Betrouwbare en beveiligde informatie is letterlijk van levensbelang in de zorg. Een goed niveau van informatiebeveiliging zorgt er ten eerste voor dat het zorgproces zonder gevaren voor de patiënt verloopt, ook wel informatieveiligheid genoemd. Alle middelen in de zorg blijven immers gericht op de veilige zorg voor de patiënt. Omdat mensen tellen! Ten tweede zorgt informatiebeveiliging dat informatie daar blijft waar die hoort, het privacyaspect. Zorgconsumenten zijn zich bewust van deze vereisten en zorgverleners en hun leveranciers doen veel moeite om informatie- beveiliging te realiseren. Dit blijft lastig en misstanden halen het nieuws en veroorzaken maatschappelijke onrust. Het werken volgens de norm NEN 7510 door zorginstellingen is reeds lang verplicht. De tijd is gekomen om aan de slag te gaan!
Igh werkgever dwingt pensioenadviseur tot specialisatie en vernieuwing - vv...
BDO | Goede zorg en informatieveiligheid
1. GOEDE ZORG EN
INFORMATIEVEILIGHEID
Betrouwbare en beveiligde informatie is letterlijk meetindicatoren om deze kwaliteit te meten. De
van levensbelang in de zorg. Een goed niveau van organisaties rondom toezicht veranderen, zo zijn NEN
informatiebeveiliging zorgt er ten eerste voor dat het en HKZ per 1 mei 2012 gefuseerd en zal vanaf 2013
zorgproces zonder gevaren voor de patiënt verloopt, een centraal kwaliteitsinstituut voor de zorg het op-
ook wel informatieveiligheid genoemd. Alle middelen stellen en afstemmen van kwaliteitscriteria in de zorg
in de zorg blijven immers gericht op de veilige zorg landelijk gaan organiseren. Allemaal veranderingen
voor de patiënt. Omdat mensen tellen! Ten tweede om toezicht te uniformeren, bundelen en de klant
zorgt informatiebeveiliging dat informatie daar blijft hierin ook meer plaats te bieden. Kortom: het toezicht
waar die hoort, het privacyaspect. Zorgconsumenten wordt klaargestoomd!
zijn zich bewust van deze vereisten en zorgverleners
en hun leveranciers doen veel moeite om informatie- Beveiligen in de keten
beveiliging te realiseren. Dit blijft lastig en misstanden Zorg ontwikkelt zich in toenemende mate in ketens,
halen het nieuws en veroorzaken maatschappelijke waarbij juist op het gebied van informatieveiligheid
onrust. Het werken volgens de norm NEN 7510 extra uitdagingen ontstaan. Elektronische communicatie
door zorginstellingen is reeds lang verplicht. De tijd en informatie-uitwisseling kan kwaliteit in de zorg
is gekomen om aan de slag te gaan! aanzienlijk verbeteren, maar introduceert ook weer
nieuwe bedreigingen. Doordat de gebruikte systemen
Normatiek vaak complex worden verdeeld over de verschillende
Al vanaf 2004 is in Nederland de norm NEN 7510 organisaties in de keten, bestaat meestal onduidelijkheid
‘Medische informatica - Informatiebeveiliging in de over welke partij welke maatregelen op welke plaats
zorg’ de standaard omtrent beveiligingsmaatregelen. moet treffen. Toezichthouders gaan in de toekomst
De gereviseerde norm NEN 7510 – 2011 is in oktober ook meer toezien op ketens en hun koppelvlakken.
2011 gepubliceerd. De norm is meer in lijn gebracht Kortom: bij de toekomstige organisatievormen past
met internationale normen en de theorie van risico- een gedegen beheerssysteem voor informatieveiligheid.
management (conform ISO 27001). Kern van de revisie
is dan ook de inbedding in risico- en kwaliteits- Waar te starten?
management, gecombineerd met een aanscherping Kern van het werken volgens NEN 7510 is dat aange-
van richtlijnen voor autorisatie- en toegangsbeheer. toond kan worden dat het ‘Plan-Do-Check-Act’-proces
Er zijn inmiddels verdere invullingen beschikbaar van voor informatieveiligheid adequaat is geïmplementeerd.
onderdelen van de NEN 7510: de NEN 7512 voor Dit proces start met het zelf inventariseren van de
communicatieprocessen en de NEN 7513 voor logging. risico’s die momenteel worden gelopen. Een risico-
Een nieuwe NEN-norm voor autorisatieprotocollen analyse op informatie in processen die aan moet
is in de maak. De kaders zijn dan ook voldoende sluiten bij de vaak reeds bestaande procesbeheersing.
uitgewerkt. De basis hiervoor is dat allereerst inzicht moet
worden gekregen in waar welke informatie zich nu
Toezicht ontwikkelt zich überhaupt bevindt.
