Voor Drachtens ziekenhuis is cyberveiligheid geen doel, maar een middel.
Medische gegevens zijn altijd vertrouwelijk en dus is het niet vreemd dat bij veel zorginstellingen cyber- en informatiebeveiliging hoog op de agenda staat. Een goed voorbeeld daarvan is Nij Smellinghe in Drachten, een aantal jaren geleden het eerste ISO 27001-gecertificeerde Nederlandse ziekenhuis. Intussen zijn bij Nij Smellinghe de kwaliteitssystemen voor cybersecurity volwassen geworden, maar dat betekent niet dat Sippie Donkervoort en Eric Annema, respectievelijk Nij Smellinghe’s manager kwaliteit en veiligheid en security officer, nu op hun lauweren gaan rusten.
Goede, betrouwbare informatie speelt een belangrijke rol bij het optimaliseren van de gezondheidszorg. Gegevens over patiënten medische achtergrond helpt zorgverleners bij het verlenen van zo goed mogelijke zorg. Data en data-driven toepassingen spelen daarbij een belangrijke rol. Zeker als het gaat om slimme e-health-oplossingen voor zorg-op-afstand, digitale patiëntendossiers en persoonlijke gezondheidsomgevingen voor het inzien, beheren en delen van zorggegevens. Die digitalisering levert prachtige mogelijkheden op, maar zorgt ook voor risico’s. Informatie is immers nergens privacygevoeliger dan in de zorg, waardoor een veiligheidslek in deze sector extra pijnlijk is.
Patiëntveiligheid
Volgens manager kwaliteit en veiligheid Sippie Donkervoort geldt dat zeker voor Nij Smellinghe, waar patiëntveiligheid centraal staat. ‘Ons motto is: “Met aandacht. Dat voelt beter”. Patiënten moeten zich bij ons veilig voelen. En het begrip “veiligheid” benaderen we daarbij holistisch. Nauwe samenwerking tussen de kwaliteitsmanagers en de ICT-professionals is dan ook cruciaal.’ Patiëntveiligheid betekent voor Nij Smellinghe niet alleen alles op alles zetten voor goede zorg, maar ook investeren in apparatuur, voorzieningen en digitale innovatie. ‘We gaan voor de juiste zorg op de juiste plek, door goede samenwerking met regionale huisartspraktijken, zorgverleners en onderwijsinstellingen. Dus betere zorg, door nog meer te investeren in medewerkers én soepele processen met werkbare systemen.’
Cyberdreigingen
Bij dat laatste komen ook al snel cyber- en informatiebeveiliging om de hoek kijken. Eric Annema: ‘Onze medewerkers verrichten elke dag vele duizenden handelingen in IT-systemen. Er worden afspraken gemaakt, patiënten ingeschreven en gegevens verwerkt. Als dat in enkele gevallen misgaat is dat heel vervelend, maar óók iets waar we weer van kunnen leren. De grootste cyberdreigingen voor Nij Smellinghe zijn in mijn ogen externe factoren, zoals ransomware en phishing, én ontwikkelingen binnen onze organisatie. Nieuwe technieken, nieuwe mensen, nieuwe regels. Hoe zorg je ervoor dat mensen kunnen omgaan met al die informatiestromen? Er moet steeds meer in de zorg, daarmee neemt ook het risico toe dat er wat mis gaat.’
Certificering
Om die risico’s te beheersen, maakt Nij Smellinghe al geruime tijd werk van kwaliteitssystemen voor informatiebeveiliging. ‘Jaren geleden begonnen we binnen het ziekenhuis te werken volgens protocollen’, vertelt Sippie Donkervoort. ‘Geleidelijk ontwikkelden we die door tot kwaliteitssystemen die we lieten toetsen tegen internationaal erkende normen als de ISO 9001. In 2019 waren we het eerste Nederlandse ziekenhuis dat zich liet certificeren tegen de ISO 27001-richtlijn voor informatiebeveiliging. Ook hebben de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers geïmplementeerd. Dat is een onderdeel van de NVZ Routekaart Informatiebeveiliging. Binnen dat traject zijn we inmiddels overgestapt van de ISO 27001 naar certificering tegen de kwaliteitsnorm NEN 7510 voor informatiebeveiliging in de zorgsector.’
Safety 2.0
‘Maar op een gegeven moment merk je dat het rendement minder wordt’, vervolgt Eric Annema. ‘Ons kwaliteitssysteem staat en helpt ons risico’s te beheersen. Maar we willen een volgende stap zetten, van vinkjes zetten naar certificering met strategische meerwaarde. Het zorglandschap vraagt hier ook om, want aan alle kanten is de druk hoog.’ Volgens Sippie Donkervoort is Nij Smellinghe er klaar voor om te gaan werken volgens de Safety II-benadering. ‘Bij Safety I denk je vooral vanuit zaken die niet goed gaan, vanuit voorspelbare protocollen. Maar de zorgpraktijk is niet altijd voorspelbaar. Bij Safety II ligt de focus veel meer op de dagelijkse praktijk en op wat er wél goed gaat.’
Bug bounty hunt
Dat betekent uiteraard niet dat Nij Smellinghe veiligheidsrisico’s voortaan rustig op zich af laat komen. Het ziekenhuis beschikt met Crowdstrike over een state-of-the-art cybersecurityoplossing en was onlangs het eerste Nederlandse ziekenhuis dat in een bug bounty hunt-programma ethische hackers losliet op zijn systemen. ‘Er wordt dan toch anders naar je “kroonjuwelen” gekeken’, meent Eric Annema. ‘Je kunt als interne IT-organisatie wel roepen dat je alles goed voor elkaar hebt, maar externe bevestiging is natuurlijk altijd beter. Tijdens de bug bounty hunt in ons ziekenhuis stuitten hackers op vier kleine issues, die ook direct werden opgelost.’
Keurmerk NEN 7510
Een eerste stap naar certificering met strategische meerwaarde zette Nij Smellinghe onlangs door certificeringspartner Kiwa te ondersteunen bij de ontwikkeling van het keurmerk NEN 7510. Eric Annema: ‘We waren al overgestapt van certificering tegen de standaard ISO 27001 naar de specifiek op de Nederlandse zorgsector toegespitste norm NEN 7510. Ook die kon in onze ogen echter nog wat praktischer. Dat heeft geleid tot het keurmerk NEN 7510, een van de oorspronkelijke norm afgeleide kwaliteitsstempel die laat zien dat je serieus omgaat met informatiebeveiliging. En dat op een manier die beter aansluit bij onze missie: samen werken aan duurzame zorg.’
Expert in certificering zorgkwaliteit
Door zowel kwaliteitscertificeringen als het assurancetraject rond de NVZ Routekaart te beleggen bij Kiwa, profiteert Nij Smellinghe van één aanspreekpunt en Kiwa’s uitgebreide ervaring als het gaat om kwaliteitskeurmerken in de zorgsector. Kiwa, een van ’s wereld grootste organisaties op het gebied van testen, inspectie en certificering, kan zorgorganisaties helpen te voldoen aan hun compliance-behoeftes. Of het daarbij nu gaat om certificering tegen de NEN 7510 of de HKZ-normenreeks, een bug bounty hunting-programma, de MedMij-kwaliteitsverklaring of het behalen en behouden van VIPP-subsidies.
