de EDP-Auditor nummer 1 2005
Implementatie van Informatiebeveiliging: een casus in de Gezondheidszorg Organisaties in de gezondheidszorg zijn sterk in ontwikkeling door toename van automatisering en samenwerking tussen instellingen. Hierdoor stijgt ook de behoefte aan informatiebeveiliging. Toepassing van de Code voor Informatiebeveiliging in zorgorganisaties leidt echter tot een zodanig Roel de Beer en Martin Smits
groot aantal benodigde ingrepen dat een nadere prioriteitenstelling en een planmatige aanpak van
beveiligingsmaatregelen noodzakelijk is. In dit artikel wordt hiervoor een methode beschreven waarin de Code voor Informatiebeveiliging is gecombineerd met het INK-managementmodel en worden concrete aanbevelingen gedaan voor duurzame implementatie van informatiebeveiliging in de gezondheidszorg.
Inleiding De stichting GGZ Regio Breda is met circa 1200 medewerkers een middelgrote organisatie in de sector Geestelijke Gezondheidszorg (GGZ) en biedt gespecialiseerde zorg aan jeugdigen, volwassenen en ouderen in een verzorgingsgebied van ruim 400.000 inwoners. Jaarlijks worden ongeveer 10.000 cliënten behandeld op ruim twintig locaties in de regio. Voor een goede behandeling dienen zorgverleners op ieder gewenst moment over betrouwbare informatie te kunnen beschikken. Dit is in de meeste gevallen ook privacygevoelige informatie. Om de privacy van cliënten en personeel te beschermen, is informatiebeveiliging van groot belang. De complexiteit van informatievoorziening en -beveiliging in de zorgsector is duidelijk toegenomen. De toename wordt onder meer veroorzaakt door nieuwe wetgeving,
Drs. R.M.G. de Beer is coördinator Informatiebeveiliging bij de stichting GGZ Regio Breda, Stafdienst Planning, Control en Informatie. Dr. M.T. Smits is werkzaam bij Center for Research on Information Systems and Management (CRISM) van de Faculteit Economie en Bedrijfswetenschappen, Universiteit vanTilburg.
nieuwe organisatievormen in de zorg, intensiever berichtenverkeer en de groei van het aantal informatiesystemen. Er ontstaat een steeds complexer netwerk van zorginstellingen, cliënten, zorgverzekeraars en andere partijen die een rol spelen bij het verzamelen, opslaan, verwerken en transporteren van gegevens [SMIT99]. Complexe organisatievormen zijn bijvoorbeeld ontstaan met de oprichting van zorgkantoren en indicatieorganen. Grotere complexiteit in de zorg ontstaat ook door invoering van het Elektronisch Patiënten Dossier (EPD) en Diagnose Behandeling Combinaties (DBC’s). Het EPD bevat alle zorggegevens van een patiënt: medisch, psychologisch, psychiatrisch en verpleegkundig. Met ingang van januari 2006 zullen ook GGZ-instellingen gebruikmaken van DBC’s, hetgeen ingrijpende veranderingen met zich meebrengt in de zorg- en verrichtingenadministraties en in de relaties met verzekeraars [MEIJ04]. Geconcludeerd kan worden dat zorginstellingen en zorgverleners steeds afhankelijker worden van de beschikbaarheid van informatie en informatiesystemen en mede in verband met wettelijke vereisten, genoodzaakt zijn tot het treffen van beveiligingsmaatregelen. Informatie is nooit 100% te beveiligen [BREE94]. De uitdaging bij informatiebeveiliging ligt vooral in het afdoende beveiligen. Een hoog niveau van informatiebeveiliging kan betekenen dat
17
18
de EDP-Auditor nummer 1 2005
er onnodig hoge investeringen worden gedaan, terwijl een laag niveau van informatiebeveiliging kan betekenen dat er onnodig risico’s worden gelopen. De Code voor Informatiebeveiliging geeft goede aanknopingspunten, maar concrete toepassing er van in een zorgorganisatie leidt tot vragen over het prioriteiten stellen van maatregelen en inbedding in de organisatie. Vooronderzoek in 2003 heeft bij GGZ Regio Breda een aantal knelpunten in de informatiebeveiliging aan het licht gebracht, hetgeen aanleiding was voor het starten van het project Informatiebeveiliging. Doel was om – met beperkte middelen – een plan te maken voor het bereiken van een basisniveau van informatiebeveiliging. De probleemstelling luidde: ‘Hoe kan GGZ Regio Breda het niveau van informatiebeveiliging in kaart brengen en groeien naar een hoger niveau van informatiebeveiliging?’ Dit artikel beschrijft de resultaten van het project en bestaat uit twee delen. Eerst wordt de Code voor Informatiebeveiliging gecombineerd met het INK-managementmodel om te komen tot een aanpak voor het in kaart brengen van informatiebeveiliging. Daarna wordt het INK-managementmodel gebruikt voor de planning van invoering van de maatregelen en groei naar een hoger beveiligingsniveau.
Code voor Informatiebeveiliging Informatiebeveiliging is ‘het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen’ [OVER00]. Uit deze definitie blijkt dat informatiebeveiliging nauw verwant is aan management van kwaliteit in organisaties [PIJL97]. Met beveiligingsmaatregelen kunnen bedreigingen, kwetsbaarheden en risico’s worden voorkomen, gedetecteerd, geminimaliseerd en gecorrigeerd. Vandaar dat vier soorten beveiligingsmaatregelen worden onderscheiden: preventieve, repressieve, detectieve en correctieve. In antwoord op de vraag naar praktische hulpmiddelen voor beveiliging van gegevens in computers en netwerken is de Code voor Informatiebeveiliging (kortweg: de Code) ontwikkeld. De doelstellingen van de Code zijn (1) het verschaffen van een gemeenschappelijke basis voor bedrijven om beveiligingsbeleid te ontwikkelen, maatregelen te selecteren, de nodige plannen op te stellen en zo tot ‘beveiliging op maat’ te komen [OVER00] en op die manier (2) het vertrouwen in het handelsverkeer tussen bedrijven te bevorderen [PRAA02]. De Code is bedoeld voor hen die verantwoordelijk zijn voor het opzetten, implementeren en onderhouden van de informatiebeveiliging in hun organisatie.
