Verslag Ronde Tafel Identity- en Accessmanagement 16 september 2010 Op 16 september jl. organiseerden O&i, SmartAIM en PwC een Ronde Tafelbijeenkomst rondom het thema Identity- en Accessmanagement in de zorg. We bespraken onder andere wat de voorwaarden zijn voor een succesvolle implementatie van Identity- en Accessmanagement. De invoering van een softwarepakket is hierbij niet de oplossing. Sterker nog: dat is slechts 20% van het geheel. De weg naar een succesvolle implementatie wordt vooral bepaald door een goed zicht op de processen met taken, verantwoordelijkheden en bevoegdheden, maar ook de cultuuraspecten in een organisatie spelen een grote rol. De succesvolle implementatie bij het Bronovo Ziekenhuis diende tijdens de bijeenkomst als praktijkcase. Wilfred Reinhard, Informatiemanager bij dit ziekenhuis, vertelde welke elementen de successen en valkuilen bepalen.
1. Aanleiding en doelstelling van de bijeenkomst De drie organiserende partners, SmartAIM (Marco Bergman), O&i (Petra van den Brom) en PwC (Tonne Mulder) wilden graag met zorgprofessionals gedachten en ervaringen uitwisselen over de (invoering van de) NEN7510-normering en in het bijzonder omtrent Identity- en Accessmanagement. In de praktijk blijkt namelijk dat dit thema voor uitdagingen zorgt. Het blijkt met name lastig te zijn om te komen tot een systeem dat zowel aan de organisatorische voorwaarden, alsook aan de eisen vanuit ICT-perspectief en de auditingpraktijk voldoet. De doelstellingen die vooraf zijn gedefinieerd:
uu zicht krijgen op de problemen die zich voordoen vanuit de verschillende perspectieven;
uu praktische oplossingen en routes (vanuit ervaringen) om de NEN7510-normering in 2011 te kunnen behalen;
uu zicht op de struikelblokken en de succesfactoren.
2. Casus invoering Identity- en Accessmanagement-systeem bij Bronovo Ziekenhuis door Wilfred Reinhard, Informatiemanager Situatie in 2000 1 Sinds 2000 bezig met autorisaties, een tien-jarenbeleid opgesteld. Destijds was Novell in huis, wilde als partner meedenken om het personeelssysteem leidend te laten zijn voor ICT. Het idee daarachter was om verantwoordelijkheid voor autorisaties dichter bij de business te krijgen. Een eerste slag is gemaakt met een IAM-systeem dat in ieder geval orde op zaken bracht met de accounts. Dit systeem is direct gekoppeld aan het personeelsmanagement-systeem en daardoor is er nu grip op uitgifte en inname van accounts en het password-beleid. Langzaam maar zeker worden op deze manier de nietpersoonlijke accounts opgeruimd. Aanvankelijk is sterk ingezet op de IT-kant van IAM. Nu wordt meer aansluiting gezocht bij wensen van auditors door de processen bij de business te beleggen en beter inzicht te krijgen in uitzonderingen op basis van risico’s. De eerste stappen zijn gemaakt met role based access control. Er worden nu al autorisatiepakketten uitgegeven op basis van afdeling en functies.
Het vaststellen van autorisatiepakketten is echter een
in de behoefte. Voor single-sign on is gekozen voor een
moeizaam proces. Dat moet voor alle partijen transpa-
password store-and-replay-oplossing van Imprivata.
rant zijn, anders zie je snel ‘door de bomen het bos niet
Anno 2010: verantwoordelijkheid verschuift van PZ
meer’. Met SmartAIM wordt nu tooling geïmplemen-
naar managers. Novell is afgehaakt (met name tech-
teerd die dat proces transparanter maakt en daarmee
nische partner), SmartAIM gevonden. Het systeem
wordt een nieuw hoofdstuk ingeslagen.
is 13 september live gegaan. Nu traject portals naar
Op het vlak van remote access is geïnvesteerd in
bedrijfsmanagers. Je merkt dat PZ nu huiverig is om
SSLVPN-token toegang voor externe partijen, gekop-
het uit handen te gaan geven. De huiver gold voor de
peld aan de IAM-infrastructuur. Vooralsnog voldoet dat
ICT-afdeling...
