Om kwaliteit van zorg te kunnen beoordelen is informatie nodig. Om informatie te verkrijgen moeten gegevens worden verzameld door te meten. Indicatoren zijn meetbare aspecten die een beeld geven van de kwaliteit van zorg. In dit artikel wordt duidelijk welke indicatoren er zijn en hoe je ze bepaalt. Een en ander wordt toegelicht met een voorbeeld uit de thuiszorg (kraamzorg).

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Veel leveranciers van beveiligingsoplossingen gaan nog uit van de gedachte: Wie angst zaait zal business oogsten. ICT-bladen en -nieuwsbrieven worden vergiftigd met beveiligingsellende. Laat u daardoor niet misleiden. In dit artikel suggesties hoe u informatiebeveiliging en business continuity effectief en pragmatisch kunt aanpakken.

Informatiebeveiliging is niet onbelangrijk, maar de keuze voor en de implementatie van adequate maatregelen om belangrijke bedrijfsrisico’s te verminderen mogen nooit gebaseerd zijn op bangmakerij en opgeblazen incidenten. Deze cursus is primair gericht op het in de praktijk beheersen van deze bedrijfsrisico’s.

Het Information Security Management Systeem is bij de invoering van informatiebeveiliging vaak de heilige graal en vergaande bureaucratie zijn dienaar. Het kan anders. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak en dat werkt contraproductief.

Informatiebeveiliging was lange tijd synoniem voor bureaucratie, hoge kosten en gebrek aan draagvlak. Bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan en wantrouwen leek de basis. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk maakte dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit, gelukkig, gaan veranderen.

Informatiebeveiliging en kennisdeling lijken vijanden, maar zullen toch geïntegreerd moeten worden bij dienstverleners en kennisintensieve organisatie, zeker als er plannen zijn voor Cloud Computing, voor SaaS of voor het nieuwe werken. Gelukkig zijn de oplossingen hiervoor al voor handen.

Ook informatiebeveiligers moeten met hun tijd meegaan. Nieuwe technologieën zoals cloud computing leveren niet alleen nieuwe dreigingen op, maar ook nieuwe kansen.

Zorginstellingen die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel kunnen NEN 7510 gebruiken om pragmatisch tot een passend security management systeem te komen, inclusief een natuurlijke verbetercyclus.

Privacy heeft maar weinig uit te staan met informatiebeveiliging. Het is een extern opgelegde randvoorwaarde met slechts weinig eisen die echt moeten. Kortom, een sluitpost en geen uitgangspunt.