De Code is rond 1990 ontstaan in Engeland als een bundel van ‘best practices’ voor informatiebeveiliging, met medewerking van bedrijven als British Telecom, Marks & Spencer, Midland Bank, Shell en Unilever. In 1994 is de Code geïntroduceerd in Nederland en in 2000 geactualiseerd. De Code bestaat uit tien categorieën: de aandachtsgebieden bij het opzetten en verbeteren van informatiebeveiliging. Elke categorie bevat meerdere doelstellingen voor informatiebeveiliging: in totaal zijn 36 doelstellingen verdeeld over de tien categorieën (zie tabel 2, p. 22). Voor elke doelstelling zijn maatregelen omschreven om de doelen te realiseren. De Code kent in totaal 127 maatregelen waarvan acht volgens de Code in elke organisatie aanwezig moeten zijn (tabel 1): de essentiële en wettelijke randvoorwaarden [NEDE00]. Een organisatie kan een audit laten uitvoeren op het adequaat uitvoeren van informatiebeveiliging en zo een certificaat verkrijgen. De mate waarin de organisatie moet voldoen aan de Code, dat wil zeggen de norm voor certificering, wordt door het certificerende bureau opgesteld in samenspraak met het te certificeren bedrijf. De Code wordt op maat gemaakt omdat alleen onderdelen uit de Code worden gebruikt die passen bij de bedrijfsprocessen en beveiligingsbehoeften van het te certificeren bedrijf [OVER2000]. Hier ligt ook de basis voor kritiek op de Code. De Code geeft (te) veel vrijheid voor interpretatie, schrijft wel voor wat moet worden geregeld, maar niet hoe en wanneer. Verder gaat de Code op sommige aspecten zeer diep in (logische toegangsbeveiliging), terwijl het beheer van computers en netwerken slechts globaal wordt behandeld. Ook wordt geen aandacht geschonken aan verzekeringen tegen risico’s. Genoeg redenen voor GGZ Regio Breda om na te gaan hoe zij informatiebeveiliging zou kunnen realiseren. In het project Informatiebeveiliging bleek dat de categorieën, doelstellingen en maatregelen uit de Code goed gekoppeld kunnen worden aan het INK- model.
INK-managementmodel Kwaliteit van dienstverlening staat bij GGZ Regio Breda, net als in de gehele zorgsector, hoog op de agenda. Om verbetering van de zorgverlening te bereiken heeft GGZ Regio Breda in 2000 gekozen voor integraal management1 en het INK-managementmodel (INK-model). Aansluitend aan het model zijn in de beleidscyclus diverse managementinstrumenten ingevoerd, zoals een meerjarenplan, standaarden voor interne jaarplannen en verslaglegging, monitors en interne audits. Het door het Instituut Nederlandse Kwaliteit ontworpen INK-model is een managementmodel, gebaseerd op het
de EDP-Auditor nummer 1 2005
B1. Doelstellingen voor beveiliging. Voor alle werknemers in het bedrijf die (mede) verantwoordelijk zijn voor informatiebeveiliging dient het beleid beschikbaar te zijn. B2.Toewijzing van verantwoordelijkheden voor informatiebeveiliging. De verantwoordelijkheden voor bescherming van gegevens en informatiesystemen en voor het uitvoeren van beveiligingsprocedures dienen expliciet te worden gedefinieerd. B3. Opleiding en training voor gebruikers. Medewerkers moeten zich bewust zijn van bedreigingen voor en belang van informatiebeveiliging en moeten daartoe de juiste middelen, kennis en vaardigheden tot hun beschikking hebben. B4. Rapporteren en afhandelen van beveiligingsincidenten. Beveiligingsincidenten dienen snel en via de juiste kanalen te worden gerapporteerd. Er moet een beheersorganisatie zijn voor het opvangen van beveiligingsincidenten (denk aan helpdesk en incidentmanagement). B5. Continuïteitsplanning. Er dient een proces te zijn voor het ontwikkelen, handhaven en bijhouden van continuïteitsplannen voor het bedrijf, te beginnen bij de meest kritieke bedrijfsprocessen. W1. Auteursrechtelijke bescherming. Toezicht dient te worden gehouden op het voorkomen van het onrechtmatig kopiëren of gebruik van programmatuur of ander auteursrechtelijk beschermd materiaal. W2. Veiligstellen kritische bedrijfsdocumenten. De belangrijkste bedrijfsdocumenten dienen te zijn beveiligd tegen verlies, vernietiging en vervalsing. Wettelijke bewaartermijnen dienen daarbij in ogenschouw te worden genomen. Tevens moet informatie binnen redelijke tijd toegankelijk zijn, hetgeen eisen stelt aan de beschikbaarheid van (oude) informatie(-systemen). W3. Bescherming van persoonsgegevens. De wetgeving op het gebied van persoonsregistraties en -gegevens dient te worden geëerbiedigd. De Registratiekamer heeft een Advies uitgegeven waarin de in redelijkheid te verwachten maatregelen zijn aangegeven.
