Over informatiebeveiliging en NEN 7510 in de zorg
VERPLICHT NUMMER OF MANAGEMENTUITDAGING
Minisymposia
Tijdens de minisymposia van M&I/Partners staan informatieoverdracht en uitwisseling van ervaringen tussen klanten en adviseurs centraal. Regelmatig brengt M&I/Partners naar aanleiding van een minisymposium een samenvattende publicatie uit. De cases die in deze publicaties beschreven zijn, kunnen tot inspiratie dienen in uw dagelijkse ICT-praktijk.
‘Verplicht nummer of managementuitdaging? – Over informatiebeveiliging en NEN 7510 in de zorg’ is onderdeel van een reeks publicaties over toonaangevende ICTprojecten waaraan M&I/Partners heeft bijgedragen.
Ter introductie
Informatiebeveiliging is onlosmakelijk verbonden met patiëntveiligheid: beh an d e laars (en met h e n de patiënten) moeten erop ku n n e n vertrouwen dat ze steeds toegang h e b b e n tot de juiste, actuele informatie. Maar informatiebeveiliging e n patiëntveiligheid kunn e n elkaar ook lelijk in de weg zitten, omdat e r een spanningsveld is tussen privacy van de patiënt e n beschikbaarheid van informatie. Immers, vertrouwelijke gegevens mogen toch niet ‘zomaar ’ toegankelijk zijn? >
/3
4/
Ter introductie
Kortom: het voeren van het juiste informatiebeveiligingsbeleid in een zorginstelling vraagt continu om het afwegen van belangen, om balanceren. Dat maakt informatiebeveiliging in de zorg tot veel m e e r d a n een verplicht n u m m e r. Met ‘doen omdat het moet’ doen we informatiebeveiliging d a n ook beslist te kort. De deelnemers a a n het minisymposium Informatiebeveiliging: verplicht n u m m e r of managementuitdaging? , dat M&I/Partners op 25 januari 2010 in Slot Zeist hield, ware n het d a a r ro e re n d m e e eens. De centrale vraag luidde: hoe kunt u als zorgverlener de informatiebeveiliging zo op orde krijgen, dat u de patiëntveiligheid én de privacy kunt garan d e re n ? Deze publicatie biedt een beknopte weergave van het minisymposium, waarin de sprekers elk vanuit h u n eigen optiek de thema’s rondom informatiebeveiliging bespreken: Jankees Cappon (Alysis Zorggroep) vanuit zijn rol als bestuurder, J a n Willem Schoemaker (Erasmus MC) vanuit zijn rol als security officer, J a n Vesseur (Inspectie voor de Gezondheidszorg) vanuit zijn rol als toezichthouder en Patrick van Eekeren (M&I/Partners) vanuit zijn rol als adviseur.
/5
Wij hopen dat dit boekje u inspiratie biedt om hernieuwd n a a r de informatiebeveiliging binnen uw organisatie te kijken. M&I/Partners Patrick van Eekeren
Joren Roelofs
Edwin Mooij
Partner
Adviseur
Geassocieerd principal adviseur
6/
Inhoud
1
Informatiebeveiliging is wél uitdagend / pagina 7
2
Informatiebeveiliging is balanceren / pagina 17
3
Informatiebeveiliging: verplicht nummer én managementuitdaging / pagina 23
INFORMATIEBEVEILIGING IS WÉL UITDAGEND
8/
Hoofdstuk I
Informatiebeveiliging wordt vaak gezien als een bureaucratische exercitie: een noodzakelijk kwaad, een verzekeringspremie die zich terugbetaalt in slechte tijden. De oorzaak? In veel organisaties komt de roep om informatiebeveiliging vanuit de ICT-afdeling. De rest van de organisatie er vaart de (technische) maatregelen e e rd e r als hinderlijk. Het beveiligen van informatie is d a n niet m e e r d a n een verplicht n u m m e r. De afdeling ICT wil het, of het moet van de Inspectie. De werkelijkheid zou een a n d e re moeten zijn.
