Veiligheid in de zorg is punt van aandacht

Kunt u als bestuurder van een zorgorganisatie de veiligheid van de mensen waar u voor zorgt en uw medewerkers 24/7 garanderen? Met ‘scenario based risk assessments’ bieden wij zorgorganisaties op elk niveau inzicht in de werkelijke risico’s en dragen daarmee enorm bij aan het veiligheids- en risico bewustzijn van uw medewerkers en partijen waar u mee samenwerkt. En daarmee maakt u ook het leven van uw bewoners een stuk veiliger.

Veiligheid in de gezondheidszorg is de laatste jaren steeds meer in de belangstelling komen te staan. We hebben het dan over veiligheid in de breedste zin van het woord. Zorginstellingen en zorgverleners zijn zelf verantwoordelijk voor patiëntgerichte, kwalitatief goede en veilige zorg. Dan hebben we het echter niet alleen over de letterlijke zorg, de behandelingen, maar ook over een veilig verblijf in een ziekenhuis of zorginstelling. Tevens moeten patiënten en bewoners van zorginstellingen er op kunnen rekenen dat hun individuele (dossier)gegevens veilig zijn opgeslagen. En ook dat deze gegevens alleen door bevoegden worden ingezien en zeker niet ‘op straat’ komen te liggen.

Inzicht in het werkelijke niveau van uw beveiliging

Ook al voldoet u aan de geldende wet- en regelgeving, zijn systemen op kwaliteit beoordeeld en zijn processen en procedures uitvoerig gecommuniceerd, het werkelijke veiligheidsniveau kan alleen in de vorm van een integratietest beoordeeld worden. Dan blijkt namelijk pas of systemen datgene doen wat u ervan verwachtte. Maar dan pas blijkt ook of de factor mens een zwakke- of juist een stérke schakel in het geheel is.

‘Met Red Teaming zoeken we de menselijke zwakheden en technische gebreken op’

Met scenario based risk assessments bieden wij zorgorganisaties op elk niveau inzicht in de werkelijke risico’s. En zoals gezegd dragen wij daarmee bij aan het veiligheids- en risico bewustzijn van medewerkers en uw partners waarmee u vaak samenwerkt.

Wat zijn scenario based risk assessments?

Scenario based risk assessments zijn feitelijk audits die zich richten op de kwetsbaarheid van de individuele zorgorganisatie. Het belangrijkste is dat wij met deze specifieke audits potentiele zwakheden in de bescherming van de organisaties blootleggen. Daarvoor kennen we verschillende niveaus van auditen. Zo testen we bijvoorbeeld met een eenvoudige mystery visit of uw medewerkers de vastgestelde procedures wel op de juiste wijze uitvoeren. Bij het integraal auditen van bijvoorbeeld de toegangsbeveiliging van terreinen, gebouwen en beveiligde gebieden voeren we een complexere PEN test uit. Hierbij maken we gebruik van social engineering, testen we beveiligingsvoorzieningen en toegangscontrolemiddelen.

Red Teaming

Wanneer het gaat om het auditen van complexe processen zoals de integratie tussen ICT en fysieke beveiligingsvoorzieningen hebben we het over Red Teaming. Dit laatste betekent feitelijk niet meer dan dat we met een gecontroleerde actie de situatie in uw organisatie gaan toetsen. Door middel van Red Teaming zoeken we de menselijke zwakheden en technische gebreken op om zo een gecoördineerde aanval te plegen. In overleg met u als opdrachtgever bespreken we de kwetsbaarheden, GAP’s (zwakheden in de beveiliging) en de aanvalsscenario’s die we gaan uitvoeren. Het kan ook zijn dat u de invulling en de tijdstippen waarop de ‘aanval’ plaats heeft aan ons overlaat. Dan hebben we het over Tiger Teaming. Auditors van ons gaan dan zelf op onderzoek naar kwetsbaarheden en potentiele aanvalsscenario’s en vallen uw zorginstelling op een onaangekondigd moment aan. Uiteraard zullen uw patiënten of bewoners hier niet of nauwelijks iets van merken. Wanneer u als organisatie deze test doorstaat kunt u wel gefundeerd met bewijzen zeggen dat u op het ergste bent voorbereid. Met andere woorden, u garandeert 24/7 de veiligheid van zowel de mensen die aan u zijn toevertrouwd als uw eigen medewerkers.

