Risk management volgens ISO 31000 moet dienend zijn aan de managementprocessen en andere managementsystemen. Zo niet, dan leidt het tot competentiestrijd en machtsspelletjes.

Zoals alle managementsystemen bevat ook ISO 31000 voor risk management een aantal valkuilen, zoals de inbedding van risk management, eilandvorming, de relatie met andere management systemen en het verschil tussen risico’s en gebeurtenissen die ‘erg’ zijn.

Om kwaliteit van zorg te kunnen beoordelen is informatie nodig. Om informatie te verkrijgen moeten gegevens worden verzameld door te meten. Indicatoren zijn meetbare aspecten die een beeld geven van de kwaliteit van zorg. In dit artikel wordt duidelijk welke indicatoren er zijn en hoe je ze bepaalt. Een en ander wordt toegelicht met een voorbeeld uit de thuiszorg (kraamzorg).

ISO 31000 biedt een kader voor risk management. Dit artikel geeft van de belangrijkste begrippen een samenvatting en beschrijft op hoofdlijnen de principes, het kader of framework en de processen.

Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Als Service Level Management ingevuld wordt op strategisch, tactisch en operationeel niveau aan de gebruikerskant, dan kan dit bijdragen aan de verbetering van de dienstverlening en aan een betere flexibiliteit en samenwerking.

Voorbeeld van een handleiding voor het inrichten van gebruiksbeheer en gebruikersbeheer om structureel de service van de ICT-afdeling aan de gebruiker te verbeteren, niet verstoord door incidenten en emoties.

De ISO-normen voor informatiebeveiliging gaan op de schop. Voor u is waarschijnlijk de belangrijkste wijziging, dat de controls van ISO 27001 slechts ingevuld hoeven worden, als dit volgens uw risicoprofiel noodzakelijk is. Dat betekent, niet meer honderden maatregelen implementeren, geen papierwinkel meer en eindelijk wordt draagvlak vanzelfsprekend.

Bijna zijn we aan het einde gekomen van de democratie als politiek systeem. Nu het Westen wankelt, wordt het tijd om al vast eens vooruit te kijken. Misschien kunnen we nog kiezen.

Informatiebeveiliging was lange tijd synoniem voor bureaucratie, hoge kosten en gebrek aan draagvlak. Bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan en wantrouwen leek de basis. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk maakte dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit, gelukkig, gaan veranderen.