Een correcte en veilige informatievoorziening is cruciaal voor het leveren van goede zorg. Zorgverleners moeten altijd toegang hebben tot de juiste informatie over patiënten, en patiënten moeten erop kunnen rekenen dat er veilig wordt omgegaan met hun gevoelige data. Lourens Dijkstra, CISO (Chief Information Security Officer) bij Lentis, licht toe hoe zijn organisatie omgaat met informatiebeveiliging en hoe Zenya hen daarbij helpt.
Lentis GGZ is gespecialiseerd in het behandelen van mensen met ernstige psychische problemen. Ongeveer 4.000 medewerkers helpen jaarlijks zo’n 30.000 patiënten, zowel thuis als in hun beschermde woonvormen en (poli)klinieken verspreid over (het noorden van) Nederland.
Er is een enorme hoeveelheid data beschikbaar binnen de organisatie en er zijn heel wat medewerkers die hier dagelijks veilig mee moeten omgaan. Om die veiligheid te garanderen is Lentis actief bezig met het voldoen aan de NEN 7510-norm, die speciaal is ontwikkeld voor informatiebeveiliging in de zorg.
Lourens legt uit: “Er bestaan een aantal normen op kwaliteitsgebied, en NEN 7510 is de norm voor zorgorganisaties in Nederland als het gaat om informatiebeveiliging. Hij is gebaseerd op de internationale ISO 27001, maar dan uitgebreid met een aantal specifieke maatregelen voor de zorg. Denk aan zaken zoals de beveiliging van een patiëntendossier.”
Lourens’ taak als CISO binnen Lentis is vooral om te zorgen dat het directieteam en de medewerkers begrijpen wat informatiebeveiliging precies inhoudt en wat hun rol daarin is. Hij geeft advies en wil zo het eigenaarschap van informatiebeveiliging blijvend op de managementagenda krijgen.
“Een organisatie veilig laten omgaan met informatie is echt een groeiproces”, vertelt hij. “Wil je mensen meekrijgen, dan moet je hen eerst leren wat informatiebeveiliging inhoudt. Die bewustwording is belangrijk voor zowel de mensen op de werkvloer als het management, maar het start wel met dat stukje eigenaarschap bij de directie.”
Hoe hij dat doet? “Door goed te informeren”, zegt Lourens. “Iedereen zit natuurlijk in zijn eigen bubbel. Ik zie elke dag datalekken en gehackte bedrijven voorbijkomen, maar een zorgdirecteur is dagelijks met heel andere dingen bezig. Je moet mensen dus echt meenemen in dit onderwerp en met hen in gesprek gaan.”
Een groot voordeel daarbij is dat Lourens niet enkel CISO is, maar dat hij ook de taal spreekt van de directie en de medewerkers. Hij is namelijk arbeids- en organisatiepsycholoog van opleiding en bekijkt informatiebeveiliging dus niet alleen vanuit technisch standpunt, maar ook (juist) vanuit het menselijke aspect.
Omdat wij de content solution NEN 7510 hebben afgenomen, kregen we direct een up-to-date import van de normkaders en maatregelen in onze eigen Zenya omgeving.”
“Toen ik bij Lentis begon, nu bijna drie jaar geleden, hoorde ik dat we een licentie van Zenya hadden die we eigenlijk niet gebruikten”, vertelt Lourens. “Zonde! Want hoewel we al deels NEN 7510-gecertificeerd waren, werd alles bijgehouden in een Excelsheet. Daarin kon je bijvoorbeeld beveiligingsrisico’s afvinken, linkjes naar documenten plakken en scores geven. Maar dat werkte niet zo handig. Bovendien kon iedereen zomaar dingen toevoegen of wijzigen.”
Van verschillende ziekenhuizen hoorde Lourens dat zij samenwerken met Infoland en Zenya inzetten als een soort ISMS (Information Security Management System) tool. Zenya is niet voor niets de meest gebruikte kwaliteits- en risicomanagementsoftware van Nederlandse en Belgische ziekenhuizen.
Lourens’ interesse werd gewekt. “Ik ben toen bij die ziekenhuizen gaan kijken hoe zij Zenya in de praktijk gebruiken. Zo ontstond bij ons het idee om Zenya DOC in te richten als documentmanagementsysteem, en daar vloeide het gebruik van Zenya RISK en Zenya CHECK uit voort. Een volgende stap is om alle verbetermaatregelen in Zenya FLOW te stoppen. Ik vind het een prettig idee om al die onderdelen in één programma gebundeld te hebben”, zegt Lourens.
Als een van de grootste voordelen van Zenya noemt Lourens het feit dat alle risico’s en de maatregelen om die risico’s te beheersen, al in de tool staan. “Je stapt als het ware op een rijdende trein, je moet zelf niets ingeven. Dat was voor ons een mooi uitgangspunt om voor Zenya te kiezen”, zegt Lourens. Je kunt als Zenya klant namelijk de kant-en-klare content solution NEN 7510 afnemen.
Wanneer je voor deze oplossing kiest, krijg je als klant een complete up-to-date import van de normkaders en maatregelen in je eigen Zenya omgeving, inclusief een instructie en training voor de CISO, beheerders en eindgebruikers. Lentis koos ook voor deze solution, waardoor ze een vliegende start konden maken met NEN 7510 en ze direct acties en verbetermaatregelen uit konden zetten.
Lourens: “Door deze oplossing heb ik in Zenya een compleet overzicht waar ik een-op-een met de directie kan doorlopen: wat hebben we op orde, hoe schatten we een bepaald risico in, wat kunnen we eraan doen? Dat is erg waardevol.”
Daarnaast is Lourens fan van de compliance tool in Zenya. Daar kan hij de stuurgroep informatieveiligheid en privacy inclusief de raad van bestuur in één keer laten zien wat de stand van zaken is, in een taal die zij ook spreken.
Lourens: “De NEN 7510-norm is best wel abstract. De compliance tool helpt om dit te concretiseren. De verschillende onderdelen van de norm staan hier keurig onder elkaar, bijvoorbeeld veilig personeel, toegangsbeveiliging en leveranciersrelaties. Elk onderdeel krijgt ook een score. Hoe groot schatten we de kans in dat zoiets voorkomt? Hebben we maatregelen getroffen om dit te voorkomen? Ook de scores van vorig jaar kan je hier opvragen, zodat je in één oogopslag de evolutie kan zien.”
Dankzij de compliance tool in Zenya zie ik nu in één oogopslag waar onze risico’s zitten en waar we in control zijn. Ook kan ik dit nu veel makkelijker overbrengen naar de directie.”
Lourens is van mening dat veilig omgaan met informatie begint vanuit het gedrag (de mens) binnen een organisatie. De juiste software ondersteunt om dit gedrag te stimuleren.
“Zenya is absoluut een meerwaarde om informatieveilig gedrag binnen Lentis te stimuleren. Om te beginnen is de volledige NEN 7510 al geïmplementeerd in Zenya, zodat we daar meteen mee aan de slag konden. Daarnaast geven de modules mij een handig overzicht dat ik eenvoudig kan delen met het management. Dit maakt het niet alleen makkelijker voor mij, maar ook voor hen om in duidelijke en concrete taal te zien waar we nu staan op het vlak van informatiebeveiliging. Vervolgens kunnen we maatregelen treffen, deze opvolgen, en zo onze werking verbeteren”, sluit Lourens af.
Ontdek hoe jouw organisatie kan profiteren van de inzet van Zenya. Vraag de brochure vrijblijvend aan.
Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.