe inzichten en mogelijke oplossingen die we zelf nog niet bedacht hadden’ IT in control Dankzij Motiv beschikt het Amphia Ziekenhuis over een veilige, schaalbare en flexibele omgeving. Deze sluit bovendien aan op de richtlijnen van NEN 7510 en NEN 7513, maar ook op andere gangbare normeringen zoals IHE en GBZ. ‘Dankzij Motiv zijn we goed voorbereid op de komst van het EPD,’ zegt Schipperen. ‘De NEN 7513 geeft richtlijnen voor informatiebeveiliging voor het EPD. Dat vereist het loggen van al het dataverkeer, dus niet alleen van acties op het medisch dossier. Motiv stelt ons in staat de richtlijnen breder in te zetten. Ook op persoonlijke basis kunnen we nu aantonen wat er op het netwerk gebeurt. Dit heeft onder meer betrekking op het internetgedrag van medewerkers, en de communicatie van apparaten, applicaties en gebruikers. Maar ook op het herkennen, definiëren en categoriseren van informatie. Zo konden we tijdens het project pragmatisch kansen pakken wanneer ze zich voordeden.’
‘Dat is belangrijk want verscherpt toezicht op de naleving van wet- en regelgeving betekent dat wij op ieder moment steekhoudende bewijzen moeten leveren over de informatiebeveiliging. Omdat de IT nu in control is kunnen we daar aan voldoen.’
De oplossing van Motiv maakt verschillende informatiestromen binnen het Amphia Ziekenhuis aantoonbaar veilig.
Met het voorkomen van één incident is de investering dus al vele malen terugverdiend.’
Hoewel het allemaal begon met een haperende virusscanner op medische apparatuur, is de netwerkbeveiliging bij het Amphia Ziekenhuis een aanzienlijk project geworden. Is deze investering wel rendabel? Schipperen: ‘Informatiebeveiliging is een primaire eis. Dat moet aantoonbaar goed geregeld zijn. Want als de systemen ook maar één dag uitvallen, staan de operatiekamers leeg en komt de kwaliteit van zorgverlening in gevaar, en daarmee levens. Maar stel dat gedurende een dag de patiëntgegevens op slot staan, of juist helemaal open. Dat mag vanzelfsprekend nooit gebeuren.
Z orgin s tellingen in C ontrol
Timo Schipperen, Security Officer van het Amphia Ziekenhuis
‘Timo verrijkte onze samenwerking met een leerzame gedachtewisseling’
Maatschappelijke ontwikkelingen hebben gevolgen voor IT-omgeving Hoe krijgen ziekenhuizen grip op ZIS, infrastructuur en beheer?
Ard de Goede is als accountmanager nauw betrokken bij het Amphia Ziekenhuis: ‘Ik werk met bijzonder veel plezier samen het Amphia Ziekenhuis. Het is vooral leuk dat IT & Security voor Timo en zijn team geen kwestie is van techniek alleen. Zij zijn echt doordrongen van de verantwoordelijkheid die het ziekenhuis draagt voor 400.000 patiënten. Dat maakt de IT-vraagstukken soms letterlijk van levensbelang. Daar gaat het team serieus mee om. Misschien ligt het daaraan dat we vaak bij Timo aan mochten schuiven om eens een boom op te zetten over IT en Security in het algemeen. Hij was erg geïnteresseerd in onze mening en visie op thema’s en trends in de markt. Zo werkten we niet alleen samen aan de beste oplossing die het ziekenhuis vandaag nodig heeft. We leerden ook van elkaar welke oplossingen er mogelijk zijn voor morgen. Zodoende kwam er een mooie, flexibele en schaalbare implementatie uit de bus waarmee het Amphia goed voorbereid aan de toekomst begint.
