Al jaren is de roep vanuit de zorg ‘’Laat ons zorg verlenen en stop met onnodige regels en administratie.’’ De realiteit is echter weerbarstig. Dat geldt ook voor IT compliance. De zorg moet rondom ICT en Medische Technologie aan steeds meer wet- en regelgeving (vereisten) voldoen. Toezichthouders zoals de IGJ, de AP, de accountant maar ook de eigen Raad van Toezicht wijzen hen daar in toenemende mate op, en koepelorganisaties zoals NVZ en ActiZ zijn al diverse initiatieven gestart om hun leden daarbij te ondersteunen.
Aan de ene kant is er volop begrip merken wij bij onze klanten. Zo is de continuïteit en veiligheid van de zorg sterk afhankelijk van digitalisering en daar horen regels en controles bij. Aan de andere kan is er onbegrip. De compliance druk neemt voortdurend toe. De effecten daarvan zijn duidelijk merkbaar in de primaire zorgprocessen maar ook in de werkzaamheden die zorgaanbieders moeten uitvoeren om compliance aan te tonen. In de praktijk betekent dit dat gedurende het jaar meerdere audits moeten worden uitgevoerd, audits die zich vaak richten op terugkerende en overlappende onderwerpen. Onze gedachte is, dat moet toch gemakkelijker kunnen!
Met gezond verstand verlagen van de IT compliance druk
De verschillende toezichthoudende organen hanteren bij hun werkzaamheden verschillende raamwerken, waaronder NEN 7510, NEN 7512, NEN 7513, NTA 7516, DigiD (norm ICT-beveiligingsassessments DigiD, gebaseerd op NCSC-richtlijn), NIS2, IGJ e-health, Zorgkwaliteit (Qualicor of JCI), Jaarrekeningcontrole door de accountant (General IT controls), Horizontaal Toezicht (Control Framework 3.0), NVZ Gedragslijn 1.0 en 2.0 (Privacy) en in sommige gevallen CobIT.
Er zit een grote overlap in de IT raamwerken en richtlijnen waar goed gebruik kan worden gemaakt bij het verlagen van de IT compliance druk!
Wij hebben afgelopen jaren met een aantal klanten in de zorg deze raamwerken in detail naast elkaar gelegd. Wat blijkt, omdat deze vereisten vanuit diverse achtergronden worden opgelegd en deze vaak breder zijn dan alleen technologie, sluiten de getroffen beheersmaatregelen vaak (nog) niet op elkaar aan en vindt in de praktijk veel onnodig dubbel uitvoerings- en auditwerk plaats of worden juist bepaalde controls niet (aantoonbaar) uitgevoerd. Stap 1 lag dan ook erg voor de hand: ontdubbelen en stroomlijnen.
Lastenverlichting door een geïntegreerde aanpak
Het zal dan ook niet verrassend zijn dat het uitvoeren van stap 1, het stroomlijnen van al deze raamwerken tot een voor de zorgorganisatie eigen ‘Geïntegreerd IT Control Framework’, een enorme positieve impact heeft op focus en effectiviteit van maatregelen. Stap 2 die wij hebben gezet is het op een praktische manier opzetten van een meer geïntegreerde aanpak waarbij vereisten en beheersmaatregelen met elkaar in samenhang worden beschouwd, worden geïmplementeerd en door de eigen organisatie op effectiviteit worden getoetst.
Wat blijkt? In onze praktijk leidt deze integrale aanpak direct tot zowel een administratieve lastenverlichting als een kwaliteitsverbetering.
Geïntegreerd IT Control Framework (GITCF)
Stap 3 is geweest om samen met een aantal ziekenhuizen een Geïntegreerd IT Control Framework uit te werken en in de praktijk toe te passen. Het GITCF is gebaseerd op NEN 7510 en biedt de betreffende ziekenhuizen concreet inzicht in de samenhang tussen de NEN7510 en de vereisten vanuit de diverse raamwerken en de beheersmaatregelen rondom IT die het ziekenhuis heeft getroffen en/ of zou moeten treffen.
Dit leidt ertoe dat ziekenhuizen succesvol in staat zijn de set aan beheersmaatregelen te ‘rationaliseren’ wat in de praktijk betekent dat het aantal te treffen maatregelen afneemt en daardoor ook de beheer- en auditlast afneemt.
De eerste ervaringen laten een afname van zo’n 40% zien. Daar worden wij niet alleen blij van, maar veel belangrijker onze klanten!
Gezien het geïntegreerde karakter en de complexiteit is specifieke ‘tooling’ eigenlijk onmisbaar. In de zorg wordt geworsteld met tooling of in elk geval te moeilijke tooling. Wij hebben ons Geïntegreerde IT Control Framework daarom eerst uitgewerkt in Excel. Dit heeft als groot voordeel dat eerst op een flexibele wijze de rationalisatie van beheersmaatregelen kan plaatsvinden en aansluitend een ‘schone’ set beheersmaatregelen in daarvoor geschikte, en wellicht al aanwezige, tooling kan worden vastgelegd. Passend voor elke specifieke klantsituatie.
Als onderdeel van het uitwerken van het Integrated IT Control Framework zijn wij op dit moment met een aantal tools aan de slag zodat we u daarin nog beter kunnen adviseren. Wilt u meer weten over onze aanpak met het Integrated IT Control Framework, of bent u geïnteresseerd in onze cliënt cases, wij geven graag een toelichting.
Als u meer wilt weten neem contact op met Hans Donkers (hansdonkers@wedotrust.nl, 0653754323) of Jaap van Beek (jaapvanbeek@wedotrust.nl, 0653256697).