Neem je een paracetamol om de pijn weg te weg te nemen, of werk je proactief aan een gezonde leefstijl? Hetzelfde principe is ook toepasbaar op informatiebeveiliging.

Wacht je op een incident of datalek? Of zorg je proactief voor een goed beleid en systeem om informatiebeveiliging in te richten? Te laat in actie te komen, leidt vaak tot schade, stress en verlies van vertrouwen. Een structurele aanpak voorkomt dit juist!

In de zorg betekent dit: werken met een goed ingericht Informatiebeveiligingsmanagementsysteem (ISMS), waarbij beleid, risico’s, maatregelen en verantwoordelijkheden aantoonbaar op orde zijn.

Dit helpt niet alleen om de kwaliteit en veiligheid te verbeteren, maar het is ook juridisch noodzakelijk. De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties tot het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beschermen. En de NEN 7510-norm vertaalt deze verplichting naar de zorgpraktijk. ISO 27001 biedt een internationaal raamwerk om risico’s beheersbaar te maken en beveiliging planmatig in te richten. Binnen deze kaders is documentatie geen bijzaak: het is het bewijs dat de organisatie haar informatiebeveiliging daadwerkelijk onder controle heeft.

Bestuurders en managers moeten kunnen sturen op basis van feiten, risicoanalyses en duidelijke afspraken. Het ISMS fungeert daarbij als het geheugen van de organisatie: beleid, verantwoordelijkheden, procedures en evaluaties komen samen in één gestructureerd systeem.

Wie informatiebeveiliging serieus neemt, wacht niet op de digitale ‘hoofdpijn’, maar zorgt dat de basis op orde is voordat het misgaat. Door te investeren in goed gedocumenteerd beleid en beheer ontstaat niet alleen compliance, maar vooral rust, overzicht en handelingsvermogen in tijden van druk.

Kaders en context

Informatiebeveiliging is geen eiland binnen de organisatie, maar een geïntegreerd onderdeel van de bredere bedrijfsvoering. Om digitale risico’s op een aantoonbare manier te beheersen, wordt gewerkt binnen duidelijke normenkaders. Deze kaders vormen de fundering waarop een effectief Informatiebeveiligingsmanagementsysteem (ISMS) rust. Voor organisaties die met privacygevoelige informatie werken, zijn ISO 27001, NEN 7510, de Algemene Verordening Gegevensbescherming (AVG) en het volwassenheidsmodel informatiebeveiliging (versie 3.0) belangrijke bronnen van richting, toetsing en verbetering.

ISO 27001 en NEN 7510: Kaders voor informatiebeveiliging in de zorg

ISO 27001 is de internationale standaard voor het opzetten en onderhouden van een ISMS. De norm helpt bij het systematisch beheersen van risico’s via beleid, toegangsbeheer, incidentrespons en audits, met aandacht voor continue verbetering.

NEN 7510 vertaalt ISO 27001 naar de zorgcontext. De norm bevat extra eisen voor het beveiligen van patiëntgegevens, het uitwisselen van medische informatie en samenwerking met externe partijen zoals ICT-leveranciers.

AVG
De AVG stelt strengere eisen aan organisaties die gezondheidsgegevens verwerken. Zorginstellingen moeten kunnen aantonen dat persoonsgegevens rechtmatig, veilig en transparant worden verwerkt. Dit betekent onder andere: een verwerkingsregister bijhouden, datalekken melden binnen 72 uur en privacyrisico’s vooraf beoordelen (DPIA).

Documentatie vormt hierbij het bewijs dat de organisatie voldoet aan de regels – zonder die onderbouwing is verantwoording onmogelijk.

Het volwassenheidsmodel informatiebeveiliging 3.0 (NBA)

Om organisaties te ondersteunen bij het stapsgewijs verbeteren van hun informatiebeveiliging, heeft de Nederlandse Beroepsorganisatie van Accountants (NBA) samen met onder andere Z-CERT het Volwassenheidsmodel Informatiebeveiliging 3.0 ontwikkeld. Dit model helpt organisaties bij het beoordelen waar zij staan op het gebied van informatiebeveiliging en wat nodig is om door te groeien naar een hoger niveau van volwassenheid.

Het model kent vijf groeifasen:

1. Ad-hoc – Informatiebeveiliging is reactief en afhankelijk van individuele inzet.
2. Basis – Beleid en maatregelen zijn aanwezig, maar nog beperkt geïmplementeerd.
3. Beheerst – Processen zijn geborgd en meetbaar, risicoanalyses worden uitgevoerd.
4. Gestructureerd – Informatiebeveiliging is geïntegreerd in de bedrijfsvoering.
5. Optimized – Continu verbeteren is een vanzelfsprekend onderdeel van de organisatiecultuur.

Het volwassenheidsmodel informatiebeveiliging is relevant omdat het houvast biedt bij het sturen op concrete verbeteringen. Het model maakt zichtbaar hoe informatiebeveiliging op strategisch, tactisch en operationeel niveau is georganiseerd en waar risico’s of blinde vlekken ontstaan. Door de zes aandachtsgebieden op een gestructureerde manier te beoordelen, ontstaat inzicht in het huidige volwassenheidsniveau en ook de gewenste ontwikkelrichting.

