NEN7510, de kans voor betere patiëntenzorg én IT-diensten!

Wim Hoving

Architect ISM-Methode

Informatiebeveiliging is in de zorg nog altijd een stiefkindje. De aandacht voor security is eerder afgedwongen door regelgeving dan gedreven door kwaliteitsbewustzijn en professionaliteit. Vanzelfsprekend gaat de aandacht eerst en vooral naar de patiënt. Maar juist de zorg voor de patiënt zou ook moeten leiden tot belangstelling voor informatiebeveiliging. We maken nog te vaak incidenten mee waarbij ziekenhuizen dicht moeten vanwege security-incidenten. Nog te vaak wordt de privacy van patiënten geschonden en voldoen zorginstanties niet aan de basisveiligheidseisen.

Patiëntenzorg kan tegenwoordig niet meer zonder goede ICT en geïntegreerde aandacht voor IT-security. Vanaf het eerste contact met een patiënt of cliënt verzamelt een zorginstelling allerlei gegevens. En met de nieuwste technologische ontwikkelingen neemt niet alleen de hoeveelheid verzamelde data toe; dat geldt ook voor de verschillende manieren waarop deze informatie wordt verzameld, verwerkt en gedeeld. En om het nog ingewikkelder te maken: medische gegevens van patiënten en cliënten zijn per definitie vertrouwelijk en moeten altijd en overal betrouwbaar zijn. Goede informatiebeveiliging in de zorg is daarom van levensbelang! 

Informatiebeveiliging in de zorg moet aan strenge eisen voldoen

Voortschrijdende digitalisering en de veranderende rol van data leidt dan ook tot het stellen van strengere eisen aan informatiebeveiliging. Gezondheidsgegevens vormen bijvoorbeeld een bijzondere categorie binnen de AVG. En niet voor niets is werken met NEN 7510 al sinds 2018 wettelijk verplicht. Er is namelijk een hoog risico op incidenten met grote impact. 

Natuurlijk wil je als zorginstelling ook voldoen aan de wetgeving. Je hebt immers geen behoefte aan boetes. Security-breaches en incidenten leiden bovendien niet alleen tot financiële schade maar kunnen ook flinke imagoschade tot gevolg hebben. Veel zorginstellingen zien de toenemende eisen op het gebied van databeveiliging en privacy echter als extra horde. Een belemmerende factor die vraagt om de inrichting van nieuwe processen en die voor nog meer werklast zorgt. 

Informatiebeveiliging draagt juist bij aan goede zorg en professionaliteit

Wie de AVG en NEN 7510 ziet als bureaucratie zal inderdaad merken dat ze belemmerend werken. Maar je zou informatiebeveiliging in de zorg ook kunnen zien als middel om de kwaliteit van de patiëntenzorg te verbeteren. NEN 7510 gaat sec weliswaar niet over de kwaliteit van de zorgverlening maar wel over de informatiestromen en de maatregelen die je moet nemen om privacy- en veiligheidsrisico’s te beheersen. En een accurate vastlegging van medische gegevens en een adequate uitwisseling van informatie draagt wel degelijk bij aan goede zorg. Medisch personeel moet er immers op kunnen vertrouwen dat de benodigde medische informatie beschikbaar, juist en volledig is. En daarnaast vindt iedereen het toch belangrijk dat zijn of haar eigen medische gegevens beschermd zijn? 

Neem patiëntenzorg als uitgangspunt in plaats van regels

Juist dát zou het uitgangspunt moeten zijn om te willen voldoen aan NEN 7510. Grijp dit soort regels dus aan als een kans, of breekijzer, om de kwaliteit van je patiëntenzorg te verbeteren. Werken met NEN 7510 draagt dan daadwerkelijk bij aan een effectievere en efficiëntere manier van zorgverlening. Door voldoen aan NEN 7510 als onderdeel te zien van je kwaliteitsbeleid wordt het een strategisch middel in plaats van een wettelijke verplichting. Dit maakt het ook vanzelfsprekender om continue verbetering na te streven in plaats van alles snel op orde te brengen op het moment van een audit.

IT-dienstverlening belangrijke basis voor werken met NEN 7510

Werken volgens NEN 7510 betekent dat je organisatie zo is ingericht dat informatie goed is beveiligd en uitsluitend toegankelijk is voor geautoriseerde personen. Maar ook dat de informatie te allen tijde beschikbaar en accuraat is. Deze eisen hebben betrekking op de gehele organisatie, maar door toenemende digitalisering wordt een groot deel daarvan gerealiseerd door je IT-dienstverlening. En de kwaliteit van deze dienstverlening wordt bepaald door de uitvoering van IT-beheer. Door de werkwijze van IT-beheer goed te organiseren voldoe je dus al in belangrijke mate aan de gestelde eisen. En dat kan gelukkig prima zonder allerlei extra rompslomp en nieuwe procedures. 

Lees ook: 'Zes stappen voor betere patiëntenzorg door geïntegreerd IT-beheer'

Maak NEN 7510 onderdeel van je organisatie en je servicelevels

Het borgen van je informatiebeveiliging volgens NEN 7510 kan namelijk heel goed met een standaard werkwijze als de ISM-methode (Integrated Service Management). Het voordeel is dat deze methode NEN 7510 onderdeel maakt van een integrale aanpak voor goed servicemanagement, en je dus geen aparte processen hoeft in te richten. NEN 7510 en AVG stellen namelijk vooral eisen aan de IT-dienstverlening en zijn feitelijk dus niets anders dan servicelevels die in Service Level Agreements (SLA’s) thuishoren.

