Veilig omgaan met informatie en ... - Isala Academie

SPECIAAL VOOR DE KLINIEKEN 

Veilig omgaan 

met informatie en 

bedrijfseigendommen. 

Ook uw zorg! 

Zorginstellingen, dus ook Isala, hebben als geen ander te maken met informatie waarvan u niet wilt dat anderen 

er zomaar bij kunnen. Denk aan patiënteninformatie, maar ook aan gevoelige bedrijfsinformatie. Daarom wil 

de overheid dat iedere zorginstelling voldoet aan de zogenoemde NEN 7510 norm. Naast informatieveiligheid 

heeft een organisatie ook te maken met fysieke beveiliging. Denk aan de beveiliging van ruimten waar 

bijzondere stoffen zijn opgeslagen of waar kostbare apparatuur staat en aan beveiligde opbergmeubels voor 

medische instrumenten en medicatie. Het gaat in deze voorbeelden om materialen en middelen die in handen 

van niet-bevoegden potentieel gevaar kunnen opleveren. 

RUIM BEGRIP 

Informatieveiligheid is een ruim begrip en heeft alles 

te maken met de beschikbaarheid, integriteit en vertrouwelijkheid 

van (bedrijfs)informatie. Verschillende 

afdelingen hebben ermee te maken, maar ook u als 

verpleegkundige hebt ermee te maken. U hebt toegang 

tot informatie van de patiënt, maar aan wie geeft u die 

informatie? Sluit u altijd uw pc af wanneer u deze niet 

meer gebruikt? En bent u zich ervan bewust dat als u 

dat niet doet, het voor een ander heel eenvoudig is om 

informatie op te zoeken over uw patiënten? 

HESSEL BREMER, security offi cer, adviseur 

informatieveiligheid, Isala klinieken 

BIANKE BUURSMA, bedrijfsjournalist Isala klinieken 

LEERDOELEN 

Na het lezen van dit artikel: 

– kunt u uitleggen wat de begrippen informatieveiligheid 

en fysieke beveiliging inhouden; 

– kunt u benoemen wat u zelf kunt doen om de 

informatieveiligheid en fysieke beveiliging te 

vergroten. 

Ook op andere afdelingen speelt informatieveiligheid 

een belangrijke rol. Denk aan de afdeling 

personeelszaken, waar de gegevens over medewerkers 

liggen opgeslagen. En de stafafdelingen, bijvoorbeeld 

financiën. Daar is informatie te vinden over de 

bedrijfsvoering van Isala, waarvan het niet de bedoeling 

is dat iedereen daar zomaar toegang tot heeft. 

Vuistregel 1 Wees zorgvuldig met alle informatie waarmee u 

in aanraking komt. 

NURSE ACADEMY nummer 1 voorjaar 2013 73

SPECIAAL VOOR 

Namens de overheid stelt de Inspectie voor de 

Gezondheidszorg (IGZ) dat alle zorginstellingen moeten 

voldoen aan de NEN 7510 norm. De norm is een cluster 

van maatregelen en processen die bij een zorginstelling 

op orde moet zijn. Er zijn verschillende niveaus waarop 

een instelling aan de norm kan voldoen. Heeft een 

instelling alle onderdelen op niveau 4, dan is de situatie 

perfect. Isala is een eind op weg. Op veel onderdelen 

scoort Isala een 4, maar er zijn ook nog onderdelen 

waarop een 3 wordt gescoord. In de nieuwbouw 

veranderen de werkprocessen, waardoor één en ander er 

anders gaat uitzien. Isala gaat in de aanloop hier naartoe 

de werkprocessen opnieuw toetsen. 

DE NEN 7510 HEEFT OP HOOFDLIJNEN 

VIJF VERSCHILLENDE CLUSTERS 

Beleid en organisatie 

Is er in de instelling een informatiebeveiligingsbeleid en 

beleid hoe om te gaan met (vertrouwelijke) informatie? 

Stel, iemand belt naar uw afdeling voor meer informatie 

over mevrouw Jansen. U kent deze beller niet, dus 

u geeft geen informatie. Dit is een voorbeeld van de 

uitvoering van het informatiebeveiligingsbeleid. 

Personeel 

Iedereen die bij Isala komt werken, ondertekent een 

formulier waarop wordt vastgelegd dat hij of zij vertrouwelijk 

met bedrijfsinformatie zal omgaan. Er is het 

boekje met vuistregels en uitleg over informatieveiligheid, 

om het bewustzijn van medewerkers te ver groten. 

Dit boekje krijgt iedereen, ook degene die extern werkt 

of tijdelijk werkzaamheden verricht voor de Isala. 

Ruimte en apparatuur 

Ligt informatie zo voor het grijpen op tafel, of is alles 

goed opgeborgen? En zijn bedrijfskritische ruimten 

waar iemand niet zomaar mag komen, goed afgesloten 

voor onbevoegden? 

