Hoe implementeer je NEN 7510? “Doe alleen wat nuttig en nodig is”, adviseert Jaap van der Wel.

 

Door de toenemende automatisering zijn de gevolgen groter als er iets mis gaat, stelt Jaap van der Wel, directeur van Comfort-IA. “Vroeger was er wel eens een dossier zoek. Dat was het dan. Nu kan één softwarefoutje gevolgen hebben voor de databestanden van tienduizenden patiënten. De noodzaak om aan informatiebeveiliging te doen is daarmee groter.”

 

Belangrijk daarbij is volgens Van der Wel om de artsen te overtuigen van het nut van informatiebeveiliging. “Je moet voorkomen dat ze het zien als een van bovenaf opgelegde verplichting. In die zin is informatiebeveiliging ook een communicatievraagstuk. Laat zien dat het nut heeft voor de patiënt en de bedrijfsvoering, dan werken de artsen zeker mee.”

 

Van der Wel zat in de commissie die de norm voor informatiebeveiliging, de NEN 7510, heeft opgesteld. Hij heeft toen sterk de nadruk gelegd op de implementeerbaarheid van de norm. Het moest wat hem betreft niet te theoretisch worden. “We hebben daarom veel aandacht besteed aan handreikingen; hoe pak je ’t nu in de praktijk aan?”

 

En hoe implementeer je de NEN 7510 dan? Begin met het zichbaar maken van de risico’s, adviseert Van der Wel. “Vaak denkt men, zoiets gebeurt hier nooit. Maar stel dat het wel gebeurt? De computerruimte in de kelder loopt bijvoorbeeld onder water. Heb je dan een uitwijkvoorziening?”

Vervolgens ga je kijken wat je eraan kunt doen. Van der Wel: “Dat is altijd lastig want voor elk probleem zijn wel 1000 oplossingen. Het gevolg is dat er geen besluit wordt genomen. Je moet daarom gaan afbakenen: je hebt goedkope oplossingen, dure oplossingen, super-de-luxe oplossingen. Daarmee schep je duidelijkheid. En mijn ervaring is dat er dan ook wel genoeg geld is.”

 

Je moet volgens Van der Wel vooral niet denken dat het invoeren van de NEN 7510 in een jaartje gebeurd is. “Het gaat om een meerjarenklus die je stapsgewijs moet uitvoeren.” En de kosten zijn hoog. “In de NEN 7510 worden zo’n 180 maatregelen opgesomd en elke maatregel kost gemiddeld zo’n drie maanden werk. Reken maar uit, dat gaat om grote getallen.” Je moet daarom prioriteiten stellen, aldus Van de Wel. “Doe om te beginnen alleen wat nuttig en nodig is. Je hoeft niet de hele NEN 7510 in te voeren. Maak keuzes en doe het stapsgewijs, dan is het zeker te doen.

 

En doe het niet alleen om aan de wet te voldoen, er zijn ook zeker economische baten, verzekert Van der Wel. “Als je je informatiebeveiliging goed op orde hebt, maak je minder fouten. En minder fouten betekent bijvoorbeeld minder claims, minder productieverlies en meer vertrouwen bij de patiënten. De baten zijn genoeg om een business case te hebben. Kwaliteit betaalt zich altijd terug, ook al is het niet altijd makkelijk te wegen wat de kosten en de baten zijn van informatiebeveiliging.” (ICTzorg - Mario Gibbels)