Tabel 1. Vijf essentiële (B1-B5) en drie wettelijke (W1-W3) beveiligingsmaatregelen
schema van de European Foundation for Quality Management (EFQM). Het INK-model biedt houvast aan organisaties die door middel van continue veranderingen en verbeteringen willen leren excelleren. De kern van het model is een zelfevaluatie, waarmee de organisatie zelfstandig en systematisch haar processen beoordeelt en haar positie bepaalt. Het model is weergegeven in figuur 1. Het eerste deel van het model omvat vijf ‘organisatiegebieden’, de interne factoren, die door de organisatie zelf kunnen worden bepaald: • Leiderschap. Dit is de manier waarop directie, afdelingshoofden en teamleiders de koers bepalen om strategie en de doelstellingen te realiseren. Belangrijk is hoe zij hierbij de medewerkers betrekken. Leiderschap komt tot uitdrukking in de houding en het gedrag van leidinggevenden en is de drijvende kracht achter het verbeteren van een organisatie en bepaalt grotendeels de cultuur van een organisatie [DORR02]. • Strategie en beleid. Om een organisatie te kunnen verbeteren, worden missie en visie met behulp van een strategie geïmplementeerd in concreet beleid, inzichtelijke uitvoeringsplannen en budgetten en er wordt gestreefd naar draagvlak binnen de organisatie. • Management van medewerkers. De wijze waarop medewerkers worden ingezet, gestimuleerd, gewaardeerd en gerespecteerd, beïnvloedt de prestaties van de organisatie. Personeelsbeleid, opleiding en training van medewerkers zijn belangrijke instrumenten voor het investeren in kennis en vaardigheden en de zorg voor welzijn. • Management van middelen. Dit betreft financiële middelen, gebouwen, apparatuur, materialen, technologie, informatie- en kennissystemen. Om bedrijfsactiviteiten uit te kunnen voeren, moeten deze middelen (en de relaties met leveranciers er van) worden onderhouden. • Management van processen: Een organisatie definieert vanuit beleid en strategie een aantal processen om haar doelen te bereiken. Deze processen moeten worden
ORGANISATIE
RESULTATEN
Management van medewerkers Leiderschap
Strategie en beleid
Medewerkers Management van processen
Management van middelen
Klanten en leveranciers Maatschappij
VERBETEREN & VERNIEUWEN
Figuur 1. Het INK-managementmodel: vijf organisatiegebieden en vier resultaatgebieden [INST04]
Bestuur en financiers
19
20
de EDP-Auditor nummer 1 2005
gecontroleerd en bijgestuurd. Via de hoofdzakelijk primaire, op de klant gerichte, processen treedt de organisatie naar buiten. De effecten van de organisatiegebieden worden geregistreerd in vier resultaatgebieden: Medewerkers (aantallen, competenties, tevredenheid), Klanten en leveranciers (beoordeling door klanten en leveranciers over de kwaliteit van producten en diensten), Maatschappij (beoordeling door omgeving en overheid; rol van de organisatie met betrekking tot werkgelegenheid, veiligheid, milieu), Bestuur en financiers (financiële resultaten (omzet, winst, productkwaliteit, marktaandeel, kwaliteit van het management, et cetera). De feedbacklus in figuur 1 geeft aan dat de resultaten worden geëvalueerd en dat vervolgens waar nodig de organisatie wordt aangepast. Dit is een continu proces, de Plan-Do-Check-Act (PDCA)-cyclus, met als hoofddoel het continueren van de bedrijfsvoering. Plannen (Plan) betreft ‘Wat er wanneer moet gebeuren en wie dat gaat doen, op welke manier en met welke middelen’. In het INK-model komt dit overeen met de organisatiegebieden ‘Leiderschap’ en ‘Strategie en beleid’. Uitvoeren (Do) betreft het daadwerkelijk uitvoeren van de geplande activiteiten (in de organisatiegebieden ‘Management van Medewerkers’, ‘Management van Middelen’ en ‘Management van Processen’). Meten (Check) betreft de resultaatgebieden ‘Medewerkers’, ‘Klanten en leveranciers’, ‘Maatschappij’ en ‘Bestuur en financiers’. De laatste stap is ‘Aanpassen’ (Act), waarin lering wordt getrokken uit het voorafgaande en plannen worden bijgesteld. Het realiseren van een PDCA-cyclus is geen eenvoudige opgave. De mate waarin de PDCA-cyclus een automatisme is, wordt door INK weergegeven in vijf niveaus van volwassenheid: vijf INK-ontwikkelingsfasen. De overgang naar een volgende fase gaat gepaard met veranderingen in cultuur en flexibiliteit van de organisatie. Hoe hoger de fase, hoe meer extern gericht en flexibeler de organisatie wordt. Dit vraagt veel aanpassingsvermogen van alle onderdelen van de organisatie. De volgende vijf fasen worden onderscheiden: • Activiteitgeoriënteerd. Dergelijke organisaties zijn in feite klassiek, hiërarchisch ingericht met de nadruk op afzonderlijke activiteiten waarin werknemers of afdelingen de eigen activiteiten zo goed mogelijk uitvoeren. Problemen worden direct opgelost. De kwaliteit van de eindproducten en -diensten worden bepaald door de kennis en kunde van de werknemers. • Procesgeoriënteerd. Het primaire proces van de organisatie is geïdentificeerd en wordt beheerst. Door middel van prestatie-indicatoren kan men het proces monitoren.
Aan de hand van geconstateerde afwijkingen kan men het proces verbeteren. • Systeemgeoriënteerd. De organisatie kan in deze fase worden gezien als een systeem van processen. Alle processen staan onderling met elkaar in verband, waarbij onderscheid wordt gemaakt tussen primaire en ondersteunende processen. Daarnaast wordt er systematisch gewerkt, op alle niveaus, aan verbetering van de organisatie. Men maakt gebruik van de ‘Plan-Do-Check-Act’cyclus van Deming. • Ketengeoriënteerd. In de vorige fase staan alle processen van de organisatie onderling met elkaar in verband. In de ketengeoriënteerde fase wordt dit uitgebreid met klanten en leveranciers van de organisatie. Systemen van klanten en leveranciers worden gekoppeld, strevend naar maximale toegevoegde waarde. Personeelsmanagement en beleid sluiten aan op de keten waarin de organisatie zich bevindt. • Transformatiegeoriënteerd. In deze laatste fase behoort de organisatie tot de top. Het proces van continu verbeteren is volledig in de organisatie ingebed, leidend tot innovaties en duurzaam verbeteringen.
