Governance & Assurance

De Nederlandse norm NEN 7510 voor informatiebeveiliging in de zorg bestaat uit twee delen. NEN7510-1 is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (ook wel bekend als Information Security Management Systeem – ISMS). NEN 7510-2 voorziet in nadere richtlijnen voor de invulling van de beheersmaatregelen over hoe men het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen. In het kader van de ‘Regeling gebruik burgerservicenummer in de zorg’ moeten zorgorganisaties sinds 2008 voldoen aan NEN 7510. Dat maakt NEN 7510 wettelijk verplicht.

Als gespecialiseerd bureau hebben wij veel ervaring met informatiebeveiliging en NEN 7510 en begeleiden wij onder meer de brancheorganisaties NVZ en ActiZ met hun activiteiten op dit gebied.

Wij zien onze rol als een belangrijke bijdrage aan het succes van uw organisatie op het gebied van informatiebeveiliging.

Onafhankelijke beoordeling NEN 7510
WeDoTrust kan u helpen bij het uitvoeren van een onafhankelijke externe audit (assurance) als alternatief voor NEN 7510 certificering. Met onze rapportage kunt u aantonen richting bijvoorbeeld de toezichthouder dat uw organisatie aan NEN 7510 voldoet. Indien er tekortkomingen worden geconstateerd, helpen wij de organisatie deze te vertalen naar een concreet actieplan.

Wij houden niet van een onvoorspelbaar oordeel aan het eind van het traject. Onze ervaring leert dat zorgorganisaties duidelijkheid willen over hoe een onafhankelijke beoordeling verloopt en wat van hen wordt verwacht. Daarom dragen wij zorg voor een kick-off en eventueel een tussentijdse meting. De tussentijdse meting resulteert in een rapport inclusief een uitvoerbaar actieplan, waarmee uw organisatie aan de slag kan om NEN-7510 verder te implementeren. Gedurende uw implementatie beoordelen wij desgevraagd tussenversies van documenten en lichten waar nodig de norm verder toe. Ten slotte voeren we een definitieve onafhankelijke beoordeling uit.

Onze NEN 7510 onafhankelijke beoordelingen worden uitgevoerd voor een vaste prijs, er zijn dus geen onverwachte uitgaven. Onze expertise als senior team, gebaseerd op branche ervaring, assurance ervaring en aantoonbare ervaring met NEN 7510 audits werkt. Op uw verzoek kunnen wij u in contact brengen met referenties.

Certificering NEN 7510
NEN 7510 certificering kan een volgende stap zijn. Indien u kiest voor certificering, kunnen wij deze niet zelf uitvoeren, maar werken wel goed samen met een partij die de certificeringsaudit kan uitvoeren. Wij kunnen zorgdragen voor een ‘warme’ overdracht naar een certificerende partij wiens werkzaamheden goed aansluiten op onze bevindingen en rapportages.

WeDoTrust kan u van advies voorzien en u helpen bij de implementatie van NEN 7510.  Op basis van uw wensen en vragen stellen we een projectplan op om NEN 7510 binnen uw organisatie te implementeren. Onze aanpak bestaat uit verschillende onderdelen:

1. Het uitvoeren van een stevige 0-meting op NEN7510-1 en NEN7510-2, als ware het een NEN7510 assurance opdracht, resulterend in een uitvoerbaar actieplan.
2. Het leveren van ondersteuning bij de implementatie van een ISMS conform NEN7510. Onder de implementatie wordt verstaan de opzet en inrichting van het ISMS passend binnen uw organisatie en voldoend aan de eisen van NEN7510-1.
3. Het uitvoeren van een onafhankelijke beoordeling om, net als bij een certificeringsaudit, vast te stellen of het ISMS aan alle voorwaarden voldoet.
4. Indien een organsiatie kiest voor certificering, werken wij goed samen met een partij die de certificeringsaudit kan uitvoeren en kunnen wij u ondersteunen in dit traject.
5. Het begeleiden van het management bij het voor de eerste keer uitvoeren van een directiebeoordeling. De directie/ het management dient namelijk met geplande tussenpozen het managementsysteem voor informatie- beveiliging van de organisatie te beoordelen, om de continue geschiktheid, adequaatheid en doeltreffendheid te bewerkstelligen.

WeDoTrust begeleid u bij het inrichten van de verschillende elementen van NEN7510. Dit doen we in de vorm van co-productie. Wij proberen zoveel mogelijk aan te sluiten bij uw bestaande documenten en structuren maar we hebben ook templates en voorbeelden die we als basis kunnen hanteren mocht dat nodig zijn. Uitgangspunt is een duurzaam en pragmatisch ISMS dat aansluit bij uw organisatie en in lijn is met de NEN7510-1. Zodat uw organisatie dit zelf in stand kan houden zonder onnodige inspanning en structurele externe ondersteuning.