Informatiebeveiliging is wél uitdagend
/9
Patrick van Eekeren betoogt in zijn inleiding dat informatiebeveiliging binnen het ziekenhuis juist wel een aantrekkelijk th ema is, dat tot de verbeelding k a n spreken en spannende dimensies kent. Informatiebeveiliging verhoogt immers de kwaliteit van de informatie en leidt d a a r m e e tot betere zorg. Informatiebeveiliging is nodig om situaties te voorkomen die een ernstige impact hebben op de organisatie en die kunnen zorgen voor aanzienlijke reputatieschade. Zo komt een ziekenhuis w a a r het EPD of een a n d e r deel van de informatievoorziening door een computervirus niet functioneert, al snel op een negatieve ma n ier in de publiciteit. Tot slot: informatiebeveiliging spreekt tot de verbeelding omdat het veel vraagt van de creativiteit om men s en te bewegen tot een a n d e r gedrag.
Informatiebeveiliging is een proces Informatiebeveiliging is een managementuitdaging omdat er een procesmatige inrichting voor nodig is. Het kent geen einddoel, want de organisatie blijft in beweging. De bedreigingen w a a r a a n uw organisatie worden blootgesteld veranderen, evenals de bedrijfsprocessen en de ICTvoorzieningen. Maar er is nog een r ed en om informatiebeveiliging als een proces te zien: veilige informatie is onlosmakelijk verbonden met patiëntveiligheid. J a n Vesseur b en a drukt niet voor niets dat veilige informatie essentieel is voor de veiligheid van de patiënt. Wie een patiënt behandelt, moet er zeker van zijn dat hij beschikt over de juiste gegevens.
10 /
Hoofdstuk I
Hoe geef je informatiebeveiliging procesmatig vorm? Het procesmatig vormgeven van de informatiebeveiliging vergt een gecoördin eer d e inspanning van de organisatie. Deze ta a k k a n door de eindverantwoordelijke binnen de Raad van Bestuur gedelegeerd worden a a n een information security officer. J a n Willem Schoemaker geeft a a n hoe de information security officer de spin in het web k a n zijn tussen ICT, lijnmanagement en de rest van de organisatie. Een en a n d e r in n a u we afstemming met de eindverantwoorde lijke binnen de Raad van Bestuur. Maar alleen het instellen van een information security officer is uiteraard onvoldoende; iedereen in de organisatie heeft een eigen rol en verantwoordelijkheid op het gebied van informatiebeveiliging. Het is de ta a k van het lijnmanagement om erop toe te zien dat iedereen die rol n a a r behoren vervult. Omdat informatiebeveiliging breed gedragen moet wo rden, is het wenselijk om een verbinding te ma k en met een h er k en b a a r thema: de patiëntveiligheid. Jankees Cappon beschrijft wat hij zelf het veiligheidshuis van Alysis noemt: een bestuurlijk model dat invulling geeft a a n informatiebeveiliging. Het huis laat zien dat de (veiligheids)cultuur het fundament is. De drie pijlers zijn: leren van incidenten, inventariseren van mogelijke risico’s en toepassen van best practices. De pijlers ondersteunen het dak: het managementinformatie systeem. Door informatiebeveiliging regelmatig op de bestuursagen da te zetten, blijft er a a n d a ch t voor het onderwerp. Jankees Cappon h a n teer t daarbij de a a n pak van de drie V’s: volhouden, volhouden en volhouden.
/ 11
Informatiebeveiliging is wél uitdagend
Veiligheidshuis Alysis managementinformatiesysteem
retrospectieve incidenten analyse
retrospectieve risicoinventaristie
best practices
(veiligheids)cultuur
Informatiebeveiliging moet groeien Een belangrijke boodschap van J a n Willem Schoemaker: kijk b r ed er d a n de eigen organisatie. Leer van best practices en n eem kennis van onderzoeken en ontwikkelingen in de markt. Ook participatie in kennisgroepen k a n leiden tot verbetering van de informatieveiligheid. Het Erasmus MC werkt om die r ed en s a m en met a n d er e UMC’s. Jankees Cappon voegt d a a r a a n toe hoe het melden van incidenten helpt bij het leer- en groeiproces. Leren van fouten gaat echter niet vanzelf. Op bestuurlijk niveau is het nodig dat informatiebeveiliging helder op het netvlies van de bestuurder blijft staan. Jankees Cappon benoemt een groeiproces met drie volwassenheidsniveaus om te komen tot een verbeterde informatiebeveiliging: implementeren, integreren
12 /
Hoofdstuk I
en internaliseren. Vanuit het implementeren van informatiebeveiligingsbeleid volgt het integreren ervan in de dagelijkse wer k za a mh ed en en processen. Het laatste volwassenheidsniveau is het niveau waarin gewenst handelen geïnternaliseerd is. De organisatie heeft d a n een ontwikkeling doorgemaakt van ‘onbewust onbekwaam’ n a a r ‘onbewust bekwaam’. Patrick van Eekeren benadrukt dat informatiebeveiliging continu, stap voor stap verbeteren vergt. Het doorlopen van het proces volgt de stappen uit de Deming-cirkel: Plan> Do> Check> Act. Na de implementatie van een set beveiligingsmaatregelen is een organisatie niet klaar. De organisatie verandert constant en er zijn altijd mogelijkheden om te verbeteren. Regelmatig moet een organisatie terugkeren n a a r h a a r informatiebeveiligingsbeleid en zichzelf een spiegel voorhouden. Ook een externe audit k a n bijdragen a a n dit groeiproces.