De Code en het INK-model De Code voor Informatiebeveiliging schrijft maatregelen voor die genomen dienen te worden voor het waarborgen van informatievoorziening. Het niveau van informatiebeveiliging in een organisatie kan worden bepaald aan de hand van de Code. Zo wordt duidelijk wat de sterke punten zijn en waar knelpunten bestaan met betrekking tot informatiebeveiliging. Nadeel van de methode is echter dat niet inzichtelijk wordt waar de knelpunten in de organisatie zich bevinden, ofwel in welke organisatiegebieden de informatiebeveiliging tekort schiet en moet verbeteren. Dat is juist waar GGZ Regio Breda behoefte aan heeft. Het INK-model kan hier een oplossing bieden omdat dit model organisatiegebieden en activiteiten toont om resultaten per gebied te verbeteren. Door voor informatiebeveiliging per organisatiegebied in kaart te brengen wat de knelpunten zijn, wordt duidelijk waar de organisatie maatregelen moet nemen en activiteiten moet ontplooien om de informatiebeveiliging op niveau te brengen. De Code voor Informatiebeveiliging is dus gekoppeld aan de organisatiegebieden van het INK-model. Het blijkt dat de aandachtsgebieden – zoals de Code deze voorschrijft – niet zonder meer zijn onder te brengen in een organisatiegebied, omdat een aandachtsgebied betrekking kan hebben op meerdere organisatiegebieden. Een voorbeeld is het aandachtsgebied ‘beveiligingseisen ten aanzien van personeel’. Enerzijds schrijft dit gebied voor dat medewerkers gescreend en opgeleid moeten worden, hetgeen betrekking
de EDP-Auditor nummer 1 2005
heeft op het organisatiegebied Management van Medewerkers. Daarnaast moet volgens de Code een proces worden ingericht voor het melden en rapporteren van incidenten, hetgeen betrekking heeft op Management van Processen. Echter, ieder aandachtsgebied van de Code bestaat uit meerdere doelstellingen en deze doelstellingen blijken, na nadere inhoudelijke bestudering, wel voldoende specifiek te zijn voor het plaatsen in één organisatiegebied. Tabel 2 (zie p. 22) toont hoe de 36 doelstellingen van de Code (in tegenstelling tot de aandachtsgebieden) geplaatst kunnen worden in de organisatiegebieden van het INKmodel. Opvallend is dat het gebied Leiderschap ontbreekt: volgens het INK-model dé drijvende kracht voor het verbeteren van een organisatie. In het kader van informatiebeveiliging gaat leiderschap over de manier van leiding geven en de houding van de leiding ten aanzien van informatiebeveiliging. Hoewel tabel 2 geen doelstellingen koppelt aan dit organisatiegebied, stelt informatiebeveiliging indirect wel eisen aan leiderschap. Voor het behalen van de doelstellingen in de overige vier organisatiegebieden speelt leiderschap in het INK-model en integraal management een belangrijke rol.
Methode voor meting van het niveau van Informatiebeveiliging Het instrument in tabel 2 vormt de kern voor het in kaart brengen van het niveau van informatiebeveiliging bij GGZ Regio Breda. Voordat dit model werd toegepast is eerst – zoals Overbeek [OVER98] adviseert – een inventarisatie van informatiebeveiliging gedaan in de vorm van een nulmeting en een BIV-analyse. De nulmeting bestond uit een discussiebijeenkomst met een vijftal medewerkers van GGZ Regio Breda, waaronder stafmedewerkers zorgontwikkeling en kwaliteit, administratie, planning, control en informatie, een locatiemanager, de projectleider EPD en het hoofd automatisering. De nulmeting was bedoeld om een globaal beeld te krijgen van wat rond informatiebeveiliging wel of niet geregeld is in de GGZ. Tijdens de bespreking van de aandachtsgebieden van de Code kwam direct aan het licht dat in de organisatie weinig procedures en processen zijn voor informatiebeveiliging en dat onvoldoende kennis van informatiebeveiliging in de organisatie aanwezig is. Back-up van informatie is bijvoorbeeld goed geregeld, maar medewerkers weten niet waar zij informatiebeveiligingsincidenten kunnen melden en er ontbreken richtlijnen met betrekking tot het gebruik van cliëntgegevens in e-mailverkeer. De BIV-analyse had als doel om op basis van de betrouwbaarheidseisen ‘Beschikbaarheid’, ‘Integriteit’
en ‘Vertrouwelijkheid’ (BIV) de belangrijkste informatiesystemen van GGZ Regio Breda in kaart te brengen. Uit een eerste inventarisatie bleek dat GGZ Regio Breda in 2003 gebruikmaakte van 35 verschillende (geautomatiseerde) informatiesystemen. In een discussiebijeenkomst is voor ieder systeem aangegeven hoe belangrijk de beschikbaarheid, de integriteit (juistheid) en vertrouwelijkheid zijn van de gegevens in het systeem. Dat leidde per systeem tot drie scores op een schaal van 1 (weinig belangrijk) tot 3 (zéér belangrijk). Dit resulteerde in het benoemen van de vijf belangrijkste systemen: (1) het financiële informatiesysteem, (2) het zorginformatiesysteem, (3) het personeelsinformatiesysteem, (4) kantoorautomatisering en (5) de fysieke zorg- en personeelsdossiers. Na de nulmeting en de BIV-analyse is in meer detail per doelstelling van de Code geanalyseerd of aan de Code wordt voldaan en – indien dat niet het geval is – wat de knelpunten zijn. Dit is gedaan door interviews te houden met zeven medewerkers van GGZ Regio Breda: een netwerkbeheerder, een systeembeheerder, een zorgmanager, een medewerker HR, een medewerker zorgadministratie, het hoofd Huisvesting & Techniek en het hoofd Planning, Control & Informatie. De knelpunten zijn vertaald naar risico’s die GGZ Regio Breda loopt. De risico’s zijn in een discussiebijeenkomst met de geïnterviewden geclassificeerd naar de ernst van het risico. Hiervoor is gebruikgemaakt van een ECHO-waardering (zie ook tabel 2). Een risico kan de waardering E, C, H of O krijgen: • E (Exposure). Er is sprake van een kritiek lek in de organisatie en direct gevaar voor de informatiebeveiliging. • C (Concern). Er is sprake van een belangrijk lek, maar het gevaar is minder groot dan bij een kritisch lek, doordat bijvoorbeeld de kans klein is dat zich een incident zal voordoen. • H (Housekeeping). Er is sprake van een onvolkomenheid in de bedrijfsvoering. Deze waarde wordt ook gegeven aan maatregelen waarvan de uitvoering gestart is, maar nog niet volledig is ingevoerd. • O (Okay). Er is in principe geen gevaar voor de organisatie op dit moment, omdat de doelstelling wordt gehaald. Door veranderende omstandigheden kunnen genomen maatregelen op den duur echter onvoldoende garanties bieden, waardoor de waardering moet worden aangepast.