Situatie in 2010 1 Vraag: “wat gaat de organisatie tegemoet?”
Wilfred: belangrijk bij de invoering is om te zorgen voor
Wilfred: overzicht wat er op de payroll staat van bedrijfs-
gadgets. Dit vergroot de acceptatie. Denk aan single-
managers. Zij kunnen autorisatie toekennen conform
sign on, remote access. Het is daarbij ook verstandig
het functiehuis. Er is een apart traject geweest voor het
om de implementatie van de gadgets te doseren, zodat
opstellen van het functiehuis. Ja, het functiehuis wordt
er steeds weer iets nieuws toegevoegd kan worden.
momenteel herzien en het aantal functies wordt daarbij drastisch teruggebracht. Er worden echter nog geen
Vraag: “zijn er nog algemene accounts, bijvoorbeeld op de
autorisaties toegekend door de managers; wel is het
OK?”
plan dat de lijnmanagers autorisatiepakketten gaan toe-
Wilfred: we zijn er bijna vanaf, de deadline staat op het
kennen aan hun medewerkers. Deze pakketten/rollen
einde van het jaar. We gooien deze meteen overboord
zullen primair worden opgesteld op basis van functies
bij de invoering van het nieuwe systeem. Er zijn alleen
uit het nieuwe functiehuis.
nog algemene accounts waar het nieuwe systeem nog niet is ingevoerd. Bijvoorbeeld bij SEH en Heelkunde
Vraag: “hoe is omgegaan met medewerkers die niet in
zijn er nog geen persoonlijke accounts aanwezig,
loondienst zijn?”
deze komen pas na de verbouwing. De kosten liggen
Wilfred: deze medewerkers zijn opgevoerd in systeem
uiteindelijk wel hoger, maar we voldoen dan wel aan de
met die specifieke rol. Personeel Niet In Loondienst
eisen. De invoering vindt achter elkaar plaats en niet
(PNIL).
tegelijkertijd.
Vraag: “wanneer zijn jullie dit gaan doen, was dit een idee
Vraag: “worden medewerkers steeds enthousiaster?”
van PZ zelf ?”
Wilfred: het enthousiasme gaat in golven. Door steeds
Wilfred: dit is in nauwe samenwerking met PZ tot stand
weer een nieuwe gadget toe te voegen, stimuleer je het
gekomen. Al snel bleek namelijk dat er een grote delta
enthousiasme weer.
niet opgevoerd was. Vraag: “en zijn jullie door de accountantscontrole heen?” Wilfred: deze staat over twee weken gepland.
3. Gesprekspunten
De ICT is hierin vaak de politieagent. Mag deze rol wel worden aangepast? Kortom: het afdwingen van filtering op
uu De business wil zo weinig mogelijk regeltjes, maar dat staat haaks op wat moet.
uu Beveiliging is met name nog een papieren exercitie. Er
de behandelrelatie in systemen lijkt praktisch onhoudbaar in een algemeen ziekenhuis. Deelnemer: bij ons proberen we dat op te lossen door een
moet nog worden beslist hoe dit moet worden ingericht.
roleigenaar toe te kennen die bepaalt of de rol mag worden
De NEN7510 is hierbij een hulpmiddel.
aangepast. In de praktijk blijkt deze echter nog lastig toe te
uu Er zijn regels met betrekking tot risicomanagement,
kennen, omdat sommige rollen overstijgend zijn aan het
maar hoe bed je die in in het bestaande systeem van de
mandaat van de roleigenaar.
organisatie?
Deelnemer: bij ons mogen behandelaren maar beperkt in
uu Geïnteresseerd in het evenwicht vinden tussen een
het EPD kijken. Er zijn wel uitzonderingen mogelijk door
werkbare situatie enerzijds en voldoen aan wet- en regel-
middel van noodprocedures. In de praktijk blijkt echter dat
geving anderzijds.
daar wel erg vaak gebruik van wordt gemaakt.
uu Rollen, bevoegdheden en het functiehuis. Vraag: “Bij ons
Wilfred: workflows zijn hierbij belangrijk, evenals hoe
zijn er momenteel een flink aantal rollen gedefinieerd waar-
belegd is wie en hoe erop gestuurd wordt dat de regels zijn
van we nu de TBV’s (taken, bevoegdheden en verantwoor-
gebroken. Het moet in ieder geval breed ingevoerd worden
delijkheden) aan het uitwerken zijn. In de praktijk blijkt dat
en niet bij ICT alleen blijven.
rollen veranderen en dat rollen teveel op een functie zijn
Petra: goed is om te bekijken wat er, naast autorisaties, nog
gericht. Hoe is dat bij jullie?”.
meer wordt beoogd met het functiehuis. Denk aan kwaliteitssystemen en processturing.
