NEN 7510 vormt de basis om op te bouwen.
Informatiebeveiliging is actueler dan ooit. Organisaties worden zich bewust van de cyberdreigingen en gaan hiermee aan de slag, ook het Ommelander Ziekenhuis Groningen. Met de grote hoeveelheid privacygevoelige informatie die ziekenhuizen verwerken, vonden zij certificatie voor NEN 7510 essentieel. Hennie Sanders, lid van de raad van bestuur, en Gezinus Bovenhuis, informatiemanager, delen namens het Ommelander Ziekenhuis Groningen hun ervaringen en tips voor het certificeringsproces.
Er zijn verschillende factoren die een belangrijke rol speelden in de keuze tot certificering vertelt Sanders. “Vanuit de Inspectie voor de Gezondheidszorg wordt geëist dat zorgorganisaties werken volgens NEN 7510. We stopten heel veel energie in informatiebeveiliging. Op een gegeven moment wilden we weten hoe we ervoor stonden en welke resultaten zijn behaald. We zeiden wel tegen zorgverzekeraars dat wij onze zaken op orde hadden, maar nu, met het NEN 7510-certificaat, kunnen we dit onafhankelijk aantonen,” vult Bovenhuis aan.
Een ander aspect dat een rol speelde om te kiezen voor certificering is de blik op de toekomst. Zo vertelt Gezinus dat er in de toekomst steeds meer wetten en regelgevingen komen waaraan ziekenhuizen moeten voldoen. "Dan ontkom je er niet aan dat je kan aantonen dat je aan de vereisten voldoet. Met NEN 7510 hebben we de basis op orde en zijn we voor 95% voorbereid op de komende wetgevingen: NIS2 en European Health Data Space (EHDS)."
Maak het aantoonbaar, leg het vast
De doelstelling van het certificeringsproces was het aantoonbaar maken van de informatiebeveiliging. Dit houdt in dat processen vastgelegd moeten worden, realiseerde Sanders zich. “Alleen laten zien wat je doet, is niet altijd voldoende. In sommige gevallen moest de registratie van onze informatiebeveiliging uitgebreider.” Bovenhuis zet uiteen: “Tijdens een interne audit, auditeren we op dingen die goed gaan. Waaruit blijkt dat? Dat leggen we tegenwoordig ook vast.”
“Het management wilde geen ingewikkelde procedures optuigen. Door mensen op de werkvloer, de inhoudsdeskundigen van de werkprocessen, te betrekken konden zij invloed uitoefenen op de ontwikkelde procedures. Dit sluit aan bij ons motto voor de medewerkers; zorgen dat ze fijn en goed gefaciliteerd kunnen werken”, legt Sanders uit.
Intensieve voorbereiding met oog voor de medewerkers
Bij het certificatieproces waren veel medewerkers betrokken. Dat bracht uitdagingen met zich mee. “We zijn blij dat we zeer capabele collega’s hebben die het proces in goede banen leidden. Zij hebben ervoor gezorgd dat het certificeringsproces echt ging leven,” vertelt Sanders. Het was in haar ogen belangrijk dat de medewerkers zich nog bewuster werden van hun rol met betrekking tot informatiebeveiliging. Hiervoor werd een praktische en persoonlijke aanpak gehanteerd. In plaats van een mail met informatie te sturen, werden alle afdelingen bezocht tijdens werkoverleggen. “Het was een intensief traject, maar het wierp wel zijn vruchten af,” aldus Bovenhuis. “In de gesprekken met de afdelingen lag de nadruk vooral op het vastleggen van zaken die wij al doen. We wilden geen nieuwe administratieve procedures creëren, alleen de werkwijze vastleggen.” Er was constant oog voor de medewerkers, want uiteindelijk is het een gezamenlijke inspanning die leidt naar het gewenste eindresultaat. Door dit met zijn allen aan te pakken, werden collega’s geënthousiasmeerd voor het project en waren zij meer dan bereid om mee te werken.