Prioriteiten stellen van beveiligingsmaatregelen Om het niveau van informatiebeveiliging te verhogen en risico’s weg te nemen, moeten maatregelen genomen worden. Voor GGZ Regio Breda betekent dit echter dat zij alleen al voor de 23 grootste risico’s 29 maatregelen zou moeten nemen. Het is voor GGZ Regio Breda onmogelijk
21
de EDP-Auditor nummer 1 2005
22
Organisatiegebied Strategie en Beleid
E
* * *
E
1 Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging. 2 Het management van informatiebeveiliging binnen de organisatie. 34 Het voorkomen van schending van strafrechtelijke of civielrechtelijke wetgeving, wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen. 35 Waarborgen dat systemen voldoen aan het beveiligingsbeleid en de geldende beveiligingsnormen van de organisatie. 36 De effectiviteit van systeemaudits maximaliseren en de interferentie tijdens de systeemaudits minimaliseren. Subtotaal Organisatiegebied Management van Medewerkers 7 Het verminderen van de risico’s van menselijke fou * 8 Waarborgen dat gebruikers zich bewust zijn van de bedreigingen voor en de belangen van informatiebeveiliging en hen te voorzien van de juiste middelen om het beveiligingsbeleid te ondersteunen tijdens het uitvoeren van hun normale werkzaamheden. Subtotaal Organisatiegebied Management van Middelen 3 Het handhaven van de beveiliging van de IT-voorzieningen en informatie van de organisatie, waar derden toegang toe hebben. 4 Het handhaven van de beveiliging van informatie, wanneer de verantwoordelijkheid voor informatieverwerking is uitbesteed aan een andere organisatie. 5 Het handhaven van een adequate bescherming van bedrijfsmiddelen. 6 Waarborgen dat informatiebedrijfsmiddelen een passend niveau van beveiliging krijgen. 10 Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie. 11 Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering. 12 Het voorkomen van beschadiging of diefstal van informatie en IT-voorzieningen. 15 Het beschermen van de integriteit van software en informatie. 17 Het handhaven van de beveiliging van informatie in netwerken en de bescherming van de ondersteunende infrastructuur. 19 Voorkomen dat informatie die wordt uitgewisseld tussen organisaties verloren gaat, gewijzigd of misbruikt wordt. 23 Bescherming van netwerkdiensten. 25 Het voorkomen van ongeautoriseerde toegang tot informatie in informatiesystemen. 27 Het waarborgen van informatiebeveiliging bij het gebruik van mobiele computers en voorzieningen voor telewerken. 29 Het voorkomen van verlies, wijziging of misbruik van gegevens in toepassingssystemen. 30 Het beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie. Subtotaal Organisatiegebied Management van Processen * 9 Het minimaliseren van de schade die wordt veroorzaakt door beveiligingsincidenten en storingen, het monitoren van dergelijke incidenten en er lering uit trekken. 13 Het garanderen van een correcte en veilige bediening van IT-voorzieningen. 14 Het risico van systeemstoringen tot een minimum beperken. 16 Het handhaven van de integriteit en beschikbaarheid van informatieverwerkende en communicatiediensten. 18 Het voorkomen van schade aan bedrijfsmiddelen en van onderbreking van bedrijfsactiviteiten. 20 Het beheersen van de toegang tot informatie. 21 Het voorkomen van ongeautoriseerde toegang tot informatiesystemen. 22 Het voorkomen van ongeautoriseerde toegang. 24 Het voorkomen van ongeautoriseerde toegang tot computers. 26 Het ontdekken van ongeautoriseerde activiteiten. 28 Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen. 31 Ervoor zorgen dat IT-projecten en ondersteunende activiteiten op een veilige manier worden uitgevoerd. 32 De beveiliging van toepassingssoftware en informatie waarborgen. * 33 Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen of calamiteiten. Subtotaal Totaal
C
H
O
C
H H
1
n.v.t. 1 2
0
E 1
0
0
1
C O C H H O E H C H O C E O 2
C 5
4
4
E E C H C H E C O C C H H E 4 8
5 4 1 11 11 5
(Doelstellingen voorzien van een * bevatten één of meerdere essentiële maatregelen van de Code. Let wel: doelstelling 33 bevat drie (!) essentiële maatregelen). Het rechter deel van de tabel wordt toegelicht in de paragraaf ‘Informatiebeveiliging in kaart. De ingevulde scores zijn fictief.
Tabel 2. Doelstellingen van de Code geplaatst in de organisatiegebieden van het INK-model
de EDP-Auditor nummer 1 2005
om alle maatregelen ineens te nemen, dat legt teveel beslag op middelen en daarnaast streeft de organisatie in beginsel eerst naar een basisniveau van informatiebeveiliging, waarbij alleen de grootste knelpunten met betrekking tot informatiebeveiliging zullen worden weggenomen. Er moest dus een nadere selectie van maatregelen plaatsvinden, rekening houdend met het ambitieniveau voor informatiebeveiliging en de beschikbaarheid van financiële en personele middelen. De selectie wordt gedaan op basis van drie, met elkaar samenhangende, criteria: • Ernst van het onderliggende risico, uitgedrukt als ECHO-score (E=4, C=3, H=2 en O=1). • Effect van de maatregel, ofwel de mate waarin het risico wordt weggenomen (op een schaal van 1 (weinig effect) tot 3 (veel effect)). • Kosten die de maatregel met zich meebrengt, uitgedrukt in tijd (veel tijd (3) tot weinig tijd (1)) en geld (hoge kosten (3) tot weinig kosten(1)). Op basis van de geschatte criteria kunnen de maatregelen worden gepositioneerd in een kader (figuur 2). De positie van iedere maatregel in het kader wordt bepaald door de hoogte van de kosten van de maatregel (verticale as) en het product van de ernst van het risico en het effect van de maatregel (horizontale as). Door dit product te gebruiken krijgen maatregelen met een groot effect op een ernstig risico een hogere score. Een maatregel met weinig effect op een klein risico is vanzelfsprekend minder interessant en weegt niet zwaar mee in de selectie. Het kader kent vier kwadranten. Hoe meer een maatregel rechtsonder in het figuur staat, hoe aantrekkelijker het is om de maatregel uit te voeren. Elk kwadrant geeft een
+ 3/3
1 2
Vermijden
Overwegen 23.2
3 23.1
Kosten tijd/ geld
11.1 6.1
-
1
21 10
5
Op deze manier zijn in GGZ Regio Breda twaalf van de 29 maatregelen voor Informatiebeveiliging geselecteerd en is in 2004 besloten om deze twaalf te implementeren.
Implementatie van beveiligingsmaatregelen Implementatie van beveiligingsmaatregelen dient meer te omvatten dan het slechts vaststellen van beleid in de vorm van een leidraad [ROES03]. Informatiebeveiliging is ook gedoemd te mislukken als de nadruk vooral ligt op invoering van concrete logische en fysieke beveiligingsmaatregelen in bedrijfsprocessen en te weinig aandacht wordt geschonken aan ‘de benodigde organisatorische maatregelen om voor langere termijn informatiebeveiliging up-to-date en effectief te houden’.