Informatiebeveiliging is mensenwerk Informatiebeveiliging in de zorg draait om mensen. Als er iets mis is met de medische informatie, zijn patiënten de dupe. J a n Willem Schoemaker: ‘Als er bij ons iets misgaat, bijvoorbeeld de verwisseling van een bloedgroep, d a n k a n dat levens kosten. In veel a n d er e sectoren zijn de gevolgen minder groot.’ Tegelijk is de men s vaak de zwakke schakel in informatiebeveiliging. Niet alleen de medewerkers, m a a r ook de patiënten in het ziekenhuis kunnen een bedreiging vormen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de medische informatie.
Informatiebeveiliging is wél uitdagend
/ 13
Maar n a a s t de grootste bedreiging is de men s ook de sterkste troef om de beveiliging van informatie te verbeteren. In de zorg werken professionals die het beste voor hebben met h u n patiënten. Door h u n oplettendheid worden fouten voorkomen. Medewerkers in de zorg kun je dus definiëren als het belangrijkste ‘vangnet’. Zij moeten zich d a n wel bewust zijn van h u n rol in het proces dat informatiebeveiliging is.
Meer dan techniek Bij informatiebeveiliging draait het dus om mensen. Dit betekent dat de organisatie het met alleen technische maatregelen niet redt. Omdat veel organisaties informatiebeveiliging vanuit de techniek inzetten, blijft de menselijke component in veel gevallen onderbelicht. Va a k trekt de ICT-afdeling de k a r en is het veiligheidsbewustzijn in de overige delen van de organisatie gering. Het beeld van een d eu r met twintig sloten, die helaas vaak gewoon wagenwijd open staat, dringt zich op. Door n a d r u k op de techniek ontstaat er een schijnveiligheid, of zoals J a n Vesseur het stelt: ‘Er wordt vaak gedacht dat wij met ICT de veiligheid vergroten, m a a r helaas zijn deze verwachtingen veel te hoog gespannen .’ Bijvoorbeeld bij een medicatiebewakingssysteem: men gaat er heel snel van uit dat het systeem goed functioneert, m a a r dit is lang niet altijd het geval. ‘In de farmaceu tische industrie worden ICT-systemen gevalideerd voordat het productieproces van geneesmiddelen wordt goedgekeurd, m a a r onze ICTsystemen fietsen we zonder validatie het ziekenhuis in.’, aldus J a n Vesseu r. Dit wil natuurlijk niet zeggen dat de techniek geen onderdeel is van de informatiebeveiliging. De techniek moet in orde zijn, m a a r informatiebeveiliging is veel meer d a n dat.
14 /
Hoofdstuk I
Cultuur is de sleutel Als techniek niet zaligmakend is, wat is er d a n nodig om de informatiebeveiliging op niveau te brengen en te houden? Cultuur is de sleutel. De organisatie moet streven n a a r een cultuur waarin iedereen op een bewuste en bekwame wijze met informatiebeveiliging omgaat. En met ‘iedereen’ wordt ook echt iedereen bedoeld. Een ieder heeft namelijk een rol bij informatiebeveiliging, zoals Patrick van Eekeren betoogt. De beveiliger a a n de deur, de bestuurder a a n het roer, de a r ts op de poli, de ICT-er in de serverruimte en zelfs de patiënt op het spreekuu r. Veilig gedrag moet vanzelfsprekend worden, aldus Patrick van Eekeren: ‘Informatiebeveiliging is net als het wassen van je h a n d en voor een operatie of het ontsmetten van je chirurgisch gereedschap .’ Op ICT-terrein moet die vanzelfsprekendheid er ook zijn, bijvoorbeeld bij het valideren van de werking van medische systemen. Maar hoe kom je tot een ziekenhuisbrede cultuur van veilig gedrag? Het ma n a gemen t speelt d a a r in een belangrijke rol.
