fbpx

NEN7510, de kans voor betere patiëntenzorg én IT-diensten!

Wim Hoving

Architect ISM-methode

Informatiebeveiliging is in de zorg nog altijd een stiefkindje. De aandacht voor security is eerder afgedwongen door regelgeving, zoals de NEN 7510, dan gedreven door kwaliteitsbewustzijn en professionaliteit. Vanzelfsprekend gaat de aandacht eerst en vooral naar de patiënt. Maar juist de zorg voor de patiënt zou ook moeten leiden tot belangstelling voor informatiebeveiliging. We maken nog te vaak incidenten mee waarbij ziekenhuizen dicht moeten vanwege security-incidenten. Nog te vaak wordt de privacy van patiënten geschonden en voldoen zorginstanties niet aan de basisveiligheidseisen zoals deze zijn vastgelegd in de NEN 7510.

Patiëntenzorg kan tegenwoordig niet meer zonder goede ICT en geïntegreerde aandacht voor IT-security. Vanaf het eerste contact met een patiënt of cliënt verzamelt een zorginstelling allerlei gegevens. En met de nieuwste technologische ontwikkelingen neemt niet alleen de hoeveelheid verzamelde data toe; dat geldt ook voor de verschillende manieren waarop deze informatie wordt verzameld, verwerkt en gedeeld. En om het nog ingewikkelder te maken: medische gegevens van patiënten en cliënten zijn per definitie vertrouwelijk en moeten altijd en overal betrouwbaar zijn. Goede informatiebeveiliging in de zorg is daarom van levensbelang! 

Informatiebeveiliging in de zorg moet aan strenge eisen voldoen

Voortschrijdende digitalisering en de veranderende rol van data leidt dan ook tot het stellen van strengere eisen aan informatiebeveiliging. Gezondheidsgegevens vormen bijvoorbeeld een bijzondere categorie binnen de AVG. En niet voor niets is werken met NEN 7510 al sinds 2018 wettelijk verplicht. Er is namelijk een hoog risico op incidenten met grote impact. 

Natuurlijk wil je als zorginstelling ook voldoen aan de wetgeving. Je hebt immers geen behoefte aan boetes. Security-breaches en incidenten leiden bovendien niet alleen tot financiële schade maar kunnen ook flinke imagoschade tot gevolg hebben. Veel zorginstellingen zien de toenemende eisen op het gebied van databeveiliging en privacy echter als extra horde. Een belemmerende factor die vraagt om de inrichting van nieuwe processen en die voor nog meer werklast zorgt. 

Informatiebeveiliging draagt juist bij aan goede zorg en professionaliteit

Wie de AVG en NEN 7510 ziet als bureaucratie zal inderdaad merken dat ze belemmerend werken. Maar je zou informatiebeveiliging in de zorg ook kunnen zien als middel om de kwaliteit van de patiëntenzorg te verbeteren. NEN 7510 gaat sec weliswaar niet over de kwaliteit van de zorgverlening maar wel over de informatiestromen en de maatregelen die je moet nemen om privacy- en veiligheidsrisico’s te beheersen. En een accurate vastlegging van medische gegevens en een adequate uitwisseling van informatie draagt wel degelijk bij aan goede zorg. Medisch personeel moet er immers op kunnen vertrouwen dat de benodigde medische informatie beschikbaar, juist en volledig is. En daarnaast vindt iedereen het toch belangrijk dat zijn of haar eigen medische gegevens beschermd zijn? 

Neem patiëntenzorg als uitgangspunt in plaats van regels

Juist dát zou het uitgangspunt moeten zijn om te willen voldoen aan NEN 7510. Grijp dit soort regels dus aan als een kans, of breekijzer, om de kwaliteit van je patiëntenzorg te verbeteren. Werken met NEN 7510 draagt dan daadwerkelijk bij aan een effectievere en efficiëntere manier van zorgverlening. Door voldoen aan NEN 7510 als onderdeel te zien van je kwaliteitsbeleid wordt het een strategisch middel in plaats van een wettelijke verplichting. Dit maakt het ook vanzelfsprekender om continue verbetering na te streven in plaats van alles snel op orde te brengen op het moment van een audit.

