Issuu on Google+

Boekbespreking Waar gaat het heen met onze kwaliteitszorg?

Interview Ziekenhuizen werken aan duurzaamheid

Miniserie deel 2 De capabiliteit van het kwaliteitssysteem

Certificatie Ge誰ntegreerde aanpak: milieu en arbo gaan hand in hand

PLATFORM VOOR VOOR MVO MVO EN EN KWALITEITSMANAGEMENT KWALITEITSMANAGEMENT PLATFORM

7 OKTOBER 2013

DE IMPROVISATIEORGANISATIE WWW.KWALITEIT-IN-BEDRIJF.NL


14

Kwaliteit in Bedrijf

oktober 2013

GGZ Noord-Holland-Noord werkt aan ‘informatieveiligheid’

VOORKOMEN IS BETER DAN GENEZEN! Onze samenleving drijft op informatie. Allerlei gegevens vertrouwen we toe aan digitale systemen en mensen die daarmee werken. Vaak gaat dat goed. Soms gaat het mis. Voor sommige organisaties zijn de risico’s groter dan voor andere. GGZ Noord-Holland-Noord is zich bewust van de kwetsbaarheid van haar cliënten en haar rol als betrouwbare zorgleverancier. Daarom investeert GGZ Noord-Holland-Noord in informatiebeveiliging. Door Heleen Aalders

‘Informatieveiligheid’ noemen ze het zelf,

de risico’s daarvan beperken? Hoe zorg

in een certificeerbaar systeem zoals NEN

naar analogie van patiëntveiligheid en

je ervoor dat medewerkers veilig werken?

7510/ISO 27001 met eenzelfde opbouw als

brandveiligheid. ‘Met die titel willen we

Voor onze directeur Informatisering & Auto-

het HKZ-kwaliteitsmanagementsysteem.

benadrukken dat het gaat om meer dan al-

matisering en Services waren dat belang-

leen de hardware en software. Die kunnen

rijke overwegingen om Informatieveiligheid

In dezelfde periode vindt een incident

we met de juiste know how zo goed als

op de agenda te plaatsen, geholpen door

plaats. Een hosting-leverancier werkt aan

waterdicht maken‘, zegt Mirthe Maessen,

druk van buitenaf via wetgeving en draag-

het Elektronisch Medicatie voorschrijfsys-

adviseur Juridische zaken en Kwaliteit bij

vlak bij de Raad van Bestuur.’

teem in een niet-afgeschermde testomgeving. Een journalist pikt op dat er een

GGZ Noord-Holland-Noord. ’Informatie-

datalek is en nodigt GGZ NHN uit om te

medewerkers en onze cliënten. Maar ver-

INFORMATIEBEVEILIGING TOEVOEGEN AAN EEN MANAGEMENTSYSTEEM

geet ook niet onze ketenpartners en onze

In 2012 besloot de Raad van Bestuur van

formatie en de schade blijft beperkt. Maar

softwarehosting-leveranciers. Van belang

GGZ Noord-Holland-Noord een intensief

het voorval bevestigt hoe belangrijk infor-

is hoe mensen omgaan met de informatie

project te maken van informatieveiligheid,

matiebeveiliging is en werkt als katalysator.

waar ze toegang toe hebben.’

bijgestaan door ervaren externe consul-

veiligheid gaat vooral om mensen: onze

reageren. Het betreft geen ‘gevoelige’ in-

tants. In eerste instantie is de ambitie te

Om het ingeslagen traject gecertificeerd

NIEUWE TIJDEN EN NIEUWE RISICO’S

voldoen aan de landelijke afspraken van

te kunnen afsluiten, wordt er contact ge-

Mirthe Maessen: ’Nog niet zo lang geleden

ziekenhuizen: een informatiebeveiligings-

legd met DNV Business Assurance over

werkten we met papieren dossiers. Dat

systeem op een basisniveau, ook wel

de weg naar het ISO 27001-certificaat.

waren dossiers per cliënt. Natuurlijk bleef

aangeduid met de term ‘subsets’ (minimum

DNV ondersteunt de ambitie om een stap

zo’n dossier wel eens openliggen op een

eisen). Maar GGZ NHN legt de lat uiteinde-

verder te gaan dan de verplichte subset.

bureau. Dat gebeurt als iemand wordt

lijk hoger. De organisatie beschikt al over

Met het HKZ-certificaat op zak is die extra

weggeroepen, ook al is het niet goed. En

een HKZ-certificaat. Men ziet meerwaarde

stap een overzienbare! Er wordt een tijd-

er gingen wel eens dossiers mee haar huis als een behandelaar daar ’s avonds nog aan wilde werken. Nu gaat alles met PC’s,