Voor de directie helpt dit bij het afwegen van investeringen, het prioriteren van maatregelen en het onderbouwen van keuzes tegenover toezichthouders. Het model biedt concrete criteria om voortgang te meten, verantwoordelijkheden te verdelen en verbeteracties te plannen. Zo wordt informatiebeveiliging niet alleen uitvoerbaar, maar ook bestuurbaar en aantoonbaar effectief.

Verplichte documentatie (samengevat)

Documentatie gaat over wat je als organisatie vastlegt over de manier waarop je informatiebeveiliging organiseert. Denk aan beleidsstukken, procedures en methodieken. Deze documenten beschrijven de intentie, structuur en werkwijze. Kortom: hoe je het doet en waar je als organisatie voor kiest.

Strategisch beleid

• Informatiebeveiligingsbeleid
• Scope en reikwijdte van het ISMS
• Beveiligingsdoelstellingen

Risicobeheer

• Risicoanalyse- en behandelmethode
• Risicobehandelplan
• Verklaring van toepasselijkheid
• Risicoanalyseverslagen

Operationeel beleid

• Incidentmanagementprocedure
• Datalekmeldingsprocedure
• Beleid voor gebruik van systemen
• IT-beheerprocessen zoals back-up en updates
• Rollen en verantwoordelijkheden

Technische maatregelen

• Configuratieoverzichten
• Ontwikkelbeleid secure coding
• Toegangsbeheerprocedures IAM en MFA

Bestuurlijke verantwoording

• Interne auditplan en auditrapporten
• Jaarlijkse managementbeoordeling

Verplichte registraties (samengevat)

Registraties zijn het bewijs dat je het beleid ook daadwerkelijk uitvoert. Ze zijn vaak tijdgebonden, situationeel en dynamisch. Dit zijn de logs, rapporten en verslagen waarmee je laat zien dat beleid wordt nageleefd.

Toezicht en verantwoording

• Resultaten van metingen en monitoring van beveiligingsdoelen
• Verslagen van interne audits
• Notulen en besluiten van het managementoverleg over informatiebeveiliging
• Opvolging van corrigerende maatregelen bijvoorbeeld na incidenten

Personeelsdossiers

• Overzicht van gevolgde opleidingen trainingen en kwalificaties van medewerkers
• Registratie van ondertekende geheimhoudingsverklaringen

Loggegevens

• Logging van gebruikersactiviteiten en beveiligingsgebeurtenissen
• Documentatie van uitzonderingen en afwijkingen op beveiligingsbeleid

Het op orde hebben van documentatie en registraties binnen het Informatiebeveiligingsmanagementsysteem (ISMS) is niet alleen een normvereiste, maar ook van groot belang in de dagelijkse praktijk van zorgorganisaties. Toezichthouders zoals de Autoriteit Persoonsgegevens (AP), de Inspectie Gezondheidszorg en Jeugd (IGJ) en accountants verwachten aantoonbaar bewijs dat de organisatie voldoet aan wet- en regelgeving rondom informatiebeveiliging en privacy.

Bij inspecties worden vaak concrete documenten opgevraagd, zoals uitgevoerde risicoanalyses, datalekregistraties, getekende verwerkersovereenkomsten en recente auditverslagen. Ontbreekt deze documentatie, dan kan dat duiden op onvoldoende grip op risico’s (met mogelijk bestuurlijke of financiële gevolgen).

Informatiebeveiligingsdocumentatie is nodig om risico’s te beheersen, te voldoen aan wetgeving en aantoonbaar ‘in control’ te zijn. Tegelijk draagt het bij aan betere zorgkwaliteit en gerichte verbeteringen doordat het inzicht geeft in kwetsbaarheden, knelpunten en afwijkingen binnen bestaande processen.

De Informatiebeveiligingsfunctionaris, ook wel Information Security Officer (ISO) genoemd, speelt hierin een sleutelrol. Deze functionaris coördineert het opstellen, actualiseren en beheren van beleidsdocumenten, procedures en registraties. In samenwerking met ICT, kwaliteit, HR en management zorgt de Information Security Officer ervoor dat informatiebeveiliging geen papieren werkelijkheid blijft, maar actief onderdeel is van de dagelijkse praktijk.

Informatiebeveiliging draait om kiezen: wacht je tot het misgaat, of zorg je dat het op orde is vóórdat er iets gebeurt?

Voor bestuurders en managers is het de kans om regie te nemen en écht grip te krijgen op risico’s. Een goed ingericht ISMS helpt daarbij: het geeft overzicht, rust en maakt duidelijk wie waarvoor verantwoordelijk is. En het gaat verder dan alleen voldoen aan regels: het draagt bij aan betere zorg, veiligere processen en meer vertrouwen, zowel intern als extern. Juist in de zorg is dat geen luxe, maar noodzaak.