ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA
Ziekenhuizen in Nederland *
* * * * *
Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/’08 Opdracht IGZ: lever per 1/2/’09 plan van aanpak in, later 1/4/’09. M&I Partners vergelijkt PvA’s in stoplichtrapport Aankondiging audit in 2010 April 2010: NVZ Toetsingsreglement voor audits Najaar 2010 rapporteren Resultaten naar IGZ 1e kw 2011
*
IGZ geeft feed-back
*
NEN7510 Nederlandse norm Informatiebeveiliging in de zorg Geeft aan wat een organisatie moet doen om informatie te beveiligen Beperkingen: Toetst alleen organisatie Kent leemten: medische apparatuur, uitbesteding Verdienmodel NEN normenkader kopen auditoren moeten geaccrediteerd worden Geen assurance! 2011: Nieuwe versie NEN7510: ISMS!
Round Table 03/’10 Waar is behoefte aan in de sector? Minimumeisen! Duidelijkheid: wanneer voldoe je en wanneer niet!!!! Minder audits Rol NIAZ Richtlijnen voor organiseren, borging en toesting informatieveiligheid Onderlinge vergelijkbaarheid (tooling CIO platform) Richtlijnen voor leveranciers
6 December 2010 Samenwerkingsovereenkomst NIAZ-NOREA Ontwikkel ZekereZorg3: toetsingscriteria informatieveiligheid in de zorg Open normenkader (vrij en kosteloos): moet een kwaliteitsnorm zijn!!! Hecht aan kwaliteit en veiligheid patientenzorg Niet alleen de organisatie maar ook de werking! Aansluiten op bestaande ‘tooling’: onderlinge vergelijkbaarheid bevorderen Afstemming met alle belanghebbenden in de Zorg: NVZ, NFU, GGZ Nederland, Revalidatie Nederland, Actiz, ZKN en OIZ. Projectorganisatie ter realisatie
NIAZ/Norea: Landelijke toetsingscriteria Waar doen we het voor? Informatieveiligheid aantoonbaar verbeteren, en in het verlengde: Veiligheid in de zorg verbeteren (patiënten en zorgverleners als belangrijkste stakeholders), en in het verlengde: Continuïteit bedrijfsvoering op lange termijn zeker stellen: Door middel van een ISMS - met maatregelen (w.o. intern en extern auditen) - met indicatoren (en ander bewijsmateriaal) - met maatlat / toetsingscriteria als hulpmiddel
Zó dat maatlat werkbaar en werkzaam is voor self-assesment, internal control, extern toezicht en externe certificering
Landelijke toetsingscriteria Informatieveiligheid Hoe doen we dat Praktijk instellingen best practises
Toezicht IGZ
Theorie (structuur&format)
Norm: NEN7510
Toetsingscriteria
3 x ISO
maatlat
Werkzaam&Werkbaar
Voorwerk Norea Werkwijzen
Certificering
Self-assesment
Landelijke toetsingscriteria Informatieveiligheid Context • NEN7510 in 2011 herzien, incl. ISMS • Brede behoefte aan landelijk toetsingskader:
• Binnen instellingen én daarbuiten (auditoren, leveranciers) • Met landelijk draagvlak: NIAZ, NVZ, NFU, NOREA, enz • Bruikbaar voor self-assesment en ook accreditatie of certificering
• Beantwoordend aan verwachtingen toezichthouders IGZ/CBP Onder het motto: intern in control = extern vertrouwen
Landelijke toetsingscriteria Informatieveiligheid Traject en planning Insteek instellingen
theoretisch kader
1e opzet
rough draft 2011
volwaardig kader 2012
praktisch bruikbaar Insteek auditoren Weglaten (te) veel detail of aanv. norm => “lean”
Landelijke toetsingscriteria Informatieveiligheid Hoe toetsen?
Scope van de IB-audit: • Zorginstellingen: d.w.z. zorgproces en overige processen • Digitale en analoge informatie (incl beeld- en patiëntmateriaal)
• Werking informatie veiligheids management systeem (ISMS) • Focus op informatieveiligheid & patiëntveiligheid
Werkwijzen bij de IB-audit:
• Self-assesment / peer to peer / onafhankelijke derde • Op basis van kunde (kennis en ervaring en inzicht ISMS) • Rapportages geschikt om mee verder te werken (passend in PDCA)
Landelijke toetsingscriteria Informatieveiligheid Werkwijze en uitvoering • Intern (zelfevaluatie), peer-to-peer (instellingen), extern • Gehele norm of onderdelen • Uitvoering uniform, ongeacht de uitvoerder(s) • Documentenstudie; verificatie; rapportage; opvolging • Uniform beoordelen / scoren (CMM- / IZEP-levels) • Vergelijkbaar rapporteren (format), zodat aansluitend: opvolging tekortkomingen / verbeterpunten mogelijk is
• Volgende audits consistent aansluitend: verbetering zichtbaar
Landelijke toetsingscriteria Informatieveiligheid Referentiekader moet / Toetsingscriteria moeten: • Uitgaan van principes en niet van regels • Structuur aanbieden (framework) • Waarnemingen / bevindingen ordenen: beleidsmatig/bestuurlijk, uitvoerend en verifiërend/controlerend
• Inhoud ordenen: doel, functionaliteit, menselijk en technisch handelen en gedrag (binnen genoemde structuren)
• Voldoen aan kwaliteitseisen: betrouwbaar, begrijpelijk, transparant, relevant, meermalig te gebruiken, neutraal, geïntegreerd, gestructureerd, volledig, samenhangend en consistent.
Norm loslaten (structuur is valkuil). Systematisch doordenken Audit-objecten beschrijven en die logisch vastknopen aan norm
Landelijke toetsingscriteria Informatieveiligheid Van achter naar voren werken
ontwikkelvraag
Wie (actor)
Norm (beoogde toestand)
Die (actor)
Audit bevinding (feitelijke toestand)
Die (actor)
+
Wat (actie + resultaat)
+
Dat (actie + resultaat)
+
Dat (actie + resultaat)
+
Waarom (doel)
+
Vanwege (bijdrage aan doel)
+
Vanwege (bijdrage aan doel)
Toetsingscriterium (audit object + schrijfwijze)
Landelijke toetsingscriteria Informatieveiligheid Spreadsheet uitwerking in norm gegeven
uitwerken
toepassen
beheersmaatregel
toetsingscriterium = waarneming
+ onderbouwing
bevinding
(bewijsmateriaaal)
(rapportage)
format/schrijfregels score 1 - 5
spreadsheet
functionaliteit crit. waarom? beperken risico bedreiging / kwetsb
Landelijke toetsingscriteria Informatieveiligheid Hoe ver gaan we? Praktijk instellingen best practises
Norm: NEN7510
Toetsingscriteria
3 x ISO
maatlat
+ handreikingen + waarnemingen incl. med.apparatuur Certificering
Wat en hoever aan te reiken?
Toezicht IGZ
Werkzaam&Werkbaar
informatie veiliger & instelling compliant
Self-assesment (ruim) Uniformiteit & Standaardisatie
