Wouter Hoeffnagel - 06 juli 2023

Pinewood als kennispartner betrokken bij handboek van IP-Zorg

Netwerkorganisatie in informatieveiligheid en privacy voor personen en organisaties in de zorg- en welzijnssector Stichting IP-Zorg publiceert samen met kennispartners een handboek. Het boek geeft een beeld van maatschappelijke en technologische ontwikkelingen, veranderende wet- en regelgeving en de toegenomen risico’s, met als doel zorgbestuurders uitvoerig te informeren. Pinewood, dat over een eigen Security Operations Center beschikt met veel zorginstellingen als klant, was als één van de kennispartners betrokken bij de totstandkoming van het handboek. Andere kennispartners waren Isatis Cyber Security, Infozorg BV, Niveo en Trustbound GRC.

Pinewood als kennispartner betrokken bij handboek van IP-Zorg image

Het handboek geeft een overzicht van relevante ontwikkelingen, met nadruk op wat bestuurders moeten weten over informatieveiligheid en privacy. De komende jaren neemt digitalisering in de zorg toe door inzet van zorgdomotica, internet of things, e-health, maar ook door (verplichte) elektronische gegevensuitwisselingen met ketenpartijen. Ook het recent afgesloten Nationaal Zorg Akkoord gaat hiervan uit. Dit leidt tot meer geautomatiseerde verwerking van (persoons)gegevens en zal nieuwe afwegingen met zich meebrengen ten aanzien van onder andere compliance en risico’s. Het handboek geeft een uitleg per onderwerp en werkt dit uit in een aantal praktische stappen voor zorgbestuurders.

Vertaalslag tussen privacybeleid en security-operatie

Vanuit Pinewood hielp Samuel Bergmann mee aan het handboek. “Het is voor zorgorganisaties vaak lastig om de vertaalslag te maken tussen privacybeleid en de dagelijkse security-operatie. In de beleidsdocumentatie wordt weinig rekening gehouden met het uitgebreide applicatielandschap, verschillende leveranciers en het feit er voor de zorgprocessen vaak ad-hoc functionaliteit beschikbaar moet zijn binnen de authenticatie- en autorisatieprocessen. Meestal zijn er wel maatregelen getroffen, maar het gebrek aan vastlegging van de daadwerkelijke procedures maakt de controleerbaarheid en dus de grip op het treffen van de juiste maatregelen onmogelijk. Het blijft onduidelijk hoe risico’s op het gebied van informatiebeveiliging en privacy kunnen worden opgevangen en geminimaliseerd”, aldus Bergmann.

De beschreven ontwikkelingen en aandachtspunten in het handboek laten zien dat informatievoorziening steeds meer een strategisch risico wordt. Daarom is het handboek ook specifiek gericht op bestuurders; de materie moet nog meer onder hun aandacht worden gebracht, naast de aandacht die het moet hebben van informatiebeveiligings- en privacy-specialisten in de organisatie.

Implementatie van NEN7510

Bergmann: “Een goed voorbeeld is de implementatie van de NEN7510 in de zorg. Bij het vastleggen van beleid en maatregelen wordt nog vaak de hoofdstukindeling van de norm gehanteerd in plaats van het prioriteren en implementeren van maatregelen op basis van een risicobeoordeling. Dit komt terug in het handboek, wat als handig uitgangspunt kan fungeren om de security in de zorg, en daarmee de informatiebeveiliging en privacy, organisatiebreed op te pakken en te verbeteren.”

Naast Pinewood, hielpen Isatis Cyber Security, Infozorg BV, Niveo en Trustbound GRC bij het opstellen van het handboek. Het handboek is te vinden op de site van IP-Zorg (https://ip-zorg.nl/)

Axians 12/11/2024 t/m 26/11/2024 BN+BW