Wilfred: we zijn uitgegaan van het functiehuis en hebben
Tonne: er moet geredeneerd worden vanuit regels en niet
vanuit dit functiehuis de bevoegdheden gedefinieerd.
vanuit rollen. Dan kun je tenminste aan de business vra-
Zo bleken er voor mijn eigen afdelingen maar drie rollen
gen: wil je dat de regel gebroken wordt? In de basis heeft
noodzakelijk. Soms is een tijdelijke rol nodig die niet ge-
de business impliciet of expliciet regels. Rollen zijn op zijn
koppeld is aan een functie, hier worden aparte rollen voor
best voorverpakte pakketten die consistent zijn aan die
gedefinieerd (autorisatie self service).
regels. Deelnemer: de praktijk is echter dat iemand altijd uitzonde-
Opmerking: “in de praktijk blijkt het lastig om rollen en func-
ring op de regel moet zijn.
ties uit elkaar te halen”.
Tonne: is het transparant voor het gehele management dat
Wilfred: je hebt een goed kostenmodel nodig. Als iedereen
de regels gebroken worden? En zo ja, wordt er dan ook op
alles nodig heeft, zul je er ook voor moeten betalen en
gestuurd?
licenties zijn duur. Marco: de ervaring met rollen is dat deze veelal te strak zijn ingericht, waardoor je er vaak teveel hebt. Ik heb gezien dat een organisatie op eigen houtje twee jaar bezig is geweest rollen te definiëren en toen uitkwam op veel teveel rollen. Alle autorisaties in rollen willen stoppen, is vragen om een rolexplosie.
Bepaling van rollen: hoe worden rollen bepaald (wie mag wat doen) Deelnemer: ze zijn gemaakt voor het ziekenhuisinformatiesysteem (ZIS) en min of meer gericht op functies. Er is bepaald wie wat mag zien en het systeem is inmiddels in gebruik. Vroeger was de regel: een verpleegkundige mocht informatie van patiënten zien met wie hij/zij contact had. Nu is het zo dat de verpleegkundige informatie van patiënten mag zien als deze patiënt ergens in het ziekenhuis in behandeling is. De business bepaalt welke rol wat mag.
Wijze van aanpak
Deelnemer: het afsprakenmodel moet aangepast worden,
Deelnemer: er loopt een programma Identitymanagement.
niet meer in silo’s denken, bijvoorbeeld: een foto is niet
De werkvloer is sceptisch: “we worden niet gehoord”.
van een radioloog.
Eigenlijk zou het vanuit de business moeten worden opge-
Petra: betrek de gebruiker erbij, dan ontwikkel je gelijktijdig
pakt en niet zoals geschetst door Wilfred.
het draagvlak voor de verandering.
Wilfred: er is bij ons altijd iemand van de business aanwe-
Deelnemer: bij de inrichting van systemen wordt compli-
zig geweest die ook degene is die test. We hebben sessies
ance vaak niet meegenomen.
gehouden waarbij iedereen was uitgenodigd, bijvoorbeeld
Petra: juist daar is het spanningsveld het grootst: het
de neurologen en de poli waren erg geïnteresseerd. Ze
bestuur denkt in compliance-vraagstukken, de business
hebben er veel profijt van dat als iemand in dienst is geko-
denkt in directe toepassingen/belemmeringen.
men deze ook meteen aan de slag kan.
Wilfred: dat is bedrijfscultuur.
Deelnemer: men gaat er pas over nadenken als ze iets zien.