Met gezond verstand verlagen van de IT compliance druk

De verschillende toezichthoudende organen hanteren bij hun werkzaamheden verschillende raamwerken, waaronder NEN 7510, NEN 7512, NEN 7513, NTA 7516, DigiD (norm ICT-beveiligingsassessments DigiD, gebaseerd op NCSC-richtlijn), IGJ e-health, Zorgkwaliteit (Qualicor of JCI), Jaarrekeningcontrole door de accountant (General IT controls), Horizontaal Toezicht (Control Framework 3.0), NVZ Gedragslijn 1.0 en 2.0 (Privacy) en in sommige gevallen CobIT.

Er zit een grote overlap in de IT raamwerken en richtlijnen waar goed gebruik kan worden gemaakt bij het verlagen van de IT compliance druk!

Wij hebben met een aantal klanten in de zorg deze raamwerken in detail naast elkaar gelegd. Wat blijkt, omdat deze vereisten vanuit diverse achtergronden worden opgelegd en deze vaak breder zijn dan alleen technologie, sluiten de getroffen beheersmaatregelen vaak (nog) niet op elkaar aan en vindt in de praktijk veel onnodig dubbel uitvoerings- en auditwerk plaats of worden juist bepaalde controls niet (aantoonbaar) uitgevoerd.

Stap 1 lag dan ook erg voor de hand: ontdubbelen en stroomlijnen.

Het zal dan ook niet verrassend zijn dat het uitvoeren van stap 1, het stroomlijnen van al deze raamwerken tot een voor de zorgorganisatie eigen ‘Integrated IT Control Framework’, een enorme positieve impact heeft op focus en effectiviteit van maatregelen.

Stap 2 die wij hebben gezet is het op een praktische manier opzetten van een meer geïntegreerde aanpak waarbij vereisten en beheersmaatregelen met elkaar in samenhang worden beschouwd, worden geïmplementeerd en door de eigen organisatie op effectiviteit worden getoetst.

Wat blijkt? In onze praktijk leidt deze integrale aanpak direct tot zowel een administratieve lastenverlichting als een kwaliteitsverbetering.

Integrated IT Control Framework (IITCFW)

Stap 3 is geweest om samen met een aantal ziekenhuizen een Integrated IT Control Framework uit te werken en in de praktijk toe te passen. Het IITCFW is gebaseerd op NEN 7510 en biedt de betreffende ziekenhuizen concreet inzicht in de samenhang tussen de NEN7510 en de vereisten vanuit de diverse raamwerken en de beheersmaatregelen rondom IT die het ziekenhuis heeft getroffen en/of zou moeten treffen.

 Dit leidt ertoe dat ziekenhuizen succesvol in staat zijn de set aan beheersmaatregelen te ‘rationaliseren’ wat in de praktijk betekent dat het aantal te treffen maatregelen afneemt en daardoor ook de beheer- en auditlast afneemt.

De eerste ervaringen laten een afname van zo’n 40% zien. Daar worden wij niet alleen blij van maar veel belangrijker onze klanten!

Gezien het geïntegreerde karakter en de complexiteit is specifieke ‘tooling’ eigenlijk onmisbaar. Als onderdeel van het uitwerken van het Integrated IT Control Framework zijn wij op dit moment met een aantal tools aan de slag zodat we u daarin nog beter kunnen adviseren.

Het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional: geeft de patiënt meer inzicht in zijn eigen zorg. Onderdeel van het VIPP-programma is de zogenaamde VIPP Eindtoets. De toets stelt vast of aan de voorwaarden van de subsidieregeling is voldaan. De VIPP Eindtoets wordt uitgevoerd volgens de ‘Handreiking VIPP-assessments’ en de NOREA Richtlijn 3000D Directe-Opdrachten.
Naast de ziekenhuizen (VIPP1 en VIPP 5) hebben ook de klinieken (VIPP2), de GGZ (VIPP3), huisartsen (Open) en de VVT (Inzicht), Geboortezorg (BabyConnect) dergelijke trajecten uitgevoerd. VIPP Farmacie zal ook volgen.
Al sinds wij in januari 2018 als eerste een VIPP Eindtoets hebben gerapporteerd zijn wij marktleider in Nederland.
Van begin af aan zijn we gegaan voor een belangrijke bijdrage aan het succes van het VIPP-project en dus zeker geen onvoorspelbare audit aan het einde. Wij maken vooraf heldere afspraken en doen er alles aan om te voorkomen dat onze cliënten voor verrassingen komt te staan tijdens ons onderzoek en in onze rapportage.
Al meer dan 150 VIPP Eindtoets afgerond, met een 100% score, voor de overeengekomen vaste prijs, dus zonder onverwachte uitgaven.

De VIPP-programma’s naderen hun einde. Toch is er nog het nodige te doen. De WegiZ wordt de komende jaren ingevoerd en het IZA vraagt om een steeds betere gegevensuitwisseling. De vele audits die wij hebben uitgevoerd hebben een schat aan ervaring en diepgaande kennis opgeleverd die naar de toekomst kan worden ingezet. Niet alleen voor het werkend maken van de gegevensuitwisseling met de patiënt maar eveneens tussen zorgorganisaties onderling en in de regio.