Veilige informatievoorziening, ja!
Maar hoe?
De administratieve automatisering in de zorg groeit, volgens het CBS zijn de uitgaven tussen 1995 en 2005 verdriedubbeld.
Met het toenemen van de automatiseringsgraad is ook meer aandacht nodig voor de risico’s. Verschillende ongelukken met ICT haalden al de krant. Laptops met duizenden creditcardgegevens raken zoek, USB-sticks met staatsgeheimen worden achtergelaten in huurauto’s en bij een automatiseringsproject van de Belastingdienst raakten duizenden belastingaangiften zoek. Vaker echter worden ongelukken stilgehouden of risico’s ontkend of gebagatelliseerd. De gegeven voorbeelden zijn weliswaar afkomstig van buiten de zorg maar er is geen reden om aan te nemen dat het binnen de zorg er anders aan toe zou gaan waardoor de patiënt risico’s loopt.
Naar mijn ervaring zijn zorginstellingen graag bereid om aandacht schenken aan de veiligheid van informatievoorziening maar vormen alle risicofactoren een onoverzichtelijk geheel waarvan het lastig is vast te stellen waar men moet beginnen. Een deel daarvan kan de zorginstelling zelf beheersen maar een deel ook niet. Zo is het voor ziekenhuizen te veel werk om de grote ziekenhuisinformatiesystemen met hun vele aansluitingen naar labsystemen, planningssystemen en wat al niet, grondig te testen. Toch is dat nodig, helemaal als men bedenkt dat extra foutrisico’s ontstaan doordat softwarepakketten zoals ziekenhuisinformatiesystemen onderling verschillen door aanpassingen of andere instellingen om tegemoet te komen aan specifieke wensen. Lang niet alle softwareleveranciers in deze markt testen adequaat waardoor risico’s worden gelopen. En niet alleen met het complexe testen gaat het mis, in de ICT-sector is het een vaststaand gegeven dat ook het eenvoudige back-uppen in de praktijk nog niet altijd goed gaat. Bestanden worden vergeten, te oude tapes gebruikt, de back-up programmatuur onjuist ingesteld en nog wel meer. Te weinig instellingen proberen de back-up tape af en toe eens uit waardoor eventuele problemen pas worden ontdekt als de gevolgen dramatisch kunnen zijn omdat na een calamiteit de tape het enige is waarop men nog kan terugvallen.
Om de zorgsector en zijn ICT-leveranciers een leidraad te geven voor risicobeheersing, hebben overheid en het Nederlands Normalisatie-instituut de norm voor informatiebeveiliging in de zorg te ontwikkeld (NEN7510, NEN7511, NEN7512). Het is een lange lijst van best practices op het gebied van directie- en managementverantwoordelijkheid, processen en ICT-techniek. Doel is tijdig ontdekken van risico’s, schatten van de gevolgen en zo nodig treffen van maatregelen om die te bestrijden als dat nodig is.
De weg die Curasoft is ingeslagen voegt iets toe aan deze checklistbenadering. Informatieveiligheid wordt verbeterd door centraliseren van het beheer van ICT– weg uit de zorginstellingen en naar een specialist - en minimaliseren van softwareversies door te mikken op brede functionaliteit. Op deze manier wordt in het ontwerp van de informatiearchitectuur zelf al rekening gehouden met risicobeheersing, een aanpak die fundamenteler is dan verminderen van de risico’s in een gegeven situatie. Deze aanpak verschilt ook fundamenteel van die van leveranciers van softwarepakketten. Kunnen zij nog de verantwoordelijkheid voor de foutloosheid van software gemakkelijk bij de afnemer leggen –blijkens hun contracten doen zij dat ook -, Curasoft kan dat in beginsel niet. Bij dit hogere verantwoordelijkheidsniveau past ook een hoog verantwoordelijkheidsgevoel dat bijvoorbeeld tot uiting kan komen in de afspraken tussen ICT-leverancier en zijn klant en de interpretatie daarvan in de praktijk. Defensieve contracten volstaan hier niet, wel een overzicht van taken en processen die nodig zijn voor een adequate informatievoorziening: de ICT-leverancier het ICT-beheer maar de klant blijft bijvoorbeeld verantwoordelijk voor adequaat opleiden van medewerkers, ook de nieuwe, zodat die niet de helpdesk van de leverancier gaan platbellen met triviale vragen. In de praktijk zal de leverancier een stevige rol moeten nemen bij transparant maken van de samenwerking met zijn klanten, iets waarbij overigens de norm voor informatiebeveiliging in de zorg is handig is.
Of Curasoft het vereiste verantwoordelijkheidsgevoel waarmaakt, kan ik als schrijver van dit artikel natuurlijk niet zomaar aangeven maar dat Dennis Vis een kenner van informatiebeveiliging zoals ondergetekende vraagt om een artikel over dit onderwerp te schrijven, geeft een positieve indruk. Ik kan klanten of toekomstige klanten van Curasoft alleen maar aanraden om niet alleen naar de gebruiksmogelijkheden van de software te kijken maar ook de medewerkers van Curasoft te bevragen over de onderwerpen die ik hiervoor heb besproken.
Mr. Drs. J.A. van der Wel
Voormalig lid van de NEN-normcommissie voor informatiebeveiliging in de zorg, auteur boek ‘Informatiebeveiliging in de Zorg’, directeur Comfort-IA