Tonne: na audit/controle komen vaak reparatieacties en
Fast prototyping is een goede manier.
dan wordt functionaliteiten ‘afgepakt’. Beter eerst minder
Deelnemer: je zou de data los moeten koppelen van het
geven om dit te voorkomen.
systeem en gaan behandelen als een archief dat je niet
Deelnemer: bewustwording rondom security is er, maar
mag veranderen. Beschikbaar stellen als onderdeel van een
helaas maar bij een paar mensen. De praktijk is dat een
proces. Wie mag wat in systeem doen? De verantwoorde-
arts met een verzoek komt en dat wordt ingewilligd. (NB:
lijkheid ligt bij de arts.
artsen hebben eigen lokale pc’s waarop bijvoorbeeld een
Tonne: daarin komt het spanningsveld productie versus
cd’tje wordt geïnstalleerd). Maar deze geëigende weg kent
projecten/randwerkzaamheden weer terug.
geen risicoanalyse.
Petra: de arts voelt zich niet verantwoordelijk en zal het in
Wilfred: er is een aantal zaken dat geregeld moet zijn voor-
de praktijk gaan delegeren.
dat je met IAM kunt beginnen, bijvoorbeeld standaardisa-
Deelnemer: de arts een ‘gadget’ geven, is bij het aanklikken
tie van het applicatielandschap.
van een DBC ook gelukt.
Deelnemer F: RvB moet bepalen wat ze willen en waarom.
Wat te doen bij afwijkingen van de regels?
Deelnemer: businesscases zijn altijd financieel en gericht
Tonne: eigenlijk zou je vooraf in gesprek moeten gaan: “aan
op kostenbesparing, het zou meer kwalitatief moeten gaan
welke regels te voldoen?”. Daar de discussie over voeren.
over te behalen winst, juist voor de business. Hierin is
Belangrijk is dat er een soort ‘vertaler’ is tussen IT en wat
waarschijnlijk wel een verschil tussen UMC’s en algemeen
de business wil. Alleen rapporteren over afwijkingen.
ziekenhuizen.
Deelnemer: bespreekbaar maken dat er gebruik is gemaakt
Wilfred: daarom hebben wij een strategische alliantie
van de noodprocedure en aanspreken op de eigen beroeps-
met LUMC. Zij hebben de slagkracht en het Bronovo kan
ethiek, zit er een verhaal bij? Zo ja, dan is het verantwoord
mankracht leveren voor de pilots. Primaire zorg blijft hierin
om af te wijken van de regels. In de praktijk blijkt het
de issue, we hebben het in de samenwerking zelden over
echter lastig, omdat je te maken hebt met productie versus
ICT-zaken. ICT is faciliterend, altijd.
projecten.
Deelnemer: er is een bestaande samenwerking tussen xxx
Deelnemer: de meeste mensen doen ‘knoei’-acties, omdat
(algemeen ziekenhuis) en het EMC. In deze samenwerking
ze hun werk willen doen, bijvoorbeeld e-mail als archief
worden gezamenlijke diensten gedraaid, IAM is daarbij een
gaan gebruiken, omdat het informatiebeleid stelt dat je
issue, dat maakt het er niet gemakkelijker op.
niet van buiten naar binnen mag.
Petra: over een paar jaar speelt deze issue ook in de keten,
Tonne: het uitgangspunt zou moeten zijn: wat heb je nodig
bijvoorbeeld toegang tot het EPD door de huisarts, maar
om je werk te kunnen doen?
ook andere zorgverleners in de ketenzorg. Deelnemer: nog niet zo lang geleden werd de onafhanke-
Inzicht en overzicht
lijkheid van de huisarts door de zorgverzekeraar als een
In de vragenlijst staat de vraag: “bent u op de hoogte van
probleem ervaren. Daar hebben we toen van alles voor
geregistreerde gebruikers?”. Het antwoord hierop (drie
opgetuigd en dat verandert straks weer. De vraag aan de
antwoorden gegeven op dat moment): geen tot matig.
arts wordt om flexibel te worden in tegenstelling tot de
Dezelfde invullers geven aan dat de ambitie die zij hierin
patiënt die nu flexibel moet zijn. Denk aan Google Health
hebben “zeer hoog” is. Tussen de gewenste en huidige
en Patiënt 2.0.
situatie zit dus een groot verschil.