In de nabije toekomst krijgt iedere patiënt volledig online, direct toegang tot het eigen dossier. Dit brengt grote veranderingen mee voor de IT-voorzieningen in de zorgsector. Men moet aantoonbaar grip en controle hebben over de beschikbaarheid en bescherming van behandelen patiëntinformatie. Hiervoor dient het ziekenhuisinformatiesysteem, de infrastructuur en het beheer die dit ondersteunen in control te zijn. De specifieke beveiligingsnormen NEN 7510 en NEN 7513 bieden hiervoor een goede leidraad. De introductie van het elektronisch patiëntendossier (EPD) heeft ingrijpende gevolgen voor de informatievoorziening en – beveiliging binnen de zorgsector. Wet- en regelgeving vereisen dat ziekenhuisinformatiesystemen en de IT-voorziening betrouwbaar zijn. Bovendien eisen patiënten waarborgen voor
hun rechten en zeggenschap over het medisch dossier. Een ziekenhuis dient aantoonbaar aan al deze eisen te voldoen en daarom in control te zijn. Voor de IT-omgeving is dit op drie gebieden van toepassing: • ZIS in control; • Infrastructuur in control; • IT-beheer in control. ZIS in control Een ziekenhuisinformatiesysteem (ZIS) verwerkt en bewaart medische gegevens. Daaruit blijkt echter niet of en wanneer onbevoegde medewerkers een bepaald behandeldossier raadplegen of wijzigen. Voor een ZIS in control moet aantoonbaar zijn hoe deze informatie eenvoudig uit het systeem naar boven komt. Daarbij moet er zekerheid zijn dat de informatie correct is en juridische waarde heeft.
Informatiebeveiliging is meer dan techniek alleen
Z orgin s tellingen in C ontrol
De huidige ontwikkelingen op het gebied van patiëntenrechten hebben grote invloed op de IT-omgeving van een ziekenhuis. Het aantoonbaar in control zijn is een steeds belangrijker wordend vraagstuk. Met actuele technische middelen is veel te bereiken. Echter, deze technische middelen mogen geen doel op zich zijn. Ze ondersteunen de organisatie en bijbehorende processen slechts. Hoewel een aantal ziekenhuizen voorop loopt op het gebied van informatiebeveiliging, valt er in de branche nog veel te doen. Het aanschaffen van wat hardware en software alleen lost de problematiek niet op. Het inbedden van deze middelen in de processen en procedures is noodzakelijk voor succes.
Medio 2010 heeft NEN1 een nieuwe norm geïntroduceerd die hierbij kan helpen: NEN 7513. Deze norm voorziet in eisen en concrete richtlijnen voor stelselmatige registratie (ook ‘logging’ genoemd) van acties op elektronische patiëntdossiers. En voor de integriteit en onweerlegbaarheid van de logging. Het beveiligen en beschikbaar stellen van de logs vraagt dus om serieuze maatregelen. Oplossing: Security Information & Event Management Security Information & Event Management (SIEM) is een waardevol en praktisch hulpmiddel. SIEM verzamelt alle loginformatie van apparatuur en (besturings)systemen op een centrale plaats. Het SIEM-systeem voorziet auditlogs van een digitale handtekening en tijdstempel, en zodoende van juridische waarde. Automatische rapportages over de verschillende systemen tonen afwijkingen aan ten opzichte van de norm en bijzondere trends. Dit is vooral mogelijk door de juiste onderlinge correlatie van auditlogs van verschillende systemen. Een gebruiker die bijvoorbeeld in het ZIS inlogt, maar niet is ingelogd op het netwerk, probeert mogelijk onder een andere naam het ZIS te gebruiken. Bij de juiste correlatie signaleert het SIEM-systeem dit en geeft onmiddellijk een alert, zodat direct actie ondernomen kan worden. Het SIEM-systeem maakt ook ad hoc rapportages mogelijk. Daarmee kan het inzichtelijk maken welke activiteiten plaats hebben gevonden betreffende een systeem, gebruiker of patiënt. Dit gebeurt vanzelfsprekend binnen de eisen van privacywetgeving. De informatie uit het SIEM-systeem ondersteunt het realiseren van structurele verbeteringen van zowel de kwaliteit als de informatiebeveiliging. Afhankelijk van de mate waarin afwijkingen in het gewenste gedrag voorkomen wordt namelijk duidelijk 1 http://www.nen.nl/web/Actueel/Nieuwe-norm-NEN-7513-Logging-gepubliceerd.htm
of het gaat om een incident (eenmalig) of een probleem (structureel). Een SIEM-systeem alleen is echter niet de volledige oplossing. De eerste voorwaarde blijft altijd dat medewerkers correct, oplettend en verantwoord omgaan met informatie.