IT-dienstverlening belangrijke basis voor werken met NEN 7510

Werken volgens NEN 7510 betekent dat je organisatie zo is ingericht dat informatie goed is beveiligd en uitsluitend toegankelijk is voor geautoriseerde personen. Maar ook dat de informatie te allen tijde beschikbaar en accuraat is. Deze eisen hebben betrekking op de gehele organisatie, maar door toenemende digitalisering wordt een groot deel daarvan gerealiseerd door je IT-dienstverlening. En de kwaliteit van deze dienstverlening wordt bepaald door de uitvoering van IT-beheer. Door de werkwijze van IT-beheer goed te organiseren voldoe je dus al in belangrijke mate aan de gestelde eisen. En dat kan gelukkig prima zonder allerlei extra rompslomp en nieuwe procedures. 

‘Zes stappen voor betere patiëntenzorg door geïntegreerd IT-beheer’

Maak NEN 7510 onderdeel van je organisatie en je servicelevels

Het borgen van je informatiebeveiliging volgens NEN 7510 kan namelijk heel goed met een standaard werkwijze als de ISM-methode (Integrated Service Management). Het voordeel is dat deze methode NEN 7510 onderdeel maakt van een integrale aanpak voor goed servicemanagement, en je dus geen aparte processen hoeft in te richten. NEN 7510 en AVG stellen namelijk vooral eisen aan de IT-dienstverlening en zijn feitelijk dus niets anders dan servicelevels die in Service Level Agreements (SLA’s) thuishoren.

Om te voldoen aan NEN 7510 moet een IT-afdeling activiteiten uitvoeren die betrekking hebben op de inrichting van de informatiesystemen en de werkwijze van de afdeling. Dit zijn voor ieder ziekenhuis en zorginstelling dezelfde werkzaamheden. Deze activiteiten kun je prima borgen in de basiswerkprocessen van de IT-afdeling. Wij hebben de NEN 7510 eisen vertaald naar de benodigde acties en deze gekoppeld aan de compacte werkwijze. Je kunt dan volstaan met zes compacte ISM-processen die je volledige servicemanagement afdekken, inclusief werken met NEN 7510. Daaronder valt de inrichting, toepassing én toetsing. Ook eisen vanuit de AVG, maar ook het Convenant Medische Technologie en SLA’s, kun je hierin meenemen. Verplichte acties zijn dan geen bureaucratie meer, omdat ze herkenbaar zijn gekoppeld aan de patiëntenzorg. 

Belangrijk is verder dat je niet alleen na de jaarlijkse audit, maar permanent een actueel beeld hebt van de mate waarin aan de NEN 7510 eisen wordt voldaan. Een NEN 7510 monitor kan je helpen om goede informatiebeveiliging een standaard onderdeel te maken van je beleid en je organisatie. Deze monitor is feitelijk niet meer dan een besturingsmodel waarmee je op ieder gewenst moment weet hoe je ervoor staat in de NEN 7510 lifecycle. Je ziet bijvoorbeeld in één oogopslag welke activiteiten voldoende en onvoldoende geborgd zijn en hoever je bent met het behalen van je doelen. 

