Regionale ambulancevoorziening gecertificeerd voor informatiebeveiliging

Regionale ambulancevoorziening gecertificeerd voor informatiebeveiliging

De regionale ambulancevoorziening Brabant Midden West Noord (RAV Brabant MWN) wil in control zijn op informatiebeveiliging. Daarvoor moest de RAV per 1 januari 2018 gecertificeerd zijn voor NEN7510. Hiervoor werd de hulp van M&I/Partners begin 2017 ingeroepen. Omko Huizenga, adviseur bij M&I/Partners, begeleidde de regionale ambulancevoorziening met succes naar de informatiebeveiliging certificering: NEN7510.

RAV

RAV Brabant Midden-West-Noord is als zelfstandige organisatie in een grote regio verantwoordelijk voor acute ambulancezorg op locatie. Informatieveiligheid en privacy zijn belangrijke thema's voor de regionale ambulancevoorziening. Gevoelige informatie mag niet 'op straat' liggen en privacy moet gewaarborgd zijn.

Kennis overdragen

Vanaf maart tot en met december heeft Omko Huizenga de RAV klaar gemaakt voor de NEN7510 certificering. “Ik heb de RAV ondersteund en geadviseerd met het inrichten van het managementsysteem rondom informatiebeveiliging (ISMS). Vanaf dag een lag mijn focus op het overbrengen van kennis. Hoe zit zo’n managementsysteem in elkaar? Wat zijn praktische manieren om invulling te geven aan wat de norm vraagt? Maar bovenal: hoe gaan we de informatieveiligheid verbeteren en borgen?” vertelt Omko.

Goede ambulancezorg

Voorafgaand aan deze opdracht heeft M&I/Partners ook een nulmeting en risicoanalyse uitgevoerd. Met het stappenplan uit die opdracht is deze opdracht verder opgepakt. De focus lag voornamelijk op de NEN7510 en alle beleidsmatige documenten die daarin opgesteld moeten worden. De RAV Brabant MWN heeft een gezonde aanpak als het gaat om informatiebeveiliging: de hoogste mate van beveiliging is van toepassing op de patiëntgegevens. Tegelijkertijd ligt de focus van de ambulanceverpleegkundige op het leveren van goede ambulancezorg en niet op informatiemiddelen. Of zoals Frank de Lau, informatiemanager en security officer van de RAV het beschrijft: “In alles wat we doen proberen we de patiënt centraal te stellen. Ook bij informatiebeveiliging en privacy. We doen dit in het belang van hun zorg en veiligheid. ‘In control’ zijn betekent echter geen 100% veiligheid, omdat dit een niet-werkbare situatie creëert tegen onverantwoord hoge kosten. Beide zijn niet in het belang van de patiënt.” Daarom is het voor de verpleegkundige zo makkelijk mogelijk gemaakt zonder risicovolle concessies te doen aan de informatieveiligheid. Een onderzoek is uitgevoerd naar de beveiliging van de gebouwen en de apparatuur op de ambulance om zo een onafhankelijke toets te krijgen of de staat van beveiliging op het gewenst niveau is.

Uitdaging informatiebeveiliging 

De grootste uitdaging in het informatiebeveiliging traject is de tijd vinden om het als een gestructureerd proces op te pakken. Vooral in de eerste fase waarin het ISMS wordt opgezet, moet een hoop werk worden verzet. Dit naast de 'standaard' werkzaamheden die al op de organisatie afkomen. In een goede samenwerking tussen de RAV en M&I/Partners is hier een werkverdeling gemaakt die behapbaar en haalbaar is gebleken. De echte uitdaging is uiteraard om na certificering niet te denken dat het certificaat binnen is en rust te nemen. Informatiebeveiliging is een continu proces en de RAV Brabant MWN heeft dit goed opgepakt. Zo kan de patiënt gerust zijn dat zijn gegevens optimaal beveiligd zijn.

Succesvolle certificering

“Om op een punt te komen dat certificeren mogelijk is, moet er een hoop op schrift worden gesteld over informatiebeveiliging. Dit was uiterst zinnig omdat het ons enorm veel inzicht gaf in wat er allemaal wel en niet wordt gedaan op het gebied van informatiebeveiliging binnen de RAV. Samen met de RAV hebben we een document opgesteld dat naadloos aansluit bij de eigen organisatie” vertelt Omko. Er is bijvoorbeeld gekozen voor één beleidsdocument voor voertuig-ICT waarin beknopt alle beleidsuitgangspunten staan geformuleerd. Geen lange, complexe, beleidsdocumenten maar een stuk dat helder overzichtelijk maakt wat de praktijk en ambitie is van de RAV. Het traject is dan ook afgesloten met een succesvolle certificering (NEN7510) die aantoonbaar voldoet aan de norm voor informatiebeveiliging. “Naast een succesvol resultaat is ook de samenwerking erg goed bevallen, blijkt wel uit het feit dat de samenwerking tussen de RAV en M&I/Partners is voortgezet op het gebied privacy en de AVG”, vervolgt Frank de Lau.

<hr>

Wilt u ook in korte tijd met succes naar de informatiebeveiliging certificering: NEN7510? Neem dan vrijblijvend contact op met Omko.