Iedereen in de zorg weet dat de sector steeds vaker wordt getroffen door cyberaanvallen, waarbij ransomware en datalekken een groot probleem zijn. De toename van dreigingen maakt het dat zorgbestuurders gericht zoeken naar oplossingen om de cyberbeveiliging te versterken.
De afgelopen jaren heeft WeDoTrust een groot aantal ziekenhuizen, VVT- en GGZ -instellingen geholpen bij het inrichten van de informatiebeveiliging en privacy. De instellingen hebben hiermee een grote stap gerealiseerd in het vergroten van de cyberbeveiliging en creëren van een volwassen informatiebeveiligings- en privacy proces volgens NEN7510, de norm voor informatiebeveiliging in de Zorg. Een terugkerend vraagstuk is hoe een blijvende borging te organiseren. Dit niet alleen om aantoonbaar aan NEN7510 te blijven voldoen, maar ook gezien de steeds verdere toepassing van zorgdigitalisering in het primaire proces en de naleving van overige wet- en regelgeving. Denk aan het voldoen aan de Cyberbeveiligingswet (NIS2), wetgeving op gebied van AI, Wegiz, et cetera.
Bestuurders onderkennen dat het in dienst nemen van ervaren information security officers en van schaars beschikbare privacy en security specialisten op alle gebieden in veel gevallen niet haalbaar en niet efficiënt is. Ook zien zij dat de uitdagingen op het gebied van de borging voor nagenoeg iedereen gelijk zijn. Op het gebied van informatiebeveiliging en privacy wordt ‘het wiel’ steeds (onnodig) opnieuw door de afzonderlijke zorgorganisaties uitgevonden. De overgang van richten, inrichten naar verrichten (borging) wordt veelal onvoldoende gevonden.
”Hoe als bestuurder de borging te organiseren in een tijd waarbij het in dienst nemen van schaars beschikbare privacy en security specialisten niet haalbaar en efficiënt is.
Met verschillende zorgorganisaties heeft WeDoTrust het thema van de borging uitgediept en in co-creatie een aanpak uitgewerkt voor het ondersteunden van de instelling bij het structureel borgen van informatiebeveiliging en bijbehorende privacy aspecten. De kern daarvan is dat een ‘coördinerend vliegwiel’ wordt gecreëerd om meerjarig het management voor informatiebeveiliging (ISMS) te optimaliseren en draaiend te houden. Daarbij valt te denken aan het opstellen en bijhouden van een jaarplan (operationele jaarkalender), het uitvoeren en onderhouden van risicoanalyses, het monitoren en meten van doelstellingen (KPI dashboards), het voorbereiden en begeleiden van de periodieke directiebeoordelingen (inclusief opstellen van voortgangsrapportages), en het geven van training/opleiding. Ook kunnen periodiek onafhankelijke audits worden uitgevoerd en kan de instellingen worden ondersteund bij het uitvoeren van periodieke controles in de eerste lijn (op basis van een passende auditprogramma).
Inmiddels hebben meerdere zorginstellingen gekozen om deze vorm van structurele ondersteuning bij de borging van informatiebeveiliging en privacy af te nemen. Dit met ondersteuning van een team van WeDoTrust-specialisten dat nauw met de betreffende zorginstelling samenwerkt, met vaste aanspreekpunten die rechtstreeks zijn te benaderen en die de organisatie kennen. Onze aanpak is gericht op ontzorgen van de instelling en het leveren van (hands-on) expertise, op basis van een helder zorggericht (proces-)plan.
Als u meer wilt weten neem contact op met Hans Donkers (hansdonkers@wedotrust.nl, 0653754323) of Jasper de Vries (jasperdevries@wedotrust.nl, 0682590299)