ISM Portal - NEN 7510 lifecycle informatiebeveiliging in de zorg

Lees ook onze paper: ‘Snel en duurzaam voldoen aan NEN 7510’

Informatiebeveiliging in de zorg is verantwoordelijkheid van iedereen

Maar informatiebeveiliging in de zorg is en blijft uiteraard een verantwoordelijkheid van iedereen in de organisatie. Van het management tot aan de zorgverlener zelf. Het is de verantwoordelijkheid van het management om op strategisch niveau een degelijk informatiebeveiligingsplan op te stellen, dat de basis vormt voor de werkwijze van IT-beheer op tactisch en operationeel niveau. Daarnaast zal iedere individuele medewerker doordrongen moeten zijn van het belang van informatiebeveiliging voor de kwaliteit van de zorgverlening. Digitaal kan de privacy nog zo goed geborgd zijn, als medisch personeel onzorgvuldig omgaat met vertrouwelijke gegevens, dan ga je alsnog de mist in.  

Houding en gedrag van mensen blijft dus heel belangrijk. NEN heeft daarom een handige online bewustwordingstool ontwikkeld waarmee zorgprofessionals feedback krijgen op hun handelen.

Maar goede informatiebeveiliging werkt alleen als medewerkers niet alleen instructies ontvangen, maar ook begrijpen wat het belang is van bepaalde procedures. En als zij voortdurend geïnformeerd worden over de actuele stand van zaken. “Security is geen actie maar een houding.” Pas dan wordt het een vanzelfsprekendheid. Ook hier geldt dus dat de kwaliteit van de patiëntenzorg het uitgangspunt zou moeten zijn, en niet het voldoen aan regels. Customer value gaat dus boven alles!

Demo compliance tool (geavanceerde checklist)

Daarnaast hebben we ook een online compliance tool ontwikkeld voor het toetsen en toepassen van NEN7510. Daarmee kun je in een handomdraai bladeren door de normen en eisen (een geavanceerde checklist). Met de daaraan gekoppelde en uitgewerkte acties integreer je eenvoudig met de bestaande werkwijze. De gefaseerde invoering wordt ondersteunt met praktische overzichten en invoeringsformulieren.

Case study Dijklander Ziekenhuis

Wij hebben al veel organisaties geholpen bij het implementeren van een compacte, integrale werkwijze. Daardoor hebben zij meer grip gekregen op hun IT-beheer en servicemanagement. Wil je lezen hoe? Download dan onze case study van het Dijklander Ziekenhuis.


Wil je meer lezen over de ISM-methode, download dan de gratis whitepaper met het ISM-procesmodel.

itil service management ism methode servitect

NEN7510 - informatiebeveiliging in de zorg ism methode

Hoe je als procesmanager bijdraagt aan Customer Value

Dwingen de omstandigheden jou als procesmanager tot voornamelijk reactief werken? Kun jij wel echt bezig met klantwaarde of Customer Value? En wil je daadwerkelijk aan win/win oplossingen werken, de...

ISM: ontwikkelplatform voor modern IT-servicemanagement in de publieke sector

De ISM-methode is een praktisch toepassingsmodel en uitermate geschikt voor IT-afdelingen in de publieke sector. De ISM-methode verbetert samenwerking, versimpelt werkwijzen en zorgt dus voor meer efficiëntie en samenhang. Met andere woorden: ISM is een ontwikkelplatform en helpt jouw organisatie met het realiseren van modern IT-servicemanagement.

ict in de zorg ism methode

ICT in de zorg: in zes stappen naar betere IT-diensten en betere zorg

Goede zorg is steeds meer afhankelijk van goede IT-diensten. Dat geldt voor ziekenhuizen en in toenemende mate ook voor andere zorgorganisaties. Steeds vaker blijkt dat falende ICT directe gevolgen...

BiSL en ISM: verschillen en overeenkomsten

Terwijl in de praktijk de term informatiemanagement vaak gelijkgesteld wordt met functioneel beheer geeft ISM informatiemanagement een bredere reikwijdte. Volgens ISM, of Integrated Service...

10 ITSM trends en tips voor 2024

Graag presenteer ik hierbij mijn IT Service Management trends en tips voor 2024! In 2023 zagen we veel IT-organisaties worstelen met de kwaliteit van hun dienstverlening. Onder grote druk hebben ze...

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
+3188 – 2034000