Ken je omgeving
Met ‘identificeer’ bedoelen we dat je de locatie(s) en de omgeving van je zorgorganisatie goed in kaart hebt, zowel binnen als buiten. Van de mensen en medische apparatuur, zoals MRI-scanners of sensoren, die zich binnen je muren bevinden tot en met je leveranciers en clouddiensten búiten de muren. Inclusief je patiënt- en cliëntdata. Alles wat je hebt, maak je inzichtelijk: dat is de basis om ‘in control’ te zijn. Vervolgens wil je weten wát dan je belangrijkste bezittingen zijn, wat extra waardevol is en wat je dus goed wilt beschermen.
Risico’s in kaart
Vergelijk je zorgorganisatie maar met een huis: je inventariseert het aantal kamers, de ramen, de deuren, de sleutels die in omloop zijn en bij wie, de omheining van de tuin, de aanwezigheid van een dakterras, zijingangen of een achterom, de staat van je fundering – noem maar op.
Vervolgens weeg je de risico’s af. Van inbraak bijvoorbeeld. Zou het mogelijk zijn dat er zomaar een vreemde je huis binnenwandelt, spullen oppakt en in je privépapieren snuffelt? Wie wil je wel binnen hebben en wie niet – en hoe controleer je dat? En je inventariseert de betrouwbaarheid van je huis. Is er bijvoorbeeld kans op lekkage of rotte balken?
Dat doe je niet alleen in de woonkamer, maar ook in de meer verborgen ruimtes, zoals de kruipruimte. Je bepaalt of je bereid bent risico’s te nemen en welke dat zijn. Slaap je nog wel lekker als de vloerbalken rot zijn? Als je weet dat het slot op de deur bij het dakterras rammelt? En wat doe je met een raam dat niet meer goed sluit: wanneer vind je het onveilig en neem je passende maatregelen?
Aanvaardbare risico’s of niet
Al die vragen zou je jezelf ook over je zorgorganisatie mogen stellen. Zo zien we dat veel zorgorganisaties waar we voor werken de eigen IT-omgeving op grote lijnen wel kennen. Ze weten vaak ongeveer waar de meest privacygevoelige data zich bevinden. En welke wachtwoorden in omloop zijn. Welke apparaten zich mogelijk in de IT-omgeving bevinden – hoe oud ze zijn en of ze kwetsbaarheden vertonen. Wie de leveranciers zijn, hoe vertrouwd en betrouwbaar ze zijn en hoeveel rechten ze wil hebben. Toch zien we ook nog geregeld blinde vlekken. Dat zorgorganisaties niét alles in kaart hebben.
Belangrijk om daar actie op te ondernemen. Want pas wanneer je dat allemaal in kaart hebt, kun je ook op al die punten gaan vaststellen welke risico’s je bereid bent te nemen. En natuurlijk wanneer je een risico niet meer acceptabel vindt, en dus in actie komt. Dat geldt niet alleen voor het risico van je eigen organisatie, maar ook de risico's die de patiënt of cliënt loopt.
Verantwoordelijkheden verdelen
Een ander belangrijk onderwerp in deze eerste stap is de verantwoordelijkheden in kaart brengen: wie doet wat als een risico niet meer aanvaardbaar is? Of als bij controle blijkt dat een risico groter wordt en een nieuwe kwetsbaarheid dreigt te ontstaan? Dat gaat doorgaans niet vanzelf.
Vergelijk het met het wonen in een huis zonder huisregels of afspraken: met alleen maar hopen dat iemand het werk wel op zich neemt, kom je er doorgaans niet. Bovendien moet je de inventarisatie en de maatregelen regelmatig bijhouden en updaten. Niet alleen komen er geregeld nieuwe bedreigingen bij, ook technologie verandert.
Om verantwoordelijkheden goed te verdelen, richt je beleid in, rollen, eigenaarschap en bestuurlijke verantwoordelijkheid – ja, ook op directieniveau. Want sinds de Europese richtlijn Network and Information Security (NIS2), in het Nederlands doorvertaald naar de Cyberbeveiligingswet, zijn bestuurders hoofdelijk aansprakelijk. Wie belt de loodgieter als er toch een lekkage is, wie pakt de brandblusser bij een vermoeden van brand? In cybersecuritytermen: wie heeft er ‘stekkermandaat’ en mag bij een crisis servers uitschakelen? En is diegene 24/7 beschikbaar?
De 10 belangrijkste checks van stap 1
- Welke (digitale én fysieke) systemen, apparaten en data gebruiken jullie dagelijks? En hoe afhankelijk ben je daarvan?
- Weet je waar gevoelige informatie staat (zoals patiënt- en cliëntgegevens, BSN-nummers en recepten)?
- Wie heeft er toegang tot die informatie? En heb je geregeld dat mensen alleen toegang hebben tot informatie die ze echt nodig hebben?
- Wie heeft er toegang tot welke fysieke ruimte? En is er een alternatief als bij stroomuitval passen niet meer werken?
- Welke data is het meest waardevol of kritisch voor de continuïteit van zorg?
- Wat zou het effect op je organisatie zijn van dataverlies of ransomware?
- Zijn er leveranciers of ketenpartners die een risico vormen voor de continuïteit van je zorgverlening?
- Wie is formeel verantwoordelijk voor informatiebeveiliging? Is er een CISO?
- Is er een vastgesteld en actueel beveiligingsbeleid?
- Bespreken jullie beveiliging op directieniveau?
Serie blogs: de 5 stappen
De komende tijd maken we een serie blogs waarin we met jou de 5 stappen richting digitale weerbaarheid doorlopen. Daarin ontdek hoe je doelgericht de beste afwegingen voor jullie organisatie kunt maken. De eerste 3 stappen staan inmiddels online: Identificeer (deze blog),
Wil je liever met één van onze specialisten in gesprek? Dat kan ook. Maak hieronder vrijblijvend een afspraak.
