De weg naar ISO27001 bij een zorginstelling

Projecten1 Reactie

u bent hier:De weg naar ISO27001 bij een zorginstelling

Voor een zorginstelling die langdurige zorg verleent, mochten we het afgelopen jaar de informatiebeveiliging op een hoger niveau brengen. Aangespoord door financiers (met name gemeenten) wilde deze organisatie het ISO27001 certificaat behalen. Daarmee werden de aanbestedingstrajecten (waar vaak gevraagd wordt om bewijs dat de informatie veilig verwerkt wordt) vereenvoudigd, en zou een grote stap gezet worden naar het AVG-compliant zijn.

Door tijdsdruk was de insteek om zo snel en eenvoudig mogelijk het certificaat te behalen. Maar door omstandigheden werd de tijdsdruk minder en kon er serieus gewerkt worden aan de inrichting van een informatiebeveiligingsbeheersysteem (ISMS). Niet alleen voor het certificaat en de aanbestedingen, maar ook omdat er met gevoelige informatie gewerkt wordt, en de organisatie de verantwoordelijkheid voelt om hier verantwoord mee om te gaan.

Gedurende het traject bleek dat vrijwel alle technische maatregelen al wel in orde waren. Versleuteling, verbindingen, authenticatie, autorisatie, logging: hier was al aandacht aan besteed in het verleden en dat zag er goed uit. Er was meer werk aan de winkel op het vlak van mensen, procedures en verantwoording. Hoe zit het met contracten, beveiligingsincidenten, verantwoording, periodieke controles? Eigenlijk was dat ook wel te verwachten: dit zit niet in de genen van zorginstellingen, en in dit geval was de organisatie ook nog eens druk bezig om “regelarm” te werken. Het is dan heel goed dat er een ISO27001 is, die via best practices aangeeft waar je toch echt wat regels voor moet hebben. En de norm laat voldoende ruimte om een eigen invulling te geven, waardoor er niet teveel geregistreerd hoeft te worden.
Telkens was het de afweging tussen zekerheid en werkbaarheid, waarbij vaak de keuze bij de betrokken medewerkers gelegd werd. Zij mochten zelf bepalen hoeveel regeltjes en registratie zij nodig vonden om verantwoording af te kunnen leggen. Af en toe moesten ze daarbij geholpen worden, maar meestal kwam daar een prima compromis uit.

Uiteindelijk is het certificaat binnen 9 maanden verkregen: toch behoorlijk snel! Bij de externe audit werden weliswaar enkele “minor” bevindingen gedaan, maar die waren eigenlijk al bekend. Nou was de scope van dat certificaat alleen het hoofdkantoor, en moeten de locaties (waar 90% van de medewerkers werken) nog dit jaar gecertificeerd worden. Maar dankzij duidelijke beleid, een informatiebeveiligingskalender en ondersteuning vanuit het hoofdkantoor, is het voor iedereen helder wat er moet gebeuren. Daarbij speelt de omgeving in ons voordeel: door alle aandacht aan de AVG en de constante stroom van beveiligingslekken, is iedereen overtuigd van het nut van informatiebeveiliging.

Zeg ik met dit verhaal dat het invoeren van een ISMS conform ISO27001 eenvoudig is? Nee, maar als je de boel al enigszins op orde hebt, is het ook niet de moeilijkste opgave. Daarbij behaal je niet alleen het certificaat, maar verbeter je de hele informatievoorziening en ben je al een eind op weg om AVG-compliant te zijn.

Over de auteur:

Govert is één van de consultants van Noblesse Oblige.

Eén reactie op “De weg naar ISO27001 bij een zorginstelling”

  1. Aan het begin van de maand is de audit voor de hele organisatie uitgevoerd: naast het hoofdkantoor zijn 36 locaties bezocht, waarbij 5 auditoren gedurende 3 weken zijn bezig geweest. Uiteindelijk zijn er 7 “minor non-conformities” gevonden, maar die staan certificering niet in de weg. Kortom, de gehele organisatie is nu voorgedragen voor ISO27001 certificering!
    Een belangrijke succesfactor hierin, was de benoeming van 12 regionale “Security Functionarissen”, medewerkers die deze rol naast hun reguliere werkzaamheden vervullen. Dankzij hen zijn de locaties beter en sneller betrokken bij het implementeren van het ISMS en het opmerken en oplossen van risicovolle situaties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Top