Om te voldoen aan NEN 7510 moet een IT-afdeling activiteiten uitvoeren die betrekking hebben op de inrichting van de informatiesystemen en de werkwijze van de afdeling. Dit zijn voor ieder ziekenhuis en zorginstelling dezelfde werkzaamheden. Deze activiteiten kun je prima borgen in de basiswerkprocessen van de IT-afdeling. Wij hebben de NEN 7510 eisen vertaald naar de benodigde acties en deze gekoppeld aan de compacte werkwijze. Je kunt dan volstaan met zes compacte ISM-processen die je volledige servicemanagement afdekken, inclusief werken met NEN 7510. Daaronder valt de inrichting, toepassing én toetsing. Ook eisen vanuit de AVG, maar ook het Convenant Medische Technologie en SLA’s, kun je hierin meenemen. Verplichte acties zijn dan geen bureaucratie meer, omdat ze herkenbaar zijn gekoppeld aan de patiëntenzorg. 

Belangrijk is verder dat je niet alleen na de jaarlijkse audit, maar permanent een actueel beeld hebt van de mate waarin aan de NEN 7510 eisen wordt voldaan. Een NEN 7510 monitor kan je helpen om goede informatiebeveiliging een standaard onderdeel te maken van je beleid en je organisatie. Deze monitor is feitelijk niet meer dan een besturingsmodel waarmee je op ieder gewenst moment weet hoe je ervoor staat in de NEN 7510 lifecycle. Je ziet bijvoorbeeld in één oogopslag welke activiteiten voldoende en onvoldoende geborgd zijn en hoever je bent met het behalen van je doelen. 

ISM Portal - NEN 7510 lifecycle

Lees ook onze paper 'Snel en duurzaam voldoen aan NEN 7510'

Informatiebeveiliging in de zorg is verantwoordelijkheid van iedereen

Maar informatiebeveiliging in de zorg is en blijft uiteraard een verantwoordelijkheid van iedereen in de organisatie. Van het management tot aan de zorgverlener zelf. Het is de verantwoordelijkheid van het management om op strategisch niveau een degelijk informatiebeveiligingsplan op te stellen, dat de basis vormt voor de werkwijze van IT-beheer op tactisch en operationeel niveau. Daarnaast zal iedere individuele medewerker doordrongen moeten zijn van het belang van informatiebeveiliging voor de kwaliteit van de zorgverlening. Digitaal kan de privacy nog zo goed geborgd zijn, als medisch personeel onzorgvuldig omgaat met vertrouwelijke gegevens, dan ga je alsnog de mist in.  

Houding en gedrag van mensen blijft dus heel belangrijk. NEN heeft daarom een handige online bewustwordingstool ontwikkeld waarmee zorgprofessionals feedback krijgen op hun handelen.

Maar goede informatiebeveiliging werkt alleen als medewerkers niet alleen instructies ontvangen, maar ook begrijpen wat het belang is van bepaalde procedures. En als zij voortdurend geïnformeerd worden over de actuele stand van zaken. “Security is geen actie maar een houding.” Pas dan wordt het een vanzelfsprekendheid. Ook hier geldt dus dat de kwaliteit van de patiëntenzorg het uitgangspunt zou moeten zijn, en niet het voldoen aan regels. Customer value gaat dus boven alles!

Op 27, 28 en 29 oktober 2020 zijn wij aanwezig op het Zorg & ICT event in de jaarbeurs Utrecht. In ons seminar leggen wij uit hoe met een gestandaardiseerde aanpak NEN7510 ingezet wordt om de kwaliteit en efficiency van IT-dienstverlening te versterken en daarmee de patiëntenzorg te verbeteren. In onze stand geven wij een demo van de NEN 7510 monitor.

Wij hebben al veel organisaties geholpen bij het implementeren van een compacte, integrale werkwijze. Daardoor hebben zij meer grip gekregen op hun IT-beheer en servicemanagement. Wil je lezen hoe? Download dan hieronder onze case study van het Dijklander Ziekenhuis. 

Download de Case Study

Wil je op de hoogte blijven van ISM?

Meld je aan:

Lef en leiderschap gezocht: Draaimolenmanagement en vergadertijgers

Draaimolenmanagement, hard werken maar geen invloed op de koers Confronterend Het is verrassend te constateren dat binnen veel IT-beheerorganisaties het management onvoldoende weet hoe er intern...
Modern Service Management: de puzzel klopt

Modern Service Management, everything comes together!

Nog nooit was de wereld van Service Management zo in beweging als de laatste jaren. People, Process en Product: alles beweegt, maar hoe komt dit samen in Modern Service Management? Agile is het...
thuiswerken in de IT ism methode

Thuiswerken en de impact op leiderschap in de IT – 9 tips

Nederland is massaal gaan thuiswerken. Dat geldt ook voor IT-ers. Thuiswerken in de IT heeft grote impact en vraagt om andere samenwerking en leiderschap!

ICT en AVG

IT en AVG: mooie kansen, maar wacht niet te lang!

Op 25 mei 2018 - en dat is sneller dan je denkt - treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het...
itil service management ism methode

Hoe vermijd je de grootste valkuilen van ITIL service management?

Met 34 best practices is ITIL allang niet meer lean te noemen. Dus hoe vermijd je de grootste valkuilen van ITIL service management? Lees het hier!

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina's direct toepasbaar

Blijf op de hoogte van ISM



Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

info@ismportal.nl
050 - 5791387

}});