Continuïteit 

Het ziekenhuis heeft de verantwoordelijkheid dat de 

zorg gewaarborgd blijft, ook al zijn de elektronische 

systemen buiten werking. Stel, het systeem met het 

elektronisch patiëntendossier werkt niet meer, wat doet 

u dan? Bent u op de hoogte van de noodplannen op uw 

afdeling om het proces te continueren? Kent u uw rol 

hierin? Informatieveiligheid zorgt ook voor stabiliteit. 

Authenticatie/identificatie 

Iedereen die als leverancier van bepaalde diensten het 

ziekenhuis in komt, moet zich laten registreren bij 

personeelszaken. Hij of zij moet zich ook kunnen identi- 

74 NURSE ACADEMY nummer 1 voorjaar 2013 

Vuistregel 2 Wees zorgvuldig bij het gebruik van ICT-middelen. 

ficeren. Is diegene echt die hij zegt dat hij is? Op basis 

van de te verwachten werkzaamheden wordt vervolgens 

bepaald tot welke ruimten, systemen en bedrijfsinformatie 

iemand toegang krijgt. 

OP UW AFDELING 

Als verpleegkundige bent u gefocust op uw dagelijkse 

zorgtaken. Neem toch eens een moment om samen met 

een collega kritisch rond te kijken op uw afdeling. Hoe 

goed is de (informatie)beveiliging op uw afdeling? Door 

de komst van het digitale verpleegkundig dossier 

(Apenio) zal het wellicht minder vaak voorkomen, 

maar is de informatie van uw patiënt goed opgeborgen? 

Binnen handbereik van u én onbevoegden, of is alle 

privacygevoelige informatie aan het zicht onttrokken en 

veilig opgeborgen? 

Bijna overal werkt u als verpleegkundige met de 

cow (computer op wielen). Zorg ervoor dat u de 

programma’s waarin u werkt afsluit en dat u bij 

het verlaten ook uitlogt. Ook al is het beeld op 

zwart gesprongen. Uit audits blijkt dat wanneer het 

toetsenbord of de mousepad even wordt aangeraakt 

alle gegevens weer in beeld springen. Op deze wijze 

kan iedereen, onder de naam van een ander, het 

patiëntendossier raadplegen, terwijl die persoon 

daarvoor geen toestemming en/of autorisatie heeft. 

Veilig omgaan met informatie en bedrijfseigendommen 

is een verantwoordelijkheid van ons allemaal. 

Wij moeten ons bewust zijn van de risico’s 

en daar waar nodig onze verantwoordelijkheid 

en maatregelen nemen. Als u iets ziet waarvan u 

denkt dat het niet klopt of dat het anders moet, 

praat er dan over met uw leidinggevenden en ook 

met uw collega’s.

Aanspreken 

Spreekt u iedereen aan die op de afdeling is maar daar 

niet hoort te zijn met de vraag ‘Kan ik u misschien 

helpen?’ En als u iemand aanspreekt, vraagt u dan 

door? Spreek ook gerust mensen aan die een Isalapasje 

dragen en dus collega zijn. Behalve een vorm van 

beveiliging, is het ook klantvriendelijk en het voorkomt 

dat onbevoegden toegang krijgen tot bedrijfskritische 

ruimten. 

Sleutel 

Weet u wie op uw afdeling een sleutel heeft en waarvoor? 

Schoonmakers hebben immers vaak lopers. 

Natuurlijk is het veel gemakkelijker om de sleutel in 

het slot van de schoonmaakkast te laten zitten. Omdat 

het een loper is, heeft een eventuele indringer met deze 

sleutel toegang tot alle ruimten op de afdeling. 

Medicijnkasten zijn beveiligd met een elektronische 

code. Op zichzelf prima, maar hoe lang zit dezelfde 

code er al op? En wordt het, mogelijk vanwege eerdere 

incidenten, niet eens tijd om deze te wijzigen? 

Fysieke beveiliging 

Een ander aspect van beveiliging is fysieke beveiliging, 

bijvoorbeeld het afsluiten van ruimten waar vreemden 

niets te zoeken hebben. Wordt er met een pasjessysteem 

gewerkt, let er dan op dat niemand met u mee naar binnen 

loopt. 

Terreurdreiging 

Eigenlijk al sinds 9/11 in 2001 is er ook in Nederland 

sprake van een verhoogde terreurdreiging. Er is zelfs een 

aparte post op het ministerie ingericht. In ziekenhuizen 

is vaak kritisch materiaal aanwezig, denk aan nucleaire 

stoffen of bacteriën/virussen uit het laboratorium, ook 

wel cbrn(-security) genoemd. De afkorting cbrn staat 

voor chemische, biologische of radiologische/nucleaire 

stoffen. 

Beveiligers lopen dagelijks rondes, waarbij meerdere 

zaken ten aanzien van de fysieke (toegangs)beveiliging 

worden gecheckt. Specifieke aandacht gaat hierbij uit 

naar de bedrijfskritische (werk)ruimten als een ict 

datacenter of toegang tot een nucleaire afdeling. 