Deelnemer: het probleem is dat wetten tegenstrijdig zijn,
Wilfred: doe het stapje voor stapje, houd het overzichtelijk.
bijvoorbeeld privacywetgeving versus informatie verstrek-
Tonne: rollen bouwen, maar dan alleen op basis van wat
ken. Er lijkt geen vertaling te zijn van deze tegenstrijdig-
er nu al gebeurt (huidige processen leidend laten zijn).
heden naar de werkvloer. Het model is niet ingericht op
Gebruik het huidige om het nieuwe te bouwen -> efficiënt
informatieverstrekking aan de patiënt, ook technisch niet.
organiseren door dat te analyseren.
Deelnemer: wij hebben gezien hoe leidinggevenden direct betrokken raken als je ze een lijst geeft van werkelijke auto-
Businesscases en e-health (nieuwe werken)
risaties. Ze beginnen direct te strepen en zetten er desge-
“Businesscases zijn lastig”.
vraagd hun handtekening onder. Vanaf dat moment heb je
Wilfred: beperken tot tien en steeds terug laten komen,
ze betrokken en vragen ze om manieren om proactief te
inclusief breedgedragen risicoanalyses.
kunnen zijn.
4. Succesfactoren en struikelblokken rondom IAM uu Allereerst geldt dat autorisatiemanagement voornamelijk een businessvraagstuk is, waarbij ICT-tooling een kleine, noodzakelijke faciliterende factor is (80/20).
uu Op het businessvlak worden de cultuuraspecten van de organisatie met name benoemd als struikelblok danwel
uu Men gaat er pas over nadenken als ze iets zien. Fast prototyping is een goede manier.
uu Belangrijk is dat er soort ‘vertaler’ is tussen IT en wat de business wil.
uu Wanneer de regels niet gevolgd worden en er dus
als succesfactor. Het wordt ervaren als een puzzel hoe
afwijkingen optreden, is het acceptabel wanneer daar
met IAM aan te sluiten op de organisatiecultuur en wel
een verhaal bij is. Daarover kun je de medicus bevragen.
de bereidheid tot verandering blijvend te motiveren (en
Echter de praktijk is vaak weerbarstiger dan dat: je blijft
dus niet alleen maar op de regeltjes te blijven hangen).
in de spagaat tussen productie en projecten. Er blijft
De balans tussen techniek en organisatie is hierbij de
weinig tijd over voor het bevragen van elkaar over afwij-
belangrijkste factor.
kingen van de regels.
uu Hoe kun je de organisatie eigenaarschap laten nemen
uu Betrek de gebruiker bij de ontwikkeling van het systeem,
voor toegang tot systemen? Het is immers de verant-
dan ontwikkel je gelijktijdig het draagvlak voor de veran-
woordelijkheid van het management en ICT is daarbij
dering.
faciliterend.
uu Data loskoppelen en beschikbaar stellen aan het management. Patiënt als stakeholder in het systeem zien en niet als leidend voorwerp.
uu Belangrijk bij de invoering is om te zorgen voor gadgets.
uu Er is een aantal zaken dat geregeld moet zijn voordat je met IAM kunt beginnen, bijvoorbeeld standaardisatie van het applicatielandschap.
uu RvB moet bepalen wat ze willen en waarom en met deze opdracht de business en ICT met een passende oplos-
Dit vergroot de acceptatie. Denk aan single sign-on,
sing laten komen. Meeting halfway tussen Governance-
remote access. Het is tevens verstandig om de imple-
benadering en bottom-up (business).
mentatie van de gadgets te doseren, zodat er steeds weer iets nieuws toegevoegd kan worden.
uu De regels zoals gehanteerd door de business zijn leidend bij autorisatievraagstukken. Vaak zie je dat die regels al impliciet zijn verwerkt in rollen en dat er een sterke correlatie is met het functiehuis. Maar je zult die regels wel boven water moeten halen als je je rolmodel wilt (her)definiëren.
uu De business bepaalt welke rol wat mag. De ICT is hierin vaak de politieagent. Mag deze rol wel worden aangepast?
uu Het antwoord hierop kan zijn een roleigenaar toe te kennen die bepaalt of de rol mag worden aangepast. In praktijk blijkt dit echter nog lastig te bepalen, omdat sommige rollen overstijgend zijn en het mandaat van roleigenaar overstijgen.