Audit ervaringen
Sanders: “Ter voorbereiding op de audit zijn er diverse proefaudits uitgevoerd. Daardoor was de voorbereiding intensiever. De proefaudit leverde uiteindelijk een aantal belangrijke aandachtspunten op waarmee we nog aan de slag moesten voordat we op konden gaan voor certificatie.” Bovenhuis vult aan: “We deden het al goed. De proefaudits bevestigden dat wij zaken vast moesten leggen om succesvol door de audit heen te komen.”
“Auditdagen zijn intensief, maar ze vliegen voorbij”, vertelt Sanders. “Onze medewerkers waren behoorlijk zenuwachtig. Het gevoel heerste toch dat ze ‘examen’ moesten doen,” vult Bovenhuis aan. “Dit gevoel werd gelukkig direct door de auditoren weggenomen. Er werd heel erg gesproken over de inhoud, daardoor was het voor de medewerkers makkelijker om het gesprek aan te gaan,” vertelt Bovenhuis. “Zodra het over de inhoud gaat, kunnen onze collega’s hun expertise tonen. Zij vertellen over hun aanpak, zonder dat ze het gevoel hebben in een audit te zitten. Dit maakt dat er positief teruggeblikt wordt op de gesprekken.”
De keuze voor DNV was voor Sanders een logische keuze. “Organisaties in de zorg zijn vaak vrij traditioneel en zo ook de organisaties die audits leveren in de zorg. Wij waren op zoek naar een partij die aansluit bij onze organisatie en visie en ook een praktische aanpak hanteert. Binnen onze organisatie willen we het namelijk praktisch houden. DNV denkt na over oplossingen en geeft na de audit verbeterpunten mee waarmee wij direct aan de slag kunnen. Dit is een onderdeel van de Risk Based Certification auditmethode die DNV hanteert. Bovendien speelt de erkenning van DNV een rol. Wij wilden graag gecertificeerd worden door een organisatie die ook geaccrediteerd is om dit certificaat uit te geven. DNV heeft de accreditatie voor NEN 7510, waardoor wij zeker weten dat de audits voldoen aan de gestelde eisen die horen bij het certificaat.”
Eveneens hadden positieve referenties van zusterorganisatie UMC Groningen een aandeel in de keuze voor DNV. “Het UMCG heeft ervaring met DNV en toevallig ook deze specifieke auditor. Zij waren zeer positief.” Bovenhuis voegt toe: “Wat ook een rol speelt is dat een aantal van onze servers in Groningen staan, bij het UMCG. Die worden beoordeeld tijdens de audit bij het UMCG, daardoor hoeven ze tijdens onze audit niet extra beoordeeld te worden. DNV had dit namelijk al positief beoordeeld.”
Tips & adviezen voor andere zorgorganisaties
“Het is ontzettend belangrijk om op tijd te beginnen met de voorbereidingen binnen de organisatie”, benadrukt Sanders. “Ga het gesprek aan op de werkvloer om de neuzen dezelfde kant op te krijgen en collega’s te informeren over de norm. Zorg ervoor dat het gaat leven in de organisatie. Dit proces heeft tijd nodig en neem daar dan ook de tijd voor, anders ontstaat er een hoop frustratie die voorkomen had kunnen worden.”
Een ander punt dat niet uit het oog verloren mag worden is de praktische haalbaarheid volgens Bovenhuis. “Het is belangrijk om processen praktisch uitvoerbaar te houden. De collega’s moeten het immers uitvoeren.” Bovenhuis komt nog met een andere tip voor organisaties die bezig zijn met certificering: “Betrek iedereen bij het proces. Het is niet alleen iets wat het management graag wil, het is absoluut iets voor de collega’s op de werkvloer. Samen het certificaat behalen met een bijdrage door iedereen. Dat is heel goed gelukt en geeft ons vertrouwen voor het vervolg.”
Bent u na het verhaal van Ommerlander Ziekenhuis Groningen geïnspireerd geraakt om aan de slag te gaan met de NEN 7510-certificering? Meer informatie over NEN 7510 vindt u hier. Of heeft u voldoende informatie en wilt u een geheel vrijblijvende offerte opvragen voor NEN 7510-certificering? Die kunt u hier aanvragen.