7 14
20 9
1/1 Uitstellen
globaal advies, hoewel de grenzen tussen de kwadranten niet scherp zijn: • Vermijden: deze maatregelen kosten over het algemeen veel en het effect van de maatregel is klein, terwijl het risico ook klein is. • Uitstellen: de maatregelen in dit deel kosten niet veel, maar omdat het effect ervan klein is of de ernst van het risico wat zij moeten dekken klein is, kunnen deze maatregelen ook in een later stadium worden genomen, nadat grotere risico’s zijn gedekt. Een voorbeeld hiervan is het laten tekenen van een aparte geheimhoudingsverklaring door medewerkers. • Overwegen: deze maatregelen kosten wel veel, maar omdat zij een groot effect hebben, zijn zij mogelijk interessant om uit te voeren. Voor deze maatregelen zal dus overwogen moeten worden of het wenselijk en mogelijk is om ze te nemen. Een voorbeeld hiervan is het aanschaffen van reserve-servers op een andere locatie. • Doen: de maatregelen in dit deel zijn zeer interessant om direct uit te voeren. Zij kosten niet veel en dekken daarnaast een groot risico en hebben een groot effect. Een voorbeeld is het installeren van encryptiesoftware op laptops.
19 17.2 12 17.1 23.3 22 1516 18 6.2 13 4 11.2 8
Doen
Ernst tekortkoming x effect maatregel
-
Figuur 2. Maatregelen gepositioneerd naar kosten en (ernst x effect)
12 +
Er zijn twee soorten ingrepen waarmee beveiligingsmaatregelen worden ingebed in de organisatie zodat ook op langere termijn effect blijft [ROES03]: (1) herinrichten van organisatie en procedures en (2) opleiden en motiveren van medewerkers. Enkele essentiële maatregelen van de Code zijn organisatorisch van aard en hebben in principe direct effect op de organisatie van informatiebeveiliging: ‘taken, verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiliging moeten worden belegd’. De organisatorische maatregelen (repressief, detectief en preventief), waar De Roest, Dijckmans en Havermans op doelen, dienen om informatiebeveiliging aan te laten sluiten op de bedrijfs-
23
24
de EDP-Auditor nummer 1 2005
voering en op die manier onderdeel te maken van de gehele bedrijfsstructuur. Pardous [PARD03] is van mening dat informatiebeveiliging niet alleen moet zijn geborgd in de bedrijfsstructuur, maar ook onderdeel moet zijn van de bedrijfscultuur. Hiervoor is het belangrijk dat medewerkers worden opgeleid en gemotiveerd voor informatiebeveiliging. Informatiebeveiliging heeft enkele ingrijpende gevolgen voor de manier van werken en gewoontes in de organisatie. Zo kunnen bepaalde gebruiken worden verboden omdat zij een risico vormen voor de organisatie. Bijvoorbeeld, behandelaars die gewend zijn na kantoortijd thuis een verslag van een gesprek met een cliënt uit te werken, zullen in hun werkwijze worden gestoord wanneer het verboden wordt e-mail met cliëntgegevens naar een privé-adres te sturen. Aanpassingsvermogen van medewerkers is vereist om wijzigingen aan te brengen in processen, procedures. Medewerkers moeten kennis hebben van informatiebeveiliging en moeten gemotiveerd worden om een bijdrage te leveren. Zij moeten weten welke risico’s er op het gebied van informatiebeveiliging zijn en deze herkennen. Ook moeten zij weten wat hun verantwoordelijkheden voor informatiebeveiliging zijn en wat kan worden gedaan om risico’s tot een minimum te beperken [JENT04]. Duidelijk is dat informatiebeveiliging ook bij GGZ Regio Breda niet stopt bij het schrijven van een beleid en het nemen van de maatregelen die uit dit beleid volgen. Sterker, informatiebeveiliging begint pas wanneer het beleid geschreven is. Het moet onderdeel worden gemaakt van de structuur en cultuur van de organisatie.
Werken aan een herhaalbaar verbeterproces Het INK-model geeft met de daarin opgenomen PDCAcyclus handvatten voor het invoeren van ingrijpende maatregelen in structuur en cultuur, zoals bij informatiebeveiliging. In de plan-fase worden voorbereidende activiteiten verricht in de organisatiegebieden Strategie & Beleid en Leiderschap. Voor informatiebeveiliging komen de hier verrichte activiteiten deels voort uit organisatorische maatregelen uit het organisatiegebied Strategie & Beleid. Ook voor Leiderschap is hier een belangrijke rol weggelegd. In de do-fase worden de daadwerkelijke activiteiten verricht in de overige drie organisatiegebieden. Voor informatiebeveiliging blijkt dit ook het geval te zijn: met name maatregelen uit deze gebieden worden in deze fase genomen. In de check-fase worden de genomen maatregelen gecontroleerd. De PDCA-cyclus vergt managementkwaliteiten die niet
zomaar in elke organisatie aanwezig zijn. Het Capability Maturity Model (CMM) onderscheidt diverse volwassenheidsniveaus voor management in organisaties. CMM was oorspronkelijk bedoeld als hulpmiddel voor verbetering van softwareontwikkelprocessen en beschrijft een groeipad voor management. Het pad onderscheidt vijf volwassenheidsniveaus (‘maturity levels’) waarin een organisatie zich kan bevinden. Het eerste niveau (initieel) kent een ad-hoc benaderingswijze waarbij de werkwijze niet of nauwelijks is vastgelegd in procedures. De kwaliteit van zowel het proces als het eindproduct hangt volledig af van de kennis en kunde van de medewerkers. Een onderneming belandt op het tweede niveau (herhaalbaar) wanneer een proces vaker is doorlopen en men meer controle krijgt over kosten en kwaliteit van de eindproducten. In niet veranderende omstandigheden kunnen processen succesvol worden herhaald. Op het derde niveau (gedefinieerd) zijn alle activiteiten in een proces gedefinieerd, gestandaardiseerd en gedocumenteerd en zijn eisen gesteld aan invoer en uitvoer van deelprocessen. Hier kan management zich bewust aanpassen aan veranderende omstandigheden en is de basis gelegd om te werken aan continue verbetering van processen. Het vierde niveau (beheerst) wordt bereikt als processen niet alleen zijn gedefinieerd maar ook kunnen worden beheerst, geëvalueerd en aangepast. Het vijfde niveau (leren) is voortdurend gericht op verbetering van processen, die nu continu worden gemonitored en waar nodig bijgesteld. Ook wordt geïnnoveerd en geïnvesteerd in nieuwe technologieën, die de kwaliteit van het proces verbeteren. Met uitzondering van het eerste niveau, is elk volwassenheidsniveau (maturity level) in het CMM opgebouwd uit een aantal ‘sleutelprocesgebieden’ (key process areas). Elk sleutelprocesgebied heeft een aantal doelen (goals) en een aantal samenhangende activiteiten (key practices) om de doelen te bereiken. Om processen te kunnen verbeteren, schrijft CMM voor dat de activiteiten herhaalbaar moeten worden gemaakt. Om herhaalbaarheid te bereiken moeten in een organisatie vijf groepen activiteiten worden uitgevoerd: • Commitment to perform: dit zijn activiteiten gericht op het committeren van de organisatie aan het uitvoeren van het sleutelprocesgebied. Hierdoor krijgt het proces een plaats in de organisatie. Voorbeeld van een dergelijke activiteit is het vaststellen van een beleid. • Ability to perform: deze activiteiten zijn gericht op het mogelijk maken van het sleutelprocesgebied. Deze activiteiten moeten ervoor zorgen dat er budget beschikbaar is, dat informatiebronnen kunnen worden geraadpleegd en dat werknemers hun kennis kunnen vergroten en worden opgeleid.
