Informatiebeveiliging in Europa; grip op datalekken

Informatiebeveiliging in Europa; grip op datalekken
Date: 30-10-2014
Author: Pepijn Broekman

De veranderingen in de zorg van intramuraal naar extramuraal, de samenwerking met gemeentes (WMO) en het nieuwe werken (bijvoorbeeld met mobile devices) zorgen dat er steeds meer informatie van patiënten en cliënten buiten de muren van zorgorganisaties wordt gedeeld. Hiermee wordt het risico van datalekken groter, met alle nadelen en slechte publiciteit tot gevolg.


Tegelijkertijd is op Europees niveau een nieuwe verordening in de maak over de meldplicht bij het lekken van data. Waar de Nederlandse wet nog verschil maakt tussen datalekken met of zonder ernstige nadelige gevolgen, doet de Europese verordening dat niet. En het niet melden van datalekken kan op basis van de nieuwe verordening zeer fors bestraft worden (boetes tot vele tientallen miljoenen euro's).

Kortom de risico's voor zorgorganisaties met betrekking tot informatie beveiliging worden groter en de noodzaak om een datalek te melden (hoe klein ook) komt eraan. Het is voor zorgorganisaties dan ook meer dan ooit belangrijk om goed zicht te hebben op de informatie beveiliging.

In de NEN7510 norm staan de regels voor informatie beveiliging in de zorg en veel organisaties kijken hiernaar vanuit een ICT perspectief. Echter blijkt in de praktijk dat dit breder belegd dient te worden (alle organisatieonderdelen krijgen ermee te maken) en dat confirmatie aan de norm lastiger is dan gedacht. De norm schrijft immers geen richtlijnen voor, maar geeft aan dat zorgorganisaties deze zelf moeten bepalen, maatregelen moeten treffen en uitrollen in de organisatie.

Een tekort aan draagkracht in zorgorganisaties en de hoeveelheid werk om te voldoen aan NEN7510, zorgen er dikwijls voor dat trajecten voortijdig strandden of dat er hulp wordt ingeroepen van dure consultants. De meeste zorgorganisaties beseffen echter niet dat ze het meeste werk toch echt zelf moeten doen. In de visie van Thysia kunnen zorgorganisaties prima zelfstandig aan de slag met NEN7510. Wat hiervoor nodig is, is een brede draagkracht in de organisatie, een projectmatige aanpak en de tooling om de implementatie te ondersteunen.

Thysia heeft hiervoor Thysia Information Security Solution (TISS) ontwikkeld, een tool die zorgorganisaties een kapstok biedt om stap voor stap door de NEN7510 implementatie te lopen. Beginnend met een 0-meting op basis van non-conformiteiten, kwalitatieve risico's en mogelijke maatregelen, krijgen zorgorganisaties snel zicht in de grootste prioriteiten voor informatiebeveiliging en de inspanning die nodig is om dit aan te pakken. Verder biedt TISS de nodige rapportages om de verdere voortgang te monitoren.

Met TISS zijn inmiddels tientallen zorgorganisaties op weg geholpen met de NEN7510 implementatie en hiermee bieden wij graag nog veel meer zorgorganisaties de mogelijkheid om, zeer laagdrempelig, goed grip te krijgen op de informatiebeveiliging. Het is tenslotte eeuwig zonde om geld dat aan de daadwerkelijke zorg besteed kan worden, te verspelen aan onnodige boetes.

Category: Solutions
Tags: