BLOG

Informatiebeveiliging en flexibiliteit in zorg vaak op gespannen voet

Informatiebeveiliging en flexibiliteit in zorg vaak op gespannen voet

De eisen van NEN 7510 en NEN 7513 heeft bijna iedereen binnen de zorg wel globaal op het netvlies. Of het nu gaat om de directie, IT-managers, facilitaire managers, projectleiders of consultants.

Informatiebeveiliging

NEN 7510 is een norm voor informatiebeveiliging voor de zorgsector en  NEN 7513 gaat over logging: het vastleggen van acties op het elektronisch patiëntendossier, zodat achterhaald kan worden wie er toegang heeft gehad tot het dossier.

Hoewel de NEN-eisen bij de verantwoordelijken binnen de zorg goed bekend zijn en bijna niemand nut en noodzaak kan en wil ontkennen is de praktijk weerbarstiger. Daar is sprake van een spanningsveld tussen deze eisen enerzijds en de trends die de zorg momenteel kenmerken anderzijds. De oplossing is niet eenvoudig, maar moet meestal gezocht worden in de techniek, die in de zorg dus steeds meer omarmd zal moeten worden.

Gebruik eigen account

Neem bijvoorbeeld de eis dat altijd bekend moet zijn welke zorgmedewerker gegevens heeft ingezien, toegevoegd of veranderd. Deze eis druist voor veel zorgmedewerkers lijnrecht in tegen datgene waar zij voor staan: snel en efficiënt zorg verlenen. En dus willen ze niet eerst een tijdrovende inlogprocedure doorlopen als ze even snel iets moeten opzoeken. En waarom is dat nodig als je collega toch al is ingelogd op dezelfde computer?

Hoewel de IT-afdelingen van zorginstellingen er inmiddels wel voor hebben gezorgd dat alle medewerkers beschikken over een eigen account, is niet gegarandeerd dat ze die ook gebruiken. Wie hoort hoe vaak IT-servicedeks te maken krijgen met verlopen of vergeten wachtwoorden, weet hoe de vlag erbij hangt. Zoals een IT-servicedeskmedewerker het laatst wat oneerbiedig verwoordde: “Wij kunnen die witte jassen toch nergens toe dwingen!”.

En dat klopt. Het gebruik van een eigen account afdwingen is lastig, tenzij je het proces van beperkingen voorziet – maar laten die nou meestal de flexibiliteit niet ten goede komen. Gelukkig komen er steeds meer oplossingen die het supersnel in- en uitloggen en het ‘fast user switchen’ mogelijk maken.

Tijdelijke medewerkers

Datzelfde geldt ook voor een andere uitdaging als gevolg van een belangrijke trend in de zorg: het groeiend aantal tijdelijk ingehuurde flexibele medewerkers. Steeds vaker wordt een beroep gedaan op zorgprofessionals die freelance of op detacheringsbasis werken. Een vriendin van mijn vrouw is zo’n zorgflexwerker: ze weet soms ’s avonds niet waar ze de volgende dag aan de slag gaat. En net zo min als zij dit weet, weet de zorginstelling wie het team zal komen versterken. Die roept misschien pas op het laatste moment haar hulp in omdat er een gat is gevallen in de planning.

Eigen account

Toch verwachten de NEN-normen ook van háár dat zij, vanaf het moment dat ze aan de slag gaat en een zorgdossier moet inzien, kan inloggen met haar eigen gebruikersnaam en wachtwoord. Een halve dag,  of zelfs maar een uurtje,  wachten tot dit alles is geregeld is dan al te veel. En haar taken zo inrichten dat ze geen computersystemen hoeft te gebruiken, maakt de zaken nodeloos ingewikkeld. Als haar tijdelijke inzet erop zit, wordt dan ook nog verwacht dat haar account direct wordt verwijderd en ze niet per ongeluk nog toegang heeft tot vertrouwelijke gegevens.

Integraal systeem

Wie dit al eens in de praktijk heeft meegemaakt, weet dat het niet makkelijk is te faciliteren. De oplossing is er één die door steeds meer zorginstellingen wel omarmd zal moeten worden:  een integraal identity en access management systeem. Ten onrechte wordt dit vaak nog gezien als een combinatie van koppelingen tussen diverse systemen, terwijl het inmiddels een instrument is geworden om uitdagingen als deze het hoofd te bieden. Een dergelijk systeem zorgt er namelijk voor dat gegevens van wie dan ook, dus ook die van de tijdelijke medewerkers, zo gauw ze bekend zijn in één systeem, automatisch worden doorgevoerd, inclusief rechten en beperkingen, naar andere systemen. Zodat de vriendin van mijn vrouw onmiddellijk aan de slag kan op haar tijdelijke locatie en efficiënter – en in lijn met de NEN-normering aan de slag kan.

Technische oplossing

Net zoals bij het snel in- en uitloggen zorgt ook hier een technische oplossing ervoor dat de zorgmedewerker kan voldoen aan de eisen van NEN 7510 en 7513 zonder dat de zorgverlening hieronder lijdt. Techniek speelt dus een wezenlijke rol bij het voldoen aan NEN-certificeringseisen, maar dit is helaas nog niet altijd op het juiste niveau – het directieniveau – bekend. Dat terwijl directies van zorginstellingen juist nauw betrokken zouden moeten zijn bij de selectie en implementatie van dergelijke oplossingen. Nu laten ze helaas nog te vaak de bal liggen bij de IT-afdeling in plaats van zich te laten voorlichten over het nut, de noodzaak en het strategische belang.

Bram Haasnoot
Expert op het gebied van informatiebeveiliging in de zorg.

Twee decennia geleden was Haasnoot als directeur Novell Nederland betrokken het opzetten van stabiele IT-platformen bij verschillende zorginstellingen. Nu is hij als eigenaar van RealOpen IT gericht op de bescherming van en toegang tot privacygevoelige digitale gegevens bij zorginstellingen en ziekenhuizen.

RealOpen IT is lid van de werkgroep NEN 7510 die zich bezig houdt de toegang tot en uitwisseling van patiëntgegevens. Daarnaast is RealOpen IT gesprekspartner van het NICTIZ en de Patiëntenfederatie NPCF. Haasnoot is ook lid van het Platform Identity Management Nederland (PIMN), dat zich richt op de bescherming van privacygevoelige informatie.

5 Reacties

om een reactie achter te laten

Dr. Korvenaar

12 april 2013

Skipr heeft deze reactie verwijderd.
Skipr stelt als voorwaarde aan reacties op deze website: u reageert op de inhoud van het betreffende bericht of blog.
Niet op andere onderwerpen of publicaties van derden. Aanvallen op personen, diskwalificaties en kwetsende reacties verwijderen we zonder overleg.
Hinderlijk achtervolgen van personen staan wij niet toe. Voor wie volhardt in het plaatsen van beschuldigingen, sluit Skipr de toegang tot de reactiemogelijkheid af.




Dit bericht is bewerkt door de beheerder op 17-04-2013 09:52.

Timmer

13 april 2013

Skipr heeft deze reactie verwijderd.
Skipr stelt als voorwaarde aan reacties op deze website: u reageert op de inhoud van het betreffende bericht of blog.
Niet op andere onderwerpen of publicaties van derden. Aanvallen op personen, diskwalificaties en kwetsende reacties verwijderen we zonder overleg.
Hinderlijk achtervolgen van personen staan wij niet toe. Voor wie volhardt in het plaatsen van beschuldigingen, sluit Skipr de toegang tot de reactiemogelijkheid af.



Dit bericht is bewerkt door de beheerder op 17-04-2013 09:51.

Anoniem

14 april 2013

Ik sta echt helemaal versteld van het negativisme in de voorgaande twee reacties. Die man schrijft toch een heel inhoudelijk stuk over iets wat ontegenzeggelijk een probleem vormt in de zorg en waar de IGZ al jaren op hamert? Ik denk dat de schrijvers van deze reacties zich diep moeten schamen en zich voortaan verre dienen te houden van hun inhoudsloze en smakeloze sentimenten te ventileren in professionele forums.

Anoniem

15 april 2013

Het quoten van een oneerbiedige reactie zet veel kwaad bloed. De inhoud is dan in het geheel niet meer van belang. Jammer, want het is wel een issue.

van der Burg

23 april 2013

Een integraal identity en access management systeem is volgens mij een "must". Gezien de ontwikkelingen binnen de zorgsector waarbij het gebruik van SaaS / Cloud services toeneemt en van de gebruiker verwacht wordt dat ze goed om gaan met privacy gevoelige gegevens conform de gestelde richtlijnen (NEN 7510), moeten we ICT inzetten als "hulpmiddel" en gebruik maken van de mogelijkheden die nu beschikbaar zijn.

Top