De rol van management en bestuurder Het is de ta a k van de ma n a ger om het th ema informatiebeveiliging een plaats in de organisatie te geven. Bewustwording is de eerste stap om tot veilig gedrag te komen. Jankees Cappon: ‘Begin niet meteen met een sanctiebeleid, dat zet kwaad bloed. Start met een respectvolle confrontatie van onveilige situaties.’ Hij pleit ervoor om de medewer k ers op een aansprekende ma n ier te wijzen op onveilige situaties in het ziekenhuis. Dit illustreert J a n Willem Schoemaker met enkele bewustzijnsvideo’s.
/ 15
Informatiebeveiliging is wél uitdagend
Hoe pak je aan
Wat vraag je Commitment < Will/drive
Inspiratie > Geloof
< Acceptatie
Persoonlijke motieven > Begrip Kennis, inzicht >
< Open houding Bewust
Respectvolle confrontatie >
< Bereidheid tot luisteren Onbewust
Bron: ‘Stairway to commitment’ van Jan van Setten, managementcoach.
Als dit bewustzijn een ma a l is gecreëerd, d a n k a n de volgende stap op de ‘commitment-ladder’ worden gezet. Uiteindelijk moet de medewer k er een gecommitteerd onderdeel vormen van een veilige cultuur in het ziekenhuis. Om dit te bereiken kunnen tal van middelen worden ingezet, zoals posters, folders, personeelsblad, introductiegesprekken.
INFORMATIEBEVEILIGING IS BALANCEREN
18 /
Hoofdstuk II
Informatiebeveiliging inrichten en in stand houden vraagt m e e r d a n alleen het n e m e n van m a a t regelen. Het is balanceren op verschillende vlakken, tussen maatregelen en gebruiksvriendelijkheid, tussen kosten en risico’s en tussen patiëntveiligheid en privacybescherming. Dit alles m a a kt informatiebeveiliging tot een uitdagend managementproces.
Informatiebeveiliging is balanceren
/ 19
Wie verantwoordelijk is voor informatiebeveiliging, m a a k t voortdurend afwegingen, zoals: Wa t vormt een bedreiging voor mijn informatie en welke risico’s volgen daaruit? Welke risico’s accepteer ik wel en welke niet? Wa t voor maatregelen moet ik treffen? Welke maatregelen accepteren mijn medewerk er s? Wa t kosten de maatregelen en wegen de kosten op tegen de risico’s? Welke wettelijke plichten hebben we en wat mogen we juist niet?
Om de juiste balans te vinden, is het noodzakelijk om een goed inzicht te krijgen in de risico’s die de organisatie loopt. Een risicoanalyse vormt hiervoor een belangrijk vertrekpunt.
De balans tussen risico’s lopen en maatregelen nemen Zonder een gestructureerde risicoanalyse weet de organisatie niet welke bedrijfsprocessen afhankelijk zijn van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. In een dergelijke situatie zijn evenmin de relevante bedreigingen bekend, waardoor een passend niveau van maatregelen onmogelijk te definiëren is. Kortom: het proces van informatiebeveiliging is stuurloos. Daarom is het belangrijk om het traject te starten met een degelijk uitgevoerde risicoanalyse. Als de risico’s in k a a r t zijn gebracht, begint het balanceren: immers niet elk risico k a n volledig geëlimineerd worden. Dit is praktisch niet uitvoerbaar, onbetaalbaar en dus niet zinnig. Welke risico’s wil en k a n de
20 /
Hoofdstuk II
organisatie accepteren en welke niet? Door deze keuzes te motiveren in een risicoprofiel zijn de restrisico’s van de organisatie onderkend en vastgesteld. Deze zijn actief te beheersen. Volgens J a n Vesseur wordt een checklist op basis van de NEN 7510 vaak ten onrechte als een risicoanalyse gebruikt. Op basis van de NEN 7510 k a n wel worden vastgesteld welke onderwerpen uit de n o r m geadresseerd zijn in een ziekenhuis. Dit heeft echter niets te ma k en met de specifieke risico’s die een organisatie loopt. Door simpelweg de n o r m als checklist te gebruiken worden deze risico’s ook niet inzichtelijk. De kans bestaat dat er veel energie wordt gestoken in het elimineren van risico’s die er niet zijn. Een verspilling van tijd en geld.