Dit levert vooral bij medische apparatuur een dilemma op. Beveiligingsupdates kunnen een gevaar kunnen zijn voor de correcte werking van de apparaten, maar zonder de updates zijn ze kwetsbaar voor virussen of malware.
Infrastructuur in control Het netwerk is in een ziekenhuis cruciaal voor het functioneren van zowel de administratieve als de medische automatisering. Apparatuur en informatiesystemen zijn meer en meer gekoppeld via het netwerk. Om in control te zijn, moet de omgeving stabiel, flexibel en schaalbaar zijn.
Oplossing: Virtual Patching Virtual Patching maakt gebruik van Intrusion Detection & Prevention (IDP)-technologie. Dit bewaakt het netwerkverkeer en onderzoekt dit op verdacht gedrag. Dankzij de meest recente gegevens over lekken in software kan de IDP malware herkennen en indien nodig blokkeren. Daarom functioneert de IDP als een virtuele patch. Hierdoor is medische apparatuur ook beveiligd als deze niet beschermd is met de laatste beveiligingsupdates. Wanneer de IDP gekoppeld wordt aan het SIEM-systeem genereert het ook rapportages en alarmberichten met beveiligingsincidenten.
De IT-infrastructuur moet nieuwe informatiesystemen, nieuwe apparatuur en nieuwe ontwikkelingen faciliteren. Een goed hulpmiddel hiervoor is het opstellen van een IT-architectuur. Deze verdeelt het netwerk in logische zones. Informatiesystemen en apparatuur vallen op basis van classificatie in de passende zone. Voor iedere zone gelden eigen beveiligingsrichtlijnen en specifieke maatregelen. Een duidelijke architectuur maakt het eenvoudig nieuwe informatiesystemen aan de IT-omgeving toe te voegen. Heldere voorwaarden bepalen vooraf waar deze terechtkomen. Dit bevordert een goede capaciteitsplanning. Naast een IT-architectuur zijn ook concrete maatregelen nodig om de kwaliteit van informatievoorziening te garanderen. Zo kan het uitvoeren van essentiële beveiligingsupdates of zogenoemde patches problematisch zijn.
IT-beheer in control De hierboven besproken technische maatregelen hebben alleen zin als de beheersorganisatie hier klaar voor is. Er moet tenslotte wel wat gedaan worden met de NEN 7510- of NEN 7513-rapportages uit het SIEM-systeem. En beveiligingsincidenten dienen opgevolgd en opgelost te worden. Een goede balans tussen werkbaarheid en proces is daarom van groot belang. Het koppelen van risicobeheersing aan IT-beheer kan hierbij helpen. Bijvoorbeeld bij het stellen van prioriteiten.
