Timo Schipperen, security officer van het Amphia Ziekenhuis in Breda, heeft net het concept-beleidsplan informatiebeveiliging af. “Ik heb het opgesteld in de vorm van tien geboden, omdat het ook bedoeld is om de bewustwording in het ziekenhuis te vergroten. De raad van bestuur moet het plan formeel nog goedkeuren maar achter de schermen zijn wel al druk bezig met de implementatie.”

Uniek

Schipperen is voor 50 procent informatiemanager en voor 50 procent security officer. “Al komt de laatste functie wel eens in de verdrukking door de eerste. Anderzijds is het vrij uniek dat een algemeen ziekenhuis een security officer heeft. Als ik dat vergelijk met andere ziekenhuizen. Ik heb nog niet zo lang geleden een cursus informatiebeveiliging gevolgd bij het NEN. Daar namen ook medewerkers aan deel van andere ziekenhuizen. Als je de vragen hoorde die tijdens de cursus gesteld werden, dat doet je het ergste vrezen hoe de informatiebeveiliging daar geregeld is.”

Kritisch rapport

Aanleiding voor het instellen van de functie van security officer is de audit die het TNO heeft uitgevoerd. Daarin stond dat de informatiebeveiliging organisatorisch een plek moest krijgen binnen het ziekenhuis. De audit volgde op het op het kritische rapport van de Inspectie voor de Gezondheidszorg over informatiebeveiliging uit 2004. Schipperen: “De raad van bestuur heeft toen besloten dat het ziekenhuis de norm voor informatiebeveiliging, de NEN 7510, maar eens moesten gaan toepassen.”

 

Het informatiebeleid wordt binnen het ziekenhuis in de volle breedte ondersteund, verzekert Schipperen. “Een enkele uitzondering daargelaten. We hebben een ict-stuurgroep waar alle geledingen van het ziekenhuis in vertegenwoordigd zijn en die wordt voorgezeten door een lid van de raad van bestuur. Een keer per kwartaal staat informatiebeveiliging op de agenda van deze stuurgroep. En indien nodig vaker.”

 

Het Amphia Ziekenhuis heeft eerst het TNO een quick scan laten uitvoeren op 33 informatiestromen binnen het ziekenhuis. Schipperen: “Bijzonder daarbij is dat deze quick scan is uitgevoerd vanuit het patiëntenperspectief: waar heeft die last van als het mis gaat? Vervolgens zijn 13 informatiestromen onderworpen aan een risico-analyse waarbij met de bekende kleuren groen, oranje en rood is gewerkt. En op de informatiestromen die rood scoorden hebben we verbeterprojecten gezet.”

 

Rood scoorde bijvoorbeeld de betrouwbaarheid en beschikbaarheid van de informatievoorziening. Schipperen: “We zijn een fusieziekenhuis met van oorsprong vier informatieomgevingen. We hebben gezien de rode score de verschillende netwerkcomponenten gestandaardiseerd en het netwerk ondergebracht in één omgeving. Inmiddels scoren we weer groen. Ik heb het echter nog op oranje laten staan omdat nog niet alles is gedocumenteerd, en dat is toch essentieel voor het geval er iets mis gaat.”

 

Er is ook een in opdracht van de NVZ vereniging van ziekenhuizen opgestelde monitor voor informatiebeveiliging. Schipperen: “Dat is een soort checklist die je na kunt lopen. Wij bereikten daarmee een score van ruim 60 procent. Dat is vergelijkbaar met de academische ziekenhuizen, niet slecht dus. Al kun je er wel een kanttekening bij plaatsen. Want je hoeft alleen maar aan te geven of je iets wel of niet geregeld hebt, of dat je ermee bezig bent. Daaruit blijkt echter niet of je het goed of slecht hebt geregeld.”

 

Monitors, quick scans, risicoanalyses, het is allemaal nuttig maar doe je het eenmalig, dan zet het volgens Schipperen geen zoden aan de dijk. “Je moet er continu mee bezig zijn.” (ICTzorg - Mario Gibbels)