Lessen uit de zorg

De algemene ISO-norm voor informatiebeveiliging (ISO 27001 + 27002) heeft een bijna-eeneiige tweeling: het NEN 7510 ‘Informatiebeveiliging in de zorg’. De gelijkenis tussen die systemen is sterker geworden door de nieuwe revisie van 7510, die nu in commentaarversie beschikbaar is via de NEN Normontwerpen site. Meest belangrijke verschil met de ‘bekende’ ISO 27001 + 27002 is de Nederlandse weergave van de toevoeging ISO 27799 – zorg specifieke maatregelen.

Bedrijven die klanten in de zorgsector hebben, zullen in de toekomst met de gevolgen van de nieuwe norm voor de zorg geconfronteerd worden. U moet blijven verwachten dat o.a. dit soort klanten (maar ook banken, verzekeraars, telecombedrijven, overheidsinstellingen, beursgenoteerde bedrijven, DM bedrijven) u zullen vragen een bewerkersovereenkomst te tekenen. Maar voor de bedrijven die nog niet dit soort klanten hebben: zijn er nog nuttig best practices, waar u uw voordeel mee kan doen? Uit mijn praktijkervaring zou ik zeggen het volgende:

Arbeidsvoorwaarden: besteed speciale aandacht aan de rollen en verantwoordelijkheden van tijdelijk personeel (vervangers, flex, stagiairs, studenten). Dit is vaak een ondergeschoven punt. Controleer met de organisatie die deze personen stuurt ook welke richtlijnen zij zich al aan moeten houden, en welke gebruiksrechten gelden voor eventuele software die ze zullen gebruiken tijdens hun werkzaamheden.

Verwijderbare media: als er gevoelig persoonlijke gegevens op een medium staan, dan moet die fysiek bescherm worden of de gegevens versleuteld worden. Indien dit niet gebeurt, moeten status en locatie gemonitord worden. Een lekker eenduidige maatregel.

Privacy en bescherming van persoonsgegevens: Organisaties die persoonlijke informatie verwerken, moeten de geïnformeerde toestemming van klanten/betrokkenen beheren. Dit kunt u algemeen gezien goed verzorgen via standaard voorwaarden, cookiemeldingen en andere standaardbepalingen. Maak wel aantoonbaar dat u dit daadwerkelijk doet.

Er zijn meer aanbevelingen die prikkelend werken en tot verbetering kunnen leiden, maar die zijn niet in alle gevallen nuttig.

Meer vragen over informatiebeveiliging – of u nu klanten in de zorg heeft of niet – kunt u altijd stellen via info@metaview.nl

 
   « Meer Nieuws...