De balans tussen maatregelen en gebruiksvriendelijkheid De vraag of, en zo ja welke, maatregelen nodig zijn, k a n niet alleen beantwoord worden door vast te stellen welke risico’s o n a a n v a a r d b a a r zijn. Zorg wordt geleverd door mensen. Bij de selectie van maatregelen zal d a n ook altijd rekening moeten worden gehouden met de praktische werkbaarheid. Als verpleegkundigen tijdens h u n ronde bij elke patiënt opnieuw moeten inloggen, gaat dat ten koste van de toch al beperkte tijd die zij p er patiënt hebben. Dat ongemak k a n behoorlijke veiligheidsrisico’s met zich meebrengen: gebruikers ga a n (veiligheids)ontwijkingsgedrag vertonen. Bijvoorbeeld door dossiers open te laten s ta a n als ze vinden dat het te lang d u u r t om in te loggen. Een lastig dilemma tekent zich af: onwerkbare maatregelen bedreigen de veiligheid,
Informatiebeveiliging is balanceren
/ 21
m a a r geen maatregelen n emen is natuurlijk ook geen optie. J a n Willem Schoemaker benadrukt: ‘Het is constant een balans zoeken tussen ma a tr ege len en bruikbaarheid in het zorgproces. Hier zit een spanningsveld, het is een kwestie van constant aftasten.’
De balans tussen kosten en risico’s Het vinden van de juiste balans tussen risico’s en kosten is evenmin eenvoudig. De kosten zijn goed in k a a r t te brengen, m a a r in welke ter men drukken we de baten uit? En hoe verhouden die zich tot de kosten? Een hogere veiligheid, een lagere kans op imagoschade en minder uitval: wat ma g het kosten? Veiligheid gaat voor alles, zeker als die veiligheid betrekking heeft op patiënten. Maar men en we dat echt? Zijn we bereid die lijn consequent te volgen, door (onevenredig?) veel geld uit te geven om ook dat laatste beetje extra veiligheid te g a r a n d eren ? Kortom: de vraag is wa n n e er uw informatiebeveiliging goed genoeg is. Honderd procent veiligheid bestaa t immers niet. Extra investeren om de veiligheid te vergroten blijft dus altijd een afweging tussen risico’s en kosten.
De balans tussen patiëntveiligheid en privacybescherming Medische gegevens zijn vertrouwelijk. Ze dienen vanuit het oogpunt van privacy slechts beperkt toegankelijk te zijn: alleen personen met een behandelrelatie hebben recht om de gegevens over patiënten in te zien. Dit beperkte toegangsrecht k a n een bedreiging vormen voor de patiëntveiligheid.
22 /
Hoofdstuk II
J a n Vesseur: ‘Privacybescherming k a n de patiëntveiligheid bedreigen als de beschikbaarheid van medische gegevens d a a r d oo r beperkt wordt.’ Hij doelt op het feit dat een zorgverlener te allen tijde bij de medische gegevens moet kunnen, zeker wa n n eer spoed is vereist. Het spanningsveld tussen privacy en de beschikbaarheid van informatie bestond overigens ook al in het papieren tijdperk, m a a r toen ma a k te men zich er minder d r u k om. Jankees Cappon spreekt van een schijnprobleem. De oplossing is volgens h em simpel. De wijze wa a r o p je met autorisaties dient om te gaan, vat hij s a men met: van binnen breed en van buiten smal. Binnen de instelling moet de informatie breed toegankelijk zijn: alle zorgverleners moeten relatief eenvoudig toegang hebben tot medische informatie en deze ook kunnen aanvullen. Hierbij berust de zorg voor de vertrouwelijkheid van de informatie bij de zorgverleners; zij raadplegen alleen informatie van eigen patiënten en dus niet van patiënten w a a r m e e ze geen behandelrelatie hebben. Va n buiten smal wil zeggen dat medische informatie buiten de instelling alleen toegankelijk is onder strikte voorwaarden en geborgd wordt door technische, organisatorische en procedurele maatregelen. Jankees Cappon verwijst in dit verband ook n a a r het heldere rapport ‘Gewoon doen’ van de Commissie Veiligheid en Persoonlijke Levenssfeer onder voorzitterschap van Annie Brouwer. Het rapport kiest een pragmatische insteek en geeft heldere criteria voor de afweging tussen privacy en veiligheid.