HERZIENE VERSIE ISO 27001:2013

laptops en tablets. Als een computer niet of niet juist wordt uitgeschakeld of als een apparaat zoek raakt, zijn de risico’s veel groter. Dan gaat het om gegevens van grote aantallen cliënten, die openbaar kunnen worden. De impact is groter. Tegelijkertijd blijft de mens kwetsbaar, de cliënt en de medewerker. Hoe beheers je de risico’s? Hoe kun je bijvoorbeeld de voordelen van social media gebruiken en gelijktijdig

Organisaties die hun inspanningen en resultaten op het gebied van informatiebeveiliging willen aantonen, kunnen hun systeem laten toetsen volgens de ISO 27001-norm. In oktober dit jaar wordt de nieuwe uitgave van de ISO 27001-norm verwacht. De versie ISO 27001:2013 is ontwikkeld om beter aan te sluiten bij andere veelgebruikte normen, zoals ISO 9000 en ISO 20000. De hoofdstructuur is daaraan aangepast. Het aantal beheersmaatregelen is teruggebracht van 133 naar 113. De nieuwe versie besteedt meer aandacht aan actuele ontwikkelingen en risico’s in informatiemanagement, zoals het gebruik van social media en BYOD (bring your own device)-beleid. De transitieperiode voor reeds gecertificeerde organisaties bedraagt waarschijnlijk 18 tot 24 maanden.


Kwaliteit in Bedrijf

oktober 2013

pad afgesproken: binnen twee jaar tijd wil

het ISO 27001-certificaat en daarna naar

Dus niet alleen documentenonderzoek en

GGZ NHN, via een uitgebreide proefaudit,

nieuwe uitdagingen.’

gesprekken met directie en management, maar ook interviews op het primaire-

beschikken over een sterk ingebed gecertificeerd informatiebeveiligingssysteem.

MEERWAARDE VAN EEN PROEFAUDIT

procesniveau met uitvoerende medewer-

Lead auditor Mike Wetters van DNV Busi-

kers. Die keuze maakte men ook om de

HKZ ALS ANKERPUNT

ness Assurance bevestigt vanuit zijn erva-

bewustwording, waarvoor GGZ NHN nog

GGZ Noord-Holland-Noord heeft haar

ring: ’Organisaties die al werken volgens

een jaar uittrekt, te stimuleren; van onbe-

doel nog niet bereikt. Mirthe Maessen:

een (gecertificeerd) managementsysteem

wust bekwaam naar bewust bekwaam! De

’Dankzij ons bestaande kwaliteitssysteem

zijn in het voordeel. Systemen volgens de

uitkomsten geven goed inzicht in de gehele

hebben we in korte tijd grote stappen

HKZ- of ISO-normen zijn modulair opge-

organisatie, redelijk in detail. Dat geeft de

kunnen zetten! Het HKZ-systeem kennen we al sinds 2006. Dat systeem is verankerd in de organisatie. We weten hoe we willen omgaan met kwaliteit, veiligheid en risico’s. We zijn gewend om de kwaliteit en risico’s te bewaken, om te controleren en te innoveren. Daarbij past het werken

‘SYSTEMEN VOLGENS DE HKZ- OF ISO-NORMEN ZIJN MODULAIR OPGEBOUWD. INFORMATIEBEVEILIGING IS DAN EEN MODULE DIE RELATIEF GEMAKKELIJK KAN WORDEN TOEGEVOEGD’

vanuit de risico-georiënteerde methode. Dat is precies waar informatieveiligheid

bouwd. Informatiebeveiliging is dan een

projectleiding handvatten om de bewust-

over gaat: het in kaart brengen en leren

module die relatief gemakkelijk kan worden

wording verder op gang te brengen.‘

beheersen van risico’s. Certificerende

toegevoegd. Veel elementen zijn gelijk,

instelling DNV Business Assurance sluit

zoals de focus op risicomanagement. De or-

Mirthe Maessen: ’Management en me-

daarbij aan met de auditmethode Risk

ganisatie heeft dan al de systemen en know

dewerkers hebben de proefaudit ervaren

Based Certification: niet auditeren naar

how om deze risico’s in kaart te brengen.’

als een waardevolle stap in het traject. Een bijna volwaardige audit, waardoor we

de letter maar naar actuele dreigingen en potentiële knelpunten. De proefaudit van

Tijdens de proefaudit bij GGZ NHN regis-

weten dat we op de goede weg zijn én

mei 2013 toonde dat het project informa-

treerde de auditor dat veel medewerkers

waardoor we blinde vlekken hebben ont-

tieveiligheid op schema ligt én hoe we

‘onbewust bekwaam’ zijn. Wetters: ’GGZ

dekt.’ In 2014 staat de certificeringsaudit

ons kunnen blijven ontwikkelen. Nu naar

NHN koos voor een uitgebreide proefaudit.

gepland. Q

15


Kwaliteit in Bedrijf Uitgelicht, oktober 2013