Z orgin s tellingen in C ontrol
Een incident dat geclassificeerd wordt als een hoog risico, vraagt om snellere maatregelen dan incidenten met een laag risico. Oplossing: Optimaliseren beheerprocessen Voor het optimaliseren van beheerprocessen is het belangrijk het IT-beheer proportioneel in te richten. Dat betekent dat het niveau van IT-beheer passend moet zijn voor de te beheren omgeving. Dat blijkt bij verrassend veel organisaties niet het geval te zijn. Men blust brandjes, maar geeft geen prioriteiten op basis van de werkelijke, vooraf vastgestelde, waarde van de IT-middelen. Een goede impactanalyse helpt bij het vaststellen van de waardecriteria voor IT-middelen. De basis hiervoor is het gewenste niveau van beschikbaarheid van het IT-middel en van de vertrouwelijkheid en de integriteit van de data. Vervolgens leiden de juiste beveiligingsmaatregelen voor ieder classificatie tot een standaard. De impactanalyse maakt ook duidelijk waar het ITmiddel thuishoort binnen de IT-architectuur. Afhankelijk van de classificatie kan de organisatie bovendien heldere SLA’s afsluiten met de IT-afdeling over responsetijden of back-upschema’s. Optimale beheerprocessen vragen ook om Incident Management. NEN 7510 wijdt er zelfs een heel hoofdstuk aan. De NEN vereist dat beveiligingsrelevante activiteiten vastgelegd worden. En dat het verzamelde bewijsmateriaal juridische waarde heeft. Een SIEM-systeem voorziet daarin, want het signaleert incidenten niet alleen, het levert ook direct het bewijsmateriaal. De koppeling met de classificatie van het systeem (NEN 7510 schrijft ook risicobeheersing voor), kan de incidentopvolging in het IT-beheerproces proportioneel worden uitgevoerd. Dat is het verschil tussen brandjes blussen en brandpreventie. Want in de zorgsector weet men het toch als geen ander: voorkomen is beter dan genezen.
1 nP E X T E N Z O
Extenzo integreert dankzij Motiv primaire en secundaire werkprocessen van GGZ-professionals De stichting 1nP is het ‘1e netwerk Professionals in de ambulante geestelijke gezondheidszorg (GGZ)’. 1nP staat ook voor een visie op mensen, cliënten en hulpverleners. 1nP wil kwalitatief hoogwaardige zorg op een laagdrempelige wijze aanbieden waarbij de cliënt zoveel als mogelijk de regie voert. De GGZ-sector heeft te maken met een toenemende vraag, terwijl de overheid bezuinigingen wil doorvoeren. 1nP riep de hulp van Motiv in om een online applicatie te ontwikkelen die creatief ondernemerschap ondersteunt. Slimmer gebruik van techniek De overheid stimuleert marktwerking in de zorg en ook de tweedelijns zorg bereidt zich voor op de komst van het elektronisch patiëntendossier. Deze veranderingen in de sector betekenen dat de primaire
zorgtaken niet langer gescheiden kunnen blijven van de secundaire administratieve en logistieke processen van behandelaars. 1nP wilde daarom een online applicatie creëren waarin alle werkprocessen geïntegreerd zijn. Extenzo: maximale focus op zorg De gewenste webapplicatie, die de naam Extenzo meekreeg, moest via een online portaal ambulante zorg mogelijk maken, overal waar (mobiel) internet beschikbaar is. Vanzelfsprekend moest de beschikbaarheid en de beveiliging van het webplatform gewaarborgd zijn. Tot slot moest de webapplicatie peer reviews (collegiale toetsing) mogelijk maken. 1nP vond in Motiv een applicatieontwikkeling- en beveiligingsspecialist die de definitieve keuze, ontwikkeling en implementatie van een volledige integratie
tussen primaire en secundaire werkprocessen kon ondersteunen voor de aangesloten zorgprofessionals. Motiv ging van start met een inventarisatie van de effecten van wet- en regelgeving en koppelingen met het EPD op het ontwerp van de webapplicatie. Motiv ontwierp ook de geautomatiseerde peer reviews. Daarmee realiseerde het bedrijf een ware noviteit binnen e-Zorg. De peer reviews worden automatisch en anoniem voorgelegd aan vakgenoten. Deze geven vervolgens een vakkundig oordeel over de behandelmethode. Goede peer reviews worden gewaardeerd met rapportcijfers. Dat komt de kwaliteit van de behandeling ten goede en stimuleert het gebruik van dit systeem. Motiv automatiseerde binnen Extenzo ook de VECOZO-check om de verzekeringsgegevens van patiënten te controleren.