Het resultaat van security audits

In maar liefst 85 procent van de audits die wij tot dusverre hebben uitgevoerd blijkt dat organisaties gaten in de beveiliging hebben. Deze organisaties zijn dus dagelijks kwetsbaar voor kwaadwillenden die daar misbruik van willen maken. Inmiddels hebben ruim 95 procent van de door ons getoetste organisaties actie ondernomen door onze aanbevelingen op te volgen. Het op regelmatige basis auditen blijft ten alle tijden noodzakelijk.

‘Patiëntengegevens mogen nooit in handen van derden vallen’

Gezondheidszorg

Informatie speelt in de gezondheidszorg een grote rol. Om de veiligheid van de informatie goed te managen zijn er normen opgesteld waaraan de informatiebeveiliging van zorginstellingen moet voldoen. Zo schrijft de NEN 7510 norm voor dat organisaties regelmatig moeten toetsen of het managementsysteem voor informatiebeveiliging voldoet aan de gestelde eisen. Het systeem moet doeltreffend geïmplementeerd en onderhouden zijn en daarnaast moet de organisatie een auditprogramma plannen, vaststellen, implementeren én onderhouden. Vanuit de norm wordt overigens aangeraden om bepaalde onderdelen door een externe onafhankelijke partij te laten testen. Het is dan namelijk zeer waarschijnlijk dat het rapport dat daaruit voortvloeit betrouwbaar en van hogere kwaliteit is dan wanneer het de slager is die zijn eigen vlees keurt.

Informatievoorziening

De eisen die in de NEN 7510 norm en de verdere uitwerking daarvan in de normen 7512 en 1513, gaan onder andere over hoe de informatiebeveiliging geregeld moet zijn, hoe een veilige communicatie moet plaatsvinden en hoe de registratie van informatie op een veilige manier dient te gebeuren. Met andere woorden, de eisen gaan voornamelijk over de inrichting van de informatievoorziening in de organisatie.

Daarnaast gaat een gedeelte ook over het naleven van deze eisen. Om dat te controleren zijn audits nodig. Deze kunnen zich op bepaalde gebieden focussen. Vaak wordt er gekeken naar de ICT beveiliging van de informatie. Is de data goed opgeslagen en hebben er geen onbevoegde toegang tot bestanden. Zijn de bestanden goed genoeg beveiligd? Hierbij staat de beschikbaarheid, integriteit en de vertrouwelijkheid van de informatie centraal, onderdelen waar bij een ICT audit naar wordt gekeken.

De menselijke factor

Maar informatie is niet per definitie veilig wanneer de ICT goed op orde is. Mensen die daar op uit zijn hebben namelijk ook op andere manieren toegang tot uw organisatie. Het zogenoemde drie-poorten model geeft aan op welke manieren dat zijn;

  • De logische (ICT) poort
  • De menselijke poort
  • De fysieke poort

De logische poort kan bijvoorbeeld zeer goed beveiligd zijn, maar als de fysieke toegang slecht beveiligd is hebben al die maatregelen geen zin. Dan loopt de kwaadwillende zo uw instelling binnen, gaat naar de server toe en vindt daar waar hij naar op zoek is. Alleen daarom al is het laten uitvoeren van fysieke penetratietesten noodzakelijk. Dergelijke acties bekijken via de menselijke en fysieke poort waar de zwakke plekken in de organisatie zitten en dragen zo bij aan de beschikbaarheid, integriteit en de vertrouwelijkheid van de informatie.

Rode draad

Als rode draad door de norm loopt de mate van securitybewustzijn van de medewerkers. Op het moment dat uw medewerkers zich bewust zijn van de beveiligingsrisico’s die zich voor kunnen doen en daar ook adequaat naar handelen, ontstaat er een veilige cultuur binnen de organisatie. Met het securitybewustzijn van de medewerkers staat of valt de norm. Een lage mate van securitybewustzijn zorgt ervoor dat andere maatregelen zijn werking verliezen. Een treffend voorbeeld daarvan is dat speciale toegangsrechten van medewerkers regelmatig moeten worden gecontroleerd. Als dit echter niet gebeurt omdat men denkt ‘het zal wel loslopen’, kunnen onbevoegden dergelijke speciale toegangsrechten vaak heel makkelijk in bezit krijgen.

Uit de praktijk blijkt dat scenario based risk assessments een enorm positief effect hebben op het bewust maken van medewerkers. De testen drukken de medewerkers met de neus op de feiten, laten zien waar de gevaren zitten en zorgen ervoor dat zij actief met veiligheid om leren gaan.