Toezichthouders en budgetbewakers in de zorg willen
grip krijgen op kwaliteit in de zorg en ontwikkelen
2. Een door BDO reeds veel met succes toegepaste BDO BRANCHEGROEP ZORG MEER INFORMATIE
methode is dat wij als externe adviseur in een aantal De specifieke kennis en kunde binnen de zorgsector Mocht u naar aanleiding van deze pu-
dagen middels workshops, interviews en documentatie- heeft BDO gebundeld in de BDO Branchegroep blicatie nog vragen hebben en/of meer
studie inzicht geven in dit informatiegebruik en be- Zorg. Deze branchegroep adviseert en onder- informatie wensen, neem dan contact
op met de BDO Branchegroep Zorg.
dreigingen die wij reeds zien. Samen met de organisatie steunt diverse zorginstellingen, zoals ziekenhuizen,
wordt vervolgens een verbeterplan gemaakt (het in privéklinieken, AWBZ-instellingen en eerstelijns
Algemeen secretariaat
de norm aangegeven ‘risicobehandelplan’) waarin zorgverleners, bij onder meer financiële, fiscale Postbus 4053, 3502 HB Utrecht
overzichtelijk per proces/systeem combinatie be- en organisatorische vraagstukken. Wij zijn ervan Telefoon 088 - 236 48 03
dreigingen, reeds getroffen maatregelen, verbeter- overtuigd dat de basis van het succes van ons en E-mail zorg@bdo.nl
punten en risico-evaluatie van uw eigen organisatie dat van onze klanten ligt in wederzijds vertrouwen. Internet www.bdo.nl/zorg
vast wordt gelegd. Vervolgens kan onderbouwd worden Wij geloven dat alleen vak- en branchekennis, Twitter www.twitter.com/BDOZorg
gekozen om bepaalde maatregelen wel of niet te cijfers en regels hiervoor niet de enige uitgangs- Colofon
implementeren. punten zijn. Het draait om wat onze klanten nodig Deze publicatie is zorgvuldig voorbereid, maar is in
hebben. Maar ook wie ze nodig hebben. Een be- algemene bewoordingen gesteld en bevat alleen
informatie van algemene aard. Deze publicatie bevat
Samengevat: De noodzaak tot actie is voor alle partijen trokken, persoonlijke relatie is voor ons de basis van geen advies voor concrete situaties, zodat uitdruk-
helder en de kaders en aanpak zijn bepaald. De maat- een bestendige vertrouwensband. Het ontwikkelen kelijk wordt aangeraden niet zonder advies van
een deskundige op basis van de informatie in deze
schappij en toezichthouders vragen erom. Laten we van deze relatie staat centraal in alles wat wij doen. publicatie te handelen of een besluit te nemen. Voor
beginnen. Wij helpen u graag. Als accountant, als fiscalist of als consultant. Wij het verkrijgen van een advies dat is toegesneden op
uw concrete situatie kunt u zich wenden tot BDO
richten ons op het verhaal achter de vraag van onze Accountants & Adviseurs of een van haar adviseurs.
klanten. Omdat wij begrijpen dat het de mensen BDO Accountants & Adviseurs en haar adviseurs
zijn die er toe doen. BDO, omdat mensen tellen. aanvaarden geen aansprakelijkheid voor schade die
het gevolg is van handelen of het nemen van beslui-
ten op basis van de informatie in deze publicatie.
BDO heeft een strategische samenwerking met Dijk-
stra Voermans Advocatuur & Notariaat. Daardoor
zijn wij in staat de belangen van de cliënt optimaal
te behartigen.
BDO is een op naam van Stichting BDO te Amster-
dam geregistreerd merk.
In deze publicatie wordt BDO gebruikt ter aandui-
ding van de organisatie die onder de merknaam
‘BDO’ actief is op het gebied van de professionele
dienstverlening (accountancy, belastingadvies en
consultancy).
BDO Accountants & Adviseurs is een op naam
van BDO Holding B.V. te Eindhoven geregistreerde
handelsnaam en wordt gebruikt ter aanduiding
van een aantal met elkaar in een groep verbonden
rechtspersonen, die ieder afzonderlijk onder de
merknaam ‘BDO’ actief zijn op een bepaald terrein
van de professionele dienstverlening (accountancy,
belastingadvies en consultancy).
BDO Holding B.V., is lid van BDO International Ltd,
een rechtspersoon naar Engels recht met beperkte
aansprakelijkheid, en maakt deel uit van het wereld-
wijde netwerk van juridisch zelfstandige organisaties
die onder de naam ‘BDO’ optreden.
BDO is de merknaam die wordt gebruikt ter aandui-
ding van het BDO-netwerk en van elk van de BDO
Member Firms.
09/2012 – FC12317