‘Dankzij Extenzo kunnen alle professionals die zijn aangesloten bij 1nP effectiever en efficiënter werken via een eZorgportaal‘ ~ Gerard van Kesteren, General Director Mental Health van 1nP
Dat gebeurt zowel vooraf als achteraf. Zodoende zorgt de wizard binnen Extenzo ervoor dat er geen dubbele of onjuiste facturatie plaatsvindt. Motiv maakte het ook mogelijk dat Extenzo het zogenoemde Routine Outcome Monitoring (ROM) ondersteunt. De webapplicatie is hiervoor gekoppeld aan de systemen van servicepartner NetQ. Daardoor kan eenvoudig en automatisch vastgesteld worden of de behandeling aanslaat en effect sorteert. De communicatie met professionals wordt vanuit Extenzo aangestuurd. Patiëntendossier op elke werkplek Diverse netwerken en professionals maken al gebruik van Extenzo. ‘Het dossier staat op elke werkplek ter beschikking,’ zegt Gerard van Kesteren, General Director Mental Health van 1nP. ‘De volledige bronregistratie en invoerwizards zorgen voor een gemakkelijk invoerproces voor behandelaars.’ Motiv zorgt met Extenzo voor de integratie van gegevens uit de primaire en secundaire processen. Hierdoor hoeven de professionals geen kostbare uren meer te verdoen met secundaire
taken. Zij kunnen zich volledig richten op hun kernactiviteit. De behandelaars maken ook dankbaar gebruik van de peer reviews. De peer reviews leiden tot nieuwe inzichten voor verbeteringen in de primaire processen. Dit verhoogt de professionele resultaten van de professionals in het netwerk van 1nP. Motiv bracht vanzelfsprekend ook de expertise op het gebied van informatiebeveiliging in. Zo is het webportaal van Extenzo en zijn alle patiëntendossiers uitsluitend toegankelijk voor bevoegde professionals. De authenticatie vindt plaats via gebruik van de UZI-pas. Zodoende creëerde Motiv een unieke, innovatieve en veilige omgeving die zeer ten goede komt aan de dienstverlening. Daarmee geeft Extenzo de zorgprofessional van 1nP maximale focus op de behandeling van de cliënt. MEER INFO
> www.motiv.nl
Prof. Dr. R. Kusters, hoogleraar bedrijfsprocessen en IT aan de TU Eindhoven, faculteit Industrial Engineering en Innovation Sciences over Extenzo: ‘Extenzo is een maatwerkoplossing voor eerste en tweedelijns GGZ. De toepassing levert een volledige integratie tussen de primaire en secundaire werkprocessen en de pakketondersteuning. Dit resulteert in procesuitvoering die zowel efficiënt als aantoonbaar van hoge kwaliteit is. Dit wordt gerealiseerd door consistente toepassing van slimme wizards in combinatie met bronregistratie. Daardoor is een forse afname van administratieve belasting voor professionals en organisatie gerealiseerd. Zorginhoudelijk is er een dubbelblind peer group review systeem ter borging en verhoging van de kwaliteit van behandelplannen als verplicht onderdeel aanwezig. ROM (routine outcome monitoring) en online diagnostiek zijn modulair toegankelijk. Daarnaast is er onder andere sprake van naadloze integratie met webservices (zoals GBA- en VECOZO-check). Dat alles maakt Extenzo tot een totaaloplossing voor vooruitstrevende zorgorganisaties.’
Motiv Poortdijk 13 NL - 3402 BM IJsselstein T +31 [0]30 - 68 77 007 F +31 [0]30 - 68 77 006 www.motiv.nl
[email protected]