INFORMATIEBEVEILIGING: VERPLICHT NUMMER ÉN MANAGEMENTUITDAGING
24 /
Hoofdstuk III
Het antwoord is: beide, hoewel de sprekers informatiebeveiliging toch vooral zien als m a n a ge me nt uitdaging. Helemaal ontkomen a a n het etiket ‘verplicht nummer ’ doet informatiebeveiliging echter ook we e r niet, gezien de verplichtingen die voortkomen uit de sectornorm NEN 7510 en het voorschrijvende en toetsbare ka ra kte r van de NEN 7511-1. Ook het voldoen a a n de Wet Bescherming Persoonsgegevens speelt hier een rol. Los van alle verplichtingen is informatiebeveiliging volgens de sprekers nodig omdat het de basis legt voor een veilige patiëntenzorg. Veilige zorg vormt n u eenmaal het bestaansrecht van een zorginstelling.
Informatiebeveiliging: verplicht nummer én managementuitdaging
/ 25
Dit sluit a a n bij de ta a k van de Inspectie voor de Gezondheidzorg, namelijk toezien op het leveren van verantwoorde zorg. In het verlengde hiervan verwacht de Inspectie in 2010 van elk ziekenhuis een onafhankelijke beoordeling van de informatiebeveiliging. Om ziekenhuizen hierin te ondersteunen, werkt de Nederlandse Vereniging voor Ziekenhuizen s a men met de algemene en academische ziekenhuizen a a n een format voor de sector. Een initiatief w a a r M&I/Partners bij betrokken is. J a n Vesseur is d a a r positief over: ‘Als de sector met één format komt en hieruit blijkt een voldoende niveau van informatiebeveiliging, d a n zal de Inspectie hiermee instemmen .’ Dat informatiebeveiliging hoe d a n ook een managementuitdaging is, blijkt duidelijk uit de geadress eerd e thema’s: Informatiebeveiliging draait om het gedrag van mensen, dat alleen al ma a k t het uitdagend. Daarnaast vergt het constant balanceren om de juiste keuzes te ma k en en te implementeren. Dit k a n alleen als informatiebeveiliging wordt gezien als een proces.
En om dit alles realiseerbaar te maken, k a n het geen kwaad om het imago van informatiebeveiliging op te poetsen. Volgens Patrick van Eekeren moet informatiebeveiliging weer sexy worden. J a n Willem Schoemaker plaatst hier wel een kanttekening bij: ‘Informatiebeveiliging k a n d a n wel sexy zijn, het vereist wel bloed, zweet en tr a n en .’
26 I
Hoofdstuk I I I
/ 27
Over M&I/Partners M&I/Partners acteert op het snijvlak van organisatieinrichting en informatievoorziening. M&I/Partners is een onafhankelijk adviesbureau met ruim zestig adviseurs. Kernthema’s in de zorg zijn: • EPD-strategie en –implementatie • regionale (keten)samenwerking • ICT-strategie, -management en –sourcing • kosten en baten van ICT, inclusief ICT Benchmarking • informatiebeveiliging
M&I/Partners bv Sparrenheuvel 32 3708 JE Zeist Postbus 477 3700 AL Zeist T (030) 2 270 500
[email protected] www.mxi.nl Uitgave M&I/Partners, april 2010
Informatiebeveiliging in de zorg Informatiebeveiliging is meer dan alleen het uitvoeren van een set maatregelen uit een beveiligingsplan, meer dan alleen het opstellen van een informatiebeveiligingsbeleid. Informatiebeveiliging is een randvoorwaarde voor het zorgproces en uiteindelijk het leveren van verantwoorde zorg. Hierdoor is informatiebeveiliging geen eenmalige exercitie, maar een continu proces dat geborgd dient te worden binnen de zorginstelling. Wij ondersteunen zorgaanbieders bij het formuleren van het informatiebeveiligingsbeleid, het uitvoeren van business-impactanalyses, het opstellen van risicoanalyses, het inrichten van identity en access management en het prioriteren en implementeren van beveiligingsplannen. Specifiek rond de NEN 7510 voeren wij quick scans en externe audits uit. Kijk voor meer informatie op onze website www.mxi.nl of neem contact met ons op.
© M&I/Partners, april 2010 Overname uit deze publicatie is alleen toegestaan met bronvermelding en na melding aan M&I/Partners.
Basistekst Joren Roelofs, adviseur M&I/Partners Erik Samson, partner M&I/Partners Coördinatie Linda van Groos, communicatiemedewerker M&I/Partners Journalistieke bewerking Saffraan Communicatieprojecten, Beesd Ontwerp Volta_ontwerpers, Utrecht Druk Zetprint BV, Naarden
