Informatiebeveiliging is een veelbesproken onderwerp — al heet het in de volksmond vaker ‘privacy’. We willen niet dat onze gegevens op straat komen te liggen, want dat kan verstrekkende gevolgen hebben. Vooral gevoelige gegevens uit de zorg dienen goed beschermd te worden. Dat doet HSK, nu ook aantoonbaar. Sinds november 2021 is HSK NEN7510-gecertificeerd. En wat dat betekent en waarom het reden is voor een feestje, legt hoofd ICT Peter Kuiters, hier uit.

Wat houdt NEN7510 in?

De NEN7510 is een aangescherpte norm voor informatiebeveiliging binnen de Nederlandse zorgsector. Het lijkt op de ISO 27001; de mondiaal erkende norm voor informatiebeveiliging. Deze norm schrijft voor hoe je professioneel omgaat met de privacy van cliënten. De NEN7510-certificering is niet verplicht, maar is tegenwoordig wel noodzakelijk te noemen. Zo is het belangrijk te weten wie wanneer inlogt in een elektronisch patiëntendossier, wie daar toegang tot heeft en wanneer een bepaalde digitale handeling erg vaak uitgevoerd wordt. HSK had dit al voor de certificering op orde.

Hoofd ICT bij HSK, Peter Kuiters: “We waren ons al heel bewust van mogelijke risico’s en dreiging. Daar was onze informatiebeveiliging al op ingericht. Je hebt te maken met vertrouwelijkheid, integriteit en beschikbaarheid: zo zorgde HSK er al voor dat de kans op een hack minimaal is, dat je kloppende gegevens te zien krijgt en dat de informatie altijd beschikbaar is, zelfs als er een belangrijke computer uitvalt. Dat is nog niet alles, want HSK wil ook dat de systemen gebruiksvriendelijk zijn. Gebruiksvriendelijk én veilig is een lastige combinatie, maar het certificaat bewijst in ons geval dat het kan.”

De NEN7510-certificering behaalt een organisatie niet zomaar. Er komt een auditor langs die 8 mandagen door het bedrijf loopt en álles tegen het licht houdt: van kasten die op slot zitten tot de afdelingen HR en Financiën. Ze kijken heel uitvoerig of je wel voldoet aan de norm. En dat is zeker geen momentopname, want dit kader zorgt er ook voor dat je periodiek controleert. “Naast dat we ons al aan de regels houden, meten we ook altijd al fanatiek. Het feitelijke verschil is dat onze klanten ons nu niet op onze blauwe ogen geloven als we zeggen dat onze informatiebeveiliging goed is, maar dat het nu getoetst is door een onafhankelijke organisatie.”

Waarom behaalde HSK nu het certificaat NEN7510?

Een voor de hand liggende vraag: waarom behaalde HSK het certificaat nú? “We hielden ons altijd al aan de regels die gelden voor goede informatiebeveiliging in de zorg. HSK wil dat medische gegevens veilig zijn. Voor de cliënten én omdat niemand paginagroot in de krant wil verschijnen door een datalek. Onze inschatting was dat we aan de norm voldoen — en dat is nu ook gebleken —, maar het kost veel tijd en geld om het daadwerkelijke certificaat te krijgen. Je legt alle protocollen vast en je blijft ermee bezig: het NEN7510-certificaat is maar drie jaar geldig en elk jaar is er een korte audit. In onze omgeving zagen we dat de vraag naar dit certificaat steeds groter werd. Eerst was het een pluspunt om het certificaat te hebben, nu is het een absolute must.  

‘Er is nu meer tijd en ruimte om daadwerkelijk over de zorg te praten, want dat is uiteindelijk waar het om gaat. HSK denkt altijd in belang van de cliënt.’

– Peter

Wat betekent deze aantoonbare goede informatiebeveiliging voor de klanten van HSK?

Hoewel HSK al langere tijd goede informatiebeveiliging belangrijk vind, is het inmiddels behaalde certificaat een goede reden om de vlag uit te hangen. HSK is met vlag en wimpel geslaagd: de auditoren waren zeer onder de indruk van het bewustzijnsniveau van alle auditees. Ze gaven aan dat HSK-medewerkers bovengemiddeld bewust zijn van het feit dat we met gevoelige gegevens werken en van de risico’s die daarbij komen kijken. Mooie complimenten — waar hard voor is gewerkt! “Het risico dat er iets misgaat bij de informatiebeveiliging is nu bijna nul. Dat heeft niet alleen als voordeel dat de kans groot is dat je gegevens altijd veilig zijn. Ook bij nieuwe samenwerkingen hoeven we het, dankzij dit certificaat, niet uitgebreid te hebben over hoe we data beveiligen. Er is nu meer tijd en ruimte om daadwerkelijk over de zorg te praten, want dat is uiteindelijk waar het om gaat. HSK denkt altijd in het belang van de cliënt.”