de EDP-Auditor nummer 1 2005
• Activities performed: dit zijn de primaire activiteiten van het proces zelf. Hieronder vallen bijvoorbeeld het maken van plannen, procedures en tijdschema’s, het daadwerkelijk uitvoeren van maatregelen en dit proces in de gaten houden en waar nodig bijsturen. • Measurement and analysis: activiteiten gericht op het meten en het analyseren van die metingen, teneinde de voortgang en kwaliteit van processen in kaart te brengen. • Verifying implementation: deze activiteiten dienen ervoor om te zorgen dat het proces geborgd wordt in de organisatie en daarnaast datgene doet, wat ervan wordt verwacht. Zo moet een proces bijvoorbeeld regelmatig worden geëvalueerd, om te zorgen dat het aansluit bij andere processen in de organisatie. Informatiebeveiliging bij GGZ Regio Breda bevindt zich volgens dit model op het initiële niveau: informatiebeveiliging is ad-hoc benaderd, zonder de werkwijze van tevoren eenduidig vast te leggen. Gedurende het project is de projectgroep tot bepaalde inzichten gekomen en zijn vragen gerezen, die moesten worden beantwoord. Op basis van deze indeling is voor GGZ Regio Breda bepaald welke activiteiten moeten worden verricht om het informatiebeveiligingsproces op gang te brengen. Het nemen van beveiligingsmaatregelen wordt in dit proces als hoofdactiviteit (activities performed) gezien. Dit heeft geleid tot het vaststellen van twee activiteiten in het onderdeel ‘Commitment to perform’ en vijf activiteiten in ‘Ability to perform’. Activiteiten als onderdeel van ‘Commitment to perform’ zijn in de GGZ: • Goedkeuren beleid. Voor iedereen in de organisatie moet duidelijk zijn wat de organisatie met informatiebeveiliging wil bereiken en op welke manier dat gaat gebeuren. Hiervoor is het informatiebeveiligingsbeleid opgesteld en moet door de Raad van Bestuur worden goedgekeurd, zodat de basis voor informatiebeveiliging is vastgesteld. • Toewijzen verantwoordelijkheden. Na vaststelling door de Raad van Bestuur, moeten de circa twintig lijnmanagers worden geïnformeerd over het informatiebeveiligingsbeleid in een informatiebijeenkomst. Omdat GGZ Regio Breda gebruikmaakt van integraal management zijn diverse managers verantwoordelijkheid voor de processen in de eigen dienst. Zij moeten in bijeenkomsten, in plannen en in functiebeschrijvingen gewezen worden op hun verantwoordelijkheden met betrekking tot informatiebeveiliging. Zij zijn ook verantwoordelijk voor motivatie van medewerkers en zien toe op de naleving van regels en richtlijnen voor informatiebeveiliging voor het rapporteren van incidenten. Activiteiten die vallen onder ‘ability to perform’ zijn in de GGZ:
• Te nemen maatregelen selecteren, zoals hierboven eerder is beschreven. • Eigenaar bepalen per maatregel. De eigenaar van een maatregel is de manager van het organisatieonderdeel, waar de maatregel logischerwijs onder valt. Zo zullen maatregelen op technisch gebied terecht komen bij het hoofd Automatisering en maatregelen rond invoering en bewaking van fysieke beveiligingsmaatregelen bij het hoofd Huisvesting & Techniek. • Opnemen in werkplannen. De GGZ Regio Breda stelt jaarlijks in oktober de werkplannen en budgetten vast per afdeling voor het komende jaar. Beveiligingsmaatregelen waar tijd en geld voor nodig zijn, moeten ook worden opgenomen in de werkplannen (maatregelen die getroffen moeten worden ter herstel van een incident vormen hierop uiteraard een uitzondering). De eigenaren van de maatregelen zijn verantwoordelijk voor het opnemen van door hen uit te voeren maatregelen in de werkplannen. • Communiceren. Voordat maatregelen worden genomen die ingrijpen in de manier van werken van medewerkers, moet over de maatregelen worden gecommuniceerd. Dit zal vaak andere voorlichting zijn dan de eerder genoemde voorlichting voor leidinggevenden. Allereerst zal informatiebeveiliging breed moeten worden geïntroduceerd, met een rol voor PR & Communicatie en managers van de diverse afdelingen. Werkoverleg, posters en intranet kunnen bijdragen aan de bewustwording van informatiebeveiliging. De eigenaren van maatregelen zijn verantwoordelijk voor de communicatie van ‘hun’ maatregelen. • Coördineren. Alle informatiebeveiligingsmaatregelen die worden genomen, worden centraal opgenomen in een beveiligingsplan, waarin per maatregel is vermeld wie eigenaar is en de globale tijdplanning voor invoering. Het overzicht van maatregelen wordt gebruikt om de voortgang te controleren en maatregelen te evalueren. Hoewel de verantwoordelijkheden voor informatiebeveiliging bij de diverse managers liggen, zal iemand het totale proces moeten bewaken. GGZ Regio Breda stelt daarvoor een medewerker aan die het aanspreekpunt is voor informatiebeveiliging, waar incidenten gemeld kunnen worden, die het proces coördineert en hierin initiatieven neemt.
