De eisen van NEN 7510 en NEN 7513 heeft bijna iedereen binnen de zorg wel globaal op het netvlies. Of het nu gaat om de directie, IT-managers, facilitaire managers, projectleiders of consultants.
Informatiebeveiliging
NEN 7510 is een norm voor informatiebeveiliging voor de zorgsector en NEN 7513 gaat over logging: het vastleggen van acties op het elektronisch patiëntendossier, zodat achterhaald kan worden wie er toegang heeft gehad tot het dossier.
Hoewel de NEN-eisen bij de verantwoordelijken binnen de zorg goed bekend zijn en bijna niemand nut en noodzaak kan en wil ontkennen is de praktijk weerbarstiger. Daar is sprake van een spanningsveld tussen deze eisen enerzijds en de trends die de zorg momenteel kenmerken anderzijds. De oplossing is niet eenvoudig, maar moet meestal gezocht worden in de techniek, die in de zorg dus steeds meer omarmd zal moeten worden.
Gebruik eigen account
Neem bijvoorbeeld de eis dat altijd bekend moet zijn welke zorgmedewerker gegevens heeft ingezien, toegevoegd of veranderd. Deze eis druist voor veel zorgmedewerkers lijnrecht in tegen datgene waar zij voor staan: snel en efficiënt zorg verlenen. En dus willen ze niet eerst een tijdrovende inlogprocedure doorlopen als ze even snel iets moeten opzoeken. En waarom is dat nodig als je collega toch al is ingelogd op dezelfde computer?
Hoewel de IT-afdelingen van zorginstellingen er inmiddels wel voor hebben gezorgd dat alle medewerkers beschikken over een eigen account, is niet gegarandeerd dat ze die ook gebruiken. Wie hoort hoe vaak IT-servicedeks te maken krijgen met verlopen of vergeten wachtwoorden, weet hoe de vlag erbij hangt. Zoals een IT-servicedeskmedewerker het laatst wat oneerbiedig verwoordde: “Wij kunnen die witte jassen toch nergens toe dwingen!”.
En dat klopt. Het gebruik van een eigen account afdwingen is lastig, tenzij je het proces van beperkingen voorziet – maar laten die nou meestal de flexibiliteit niet ten goede komen. Gelukkig komen er steeds meer oplossingen die het supersnel in- en uitloggen en het ‘fast user switchen’ mogelijk maken.
Tijdelijke medewerkers
Datzelfde geldt ook voor een andere uitdaging als gevolg van een belangrijke trend in de zorg: het groeiend aantal tijdelijk ingehuurde flexibele medewerkers. Steeds vaker wordt een beroep gedaan op zorgprofessionals die freelance of op detacheringsbasis werken. Een vriendin van mijn vrouw is zo’n zorgflexwerker: ze weet soms ’s avonds niet waar ze de volgende dag aan de slag gaat. En net zo min als zij dit weet, weet de zorginstelling wie het team zal komen versterken. Die roept misschien pas op het laatste moment haar hulp in omdat er een gat is gevallen in de planning.
Eigen account
Toch verwachten de NEN-normen ook van háár dat zij, vanaf het moment dat ze aan de slag gaat en een zorgdossier moet inzien, kan inloggen met haar eigen gebruikersnaam en wachtwoord. Een halve dag, of zelfs maar een uurtje, wachten tot dit alles is geregeld is dan al te veel. En haar taken zo inrichten dat ze geen computersystemen hoeft te gebruiken, maakt de zaken nodeloos ingewikkeld. Als haar tijdelijke inzet erop zit, wordt dan ook nog verwacht dat haar account direct wordt verwijderd en ze niet per ongeluk nog toegang heeft tot vertrouwelijke gegevens.
Integraal systeem
Wie dit al eens in de praktijk heeft meegemaakt, weet dat het niet makkelijk is te faciliteren. De oplossing is er één die door steeds meer zorginstellingen wel omarmd zal moeten worden: een integraal identity en access management systeem. Ten onrechte wordt dit vaak nog gezien als een combinatie van koppelingen tussen diverse systemen, terwijl het inmiddels een instrument is geworden om uitdagingen als deze het hoofd te bieden. Een dergelijk systeem zorgt er namelijk voor dat gegevens van wie dan ook, dus ook die van de tijdelijke medewerkers, zo gauw ze bekend zijn in één systeem, automatisch worden doorgevoerd, inclusief rechten en beperkingen, naar andere systemen. Zodat de vriendin van mijn vrouw onmiddellijk aan de slag kan op haar tijdelijke locatie en efficiënter – en in lijn met de NEN-normering aan de slag kan.
Technische oplossing
Net zoals bij het snel in- en uitloggen zorgt ook hier een technische oplossing ervoor dat de zorgmedewerker kan voldoen aan de eisen van NEN 7510 en 7513 zonder dat de zorgverlening hieronder lijdt. Techniek speelt dus een wezenlijke rol bij het voldoen aan NEN-certificeringseisen, maar dit is helaas nog niet altijd op het juiste niveau – het directieniveau – bekend. Dat terwijl directies van zorginstellingen juist nauw betrokken zouden moeten zijn bij de selectie en implementatie van dergelijke oplossingen. Nu laten ze helaas nog te vaak de bal liggen bij de IT-afdeling in plaats van zich te laten voorlichten over het nut, de noodzaak en het strategische belang.
Bram Haasnoot
Expert op het gebied van informatiebeveiliging in de zorg.
Twee decennia geleden was Haasnoot als directeur Novell Nederland betrokken het opzetten van stabiele IT-platformen bij verschillende zorginstellingen. Nu is hij als eigenaar van RealOpen IT gericht op de bescherming van en toegang tot privacygevoelige digitale gegevens bij zorginstellingen en ziekenhuizen.
RealOpen IT is lid van de werkgroep NEN 7510 die zich bezig houdt de toegang tot en uitwisseling van patiëntgegevens. Daarnaast is RealOpen IT gesprekspartner van het NICTIZ en de Patiëntenfederatie NPCF. Haasnoot is ook lid van het Platform Identity Management Nederland (PIMN), dat zich richt op de bescherming van privacygevoelige informatie.