uu Een organisatie zou moeten redeneren vanuit regels en niet vanuit rollen. Dan kun je tenminste aan de business vragen: wil je dat deze regel gebroken wordt?
uu De werkvloer is sceptisch (met betrekking tot identitymanagement): “we worden niet gehoord”. Eigenlijk zou het vanuit de business moeten worden opgepakt, maar de losse businessregels en afdelingen zijn te veelvormig om in een vastomlijnd en mogelijk geautomatiseerd proces te vervatten.
uu Professionals zijn zeker, maar niet altijd bekwaam. Je moet ze eerst “onzeker” maken. Noodzaak en belang moet gevoeld worden. De techniek zijn we aan het verlaten.
uu Over de streep trekken met gadgets en business medeeigenaar maken. Waar zijn ze mee geholpen?
uu De vraag aan de arts wordt om flexibel te worden in tegenstelling tot de patiënt die nu flexibel moet zijn. Denk aan Google health en Patiënt 2.0.
uu Inzicht in hier en nu belangrijk. Wat willen we? uu In het begin zijn humor en gemak erg belangrijk.
Afsluiting en evaluatie van de Ronde Tafel Wilfred: ik neem mee dat het inderdaad niet meer om
Deelnemer: ik vond de interactie en zelf een bijdrage
de techniek gaat. Ik ga Google Health en het maken van
kunnen leveren prettig, tevens zijn veel zaken herken-
online afspraken bekijken.
baar. Ik had wel gehoopt dat er meer ingegaan zou wor-
Marco: ik had de verwachting dat er een eenduidigere
den op de link tussen NEN- en Identitymanagement.
aanpak vanuit de business naar voren zou komen,
IGZ komt binnenkort auditen op 33 punten, onder
maar de complexiteit in de inrichting en cultuur van or-
andere op de toegangsidentificatie en wil daarom graag
ganisaties is te groot. Wat ik heb geleerd is dat inzicht
weten hoe NEN en IAM zich tot elkaar verhouden.
leidt tot actie en dat actie weer leidt tot governance. Als
Deelnemer: daar zijn sessies voor van NVZ.
je zorgt dat leidinggevenden geconfronteerd worden
Wilfred: heeft een verslag van de 33 punten en zal dit
met inzicht in de werkelijk te vergeven autorisaties,
onderling delen.
dan volgt direct de vraag hoe dit te voorkomen? Het
Tonne: vaak is het tijdens audit alleen nodig om het
moment dat hiermee bereikt wordt, kan men bovenaf
proces te kunnen laten zien.
aangrijpen om in te passen in compliance-initiatieven.
Deelnemer: vond het heel interessant. Is blij dat de
Deelnemer: soms blijft top-down noodzakelijk in plaats
conclusie is om het samen met de business te doen.
van bottom-up. Een soort van confrontatielijst kan
Nuttig om kennis te delen over hoe je dit doet. Heeft
werken om te achterhalen wat echt belangrijk gevonden
het gevoel dat het nog in de kinderschoenen staat en
wordt.
er nog veel te leren valt over hoe je de vertaling naar de
Tonne: dat is goed te combineren met prototypes en
business kunt maken.
confrontaties met eigen data.
Deelnemer: de grootste fout die gemaakt wordt is dat de
Deelnemer: dat werkt inderdaad goed, bijvoorbeeld
implementatie van NEN bij ICT wordt gelegd. Heeft zij
SAP-bevoegdheden aan de manager voorleggen. Zij
in de dagelijkse praktijk veel last van.
gaan dan direct schrappen. Laat ze er een handtekening onderzetten en de praktijk leert dat ze er daarna niet
Meer informatie
meer vanaf wijken.
Voor meer informatie kunt u
Deelnemer: vond het zinvol om te horen welke hobbels
contact opnemen met Petra
door anderen al zijn genomen en waar zij staan. Hij
van den Brom van O&i via
zou dergelijke bijeenkomsten bij anderen aanraden,
[email protected] of
niet alleen omtrent dit thema, maar op allerlei gebie-
(030) 289 56 65.
den.