Conclusies Organisaties in de gezondheidszorg zijn sterk in ontwikkeling door toename van automatisering en samenwerking tussen instellingen. Hierdoor stijgt ook de behoefte aan informatiebeveiliging. Toepassing van de Code voor Informatiebeveiliging in zorgorganisaties leidt echter tot een zodanig groot aantal benodigde ingrepen dat een
25
26
de EDP-Auditor nummer 1 2005
nadere prioriteitenstelling en een meer planmatige aanpak van beveiliging noodzakelijk is. In dit artikel wordt hiervoor een methode beschreven en worden concrete aanbevelingen gedaan voor duurzame implementatie van informatiebeveiliging in zorgorganisaties. De methode is ontwikkeld in een onderzoek naar verbetering van informatiebeveiliging bij de GGZ Regio Breda. De probleemstelling ‘Hoe kan de organisatie het niveau van informatiebeveiliging in kaart brengen en groeien naar een hoger niveau van informatiebeveiliging?’ bestaat eigenlijk uit twee vragen: (1) ‘hoe breng je het niveau in kaart?’ en (2) ‘hoe kun je groeien naar een hoger niveau?’.
niveau van informatiebeveiliging inzichtelijk maken, zodat zij risico’s kan onderkennen en maatregelen kan nemen. Aan de hand van het beschreven proces kan GGZ Regio Breda voortdurend werken aan een hoger niveau van informatiebeveiliging, zoals zij ook voortdurend werkt aan de verbetering van de organisatie. Literatuur [BREE94]
Breed, N.F., D.J. Out en O. Tettero (Telematica Research Centrum), (1994), Informatiebeveiliging: een blik achter de schermen, Samsom BedrijfsInformatie, Alphen aan den Rijn/Zaventem.
[DORR02] Dorr, D. en J. Zuidema, (2002), Werken met het INK-managementmodel, Kluwer Bedrijfsweten-
Voor beantwoording van de eerste vraag is de Code gecombineerd met het veel gebruikte INK-managementmodel. De 36 doelen van de Code kunnen op basis van de bijbehorende maatregelen worden ondergebracht in vier organisatiegebieden van het INK-model. Voor GGZ Regio Breda zijn 29 noodzakelijke maatregelen onderkend en is vastgesteld dat een basisniveau van informatiebeveiliging ontbreekt. Dit is niet verrassend, aangezien informatiebeveiliging een relatief nieuw thema is in de zorgsector. Analyses bij soortgelijke instellingen laten een zelfde beeld zien. Het niveau van informatiebeveiliging is relatief eenvoudig in kaart te brengen, hoewel de Code voor Informatiebeveiliging door zijn omvang veel werk met zich meebrengt.
schappen, Deventer. [INST04]
Instituut Nederlandse Kwaliteit, http://www.ink.nl, 2004.
[JENT04]
Jentjens, V. en M. de Graaf, (2004), Geïntegreerde informatiebeveiliging, Uitgeverij Lemma, Utrecht.
[MEIJ04]
Meijer, W., (2004), Norm voor informatiebeveiliging: wat kunnen artsen verwachten?, http://www.knmg.nl, Utrecht, mei 2004.
[NEDE00] Nederlands Normalisatie-instituut, (2000), Code voor Informatiebeveiliging: een leidraad voor beleid en implementatie, Delft. [OVER98] Overbeek, P.(1998), Een vertrouwensbasis voor informatiebeveiliging, in: Compact, nummer 5, mei, pp. 27-32. [OVER00] Overbeek, P., E. Roos Lindgreen en M. Spruit,
Voor beantwoording van de tweede vraag is een selectie gemaakt van te nemen maatregelen omdat het nemen van 29 maatregelen onuitvoerbaar is. Twaalf maatregelen zijn geselecteerd op basis van schattingen van de kosten en effecten per maatregel en de ernst van het risico waar de maatregel voor dient. Invoering van de twaalf maatregelen leidt tot een basisniveau informatiebeveiliging, maar daarmee is het einddoel nog niet bereikt. Met behulp van de PDCA-cyclus in het INK-managementmodel zijn de twaalf maatregelen ondergebracht in een herhaalbaar proces. Zo moeten onder andere risico’s regelmatig worden geïnventariseerd, moeten informatiebeveiligingsmaatregelen worden geselecteerd, een eigenaar toegewezen krijgen, worden uitgevoerd en geëvalueerd. Op deze wijze worden vier essentiële maatregelen van de Code gewaarborgd: (1) vastleggen doelstellingen voor beveiliging, (2) toewijzen verantwoordelijkheden voor informatiebeveiliging, (3) opleiden en trainen van gebruikers en (4) rapporteren en afhandelen van beveiligingsincidenten.
(2000), Informatiebeveiliging onder controle, Pearson Education Uitgeverij BV, Amsterdam. [PIJL97]
Pijl, G.J. van der, J.G. Verrijdt en G.P.J. Swinkels, (1997), ISO 9000 versus CMM: Standardization and certification of IS development. Information & Management (32), p. 267-274
[PARD03] Pardous, R., (2003), Beveiliging treft hele organisatie, in: Computable, nummer 44, oktober, p. 29. [PRAA02] Praat, J.C. van, en J.M. Seurink, (2002), Inleiding EDP-auditing, ten Hagen & Stam, Den Haag. [ROES03] Roest, G. de, P. Dijckmans en R. Havermans, (2003), Een kwaliteitsbenadering voor blijvende effectiviteit van Security Management, in: de EDPAuditor, nummer 3, pp. 6-16. [SMIT99]
Smits, M.T. en G.J. van der Pijl, Developments in hospital management and information systems. IEEE proceedings of HICSS (ed: R. Sprague), 1-9. Los Alamitos, California.
Noot 1 Integraal management betekent dat elke manager verant-
Tot slot kan worden gesteld dat met de beantwoording van de twee vragen het doel van dit onderzoek bereikt is: GGZ Regio Breda kan aan de hand van een model het
woordelijk is voor personeel, middelen, kwaliteit, productie en communicatie binnen de eigen afdeling.