LEREN VAN INCIDENTEN 

Als er incidenten zijn, is het belangrijk om ervan te leren 

en maatregelen te nemen, zodat het in de toekomst niet 

weer kan gebeuren of kan worden voorkomen. 

Wat zou u doen in de volgende situaties? 

Een arts neemt zijn nichtje mee met het visitelopen. Zij 

is wel student, maar niet een student geneeskunde. Ze 

twijfelt of zij geneeskunde wil studeren en daarom mag 

Vuistregel 3 Wees continu alert. 

zij een keer met haar oom mee om te zien of het wat 

voor haar is. 

Dat mag niet, want de informatie van de patiënt (privacy 

en vertrouwelijkheid) wordt op deze manier niet 

beschermd. Maak daar een vim-melding (veilig incident 

melden) van. Ook in situaties dat de informatieveiligheid 

gevaar loopt, mag altijd een vim-melding worden 

gemaakt. Het digitale Isala vim-formulier is hierop 

aangepast. 

Iemand stapt op u af en zegt dat hij de brandblussers op 

de afdeling komt controleren. Laat u hem de afdeling 

op? 

Doe dat in geen geval. Vraag om identificatie, en weet 

dat een echte controleur nooit alleen, maar altijd met 

begeleiding (vanuit Isala) komt. Bel dus beveiliging. 

Vraag altijd door als er een onbekende op uw afdeling is 

en vraag om legitimatie. 

Vuistregel 4 Voorkom ongeautoriseerde toegang tot uw 

werkplek. 

NURSE ACADEMY nummer 1 voorjaar 2013 75

SPECIAAL VOOR 

BEWUST WORDEN 

Isala is continu bezig medewerkers bewust te maken 

van informatieveiligheid en fysieke beveiliging. Met 

campagnes, banners, polls op internet en straks ook met 

eLearning én een cursusonderdeel in de nieuwbouwtrainingen 

voorafgaand aan de verhuizing. 

In deze cursus gaan we in op mogelijke casuïstiek en 

krijgt u antwoord op vragen als: 

– Mogen door patiënten, collega’s en familie foto’s 

gemaakt worden? 

– In welke gevallen weigert u iemand (bijvoorbeeld 

onderhoudsmonteurs) de toegang tot bepaalde 

ruimten? 

– Hoe ziet u of iemand geautoriseerd is om een 

bepaalde ruimte te betreden? 

– Welke stoffen en (bedrijfskritische) informatie zijn 

voor terroristen en andere kwaadwillenden mogelijk 

interessant? 

– Welke aspecten van informatie- en fysieke veiligheid 

zijn van belang tijdens de uitvoering van de patiëntenzorg? 

NIEUWBOUW 

Met de overgang naar de nieuwbouw verandert er veel 

wat betreft informatieveiligheid. Zo zullen er geen losse 

medische dossiers meer zijn, omdat iedere verpleegafdeling 

dan is overgestapt op Apenio. Bovendien zijn de 

archieven ingescand en niet meer fysiek in het gebouw 

aanwezig. 

Voorafgaand aan de overgang naar de nieuwbouw wordt 

ook het autorisatiebeheer in de Isala opnieuw ingericht. 

Op functieniveau wordt bepaald welke autorisaties 

nodig zijn en vervolgens welke daarbij passende toegang 

wordt verleend in het nieuwe gebouw. Dat wordt 

georganiseerd door middel van uw personeelspas. 

Let er straks ook in de nieuwbouw op dat mensen 

geen misbruik maken van úw pas en dat u deze altijd 

zichtbaar draagt. Laat dus niet iemand samen met u de 

afdeling op lopen als u niet weet wie het is. 

Voorafgaand aan de verhuizing, zijn veel afdelingen al 

aan het opruimen. Let er bij deze schoonmaakacties op 

dat u niets achterlaat waar privacygevoelige informatie 

op staat. Door de komst van magnetische sloten, uw 

pasje is de sleutel, wordt het sleutelbeheer in elk geval 

een stuk eenvoudiger. 

TOT SLOT 

Social media spelen een steeds belangrijkere rol in ons 

leven. Ook hier is informatieveiligheid van belang. 

Plaats bijvoorbeeld nooit patiënteninformatie op twit- 

76 NURSE ACADEMY nummer 1 voorjaar 2013 

Vuistregel 5 Gebruik internet, social media, e-mail en telefoon 

met uw volle verstand. 

ter. Waarschijnlijk zal niemand dat snel bewust doen, 

maar stel u twittert ‘vandaag die dikke blonde mevrouw 

op A4 weer geholpen’. Dat is direct herleidbaar en mag 

dus niet. De afdeling Concerncommunicatie beschikt 

over een instrument om social media te monitoren op 

meldingen die over Isala gaan. Als er meldingen aangetroffen 

worden die niet wenselijk zijn, kunnen hierop 

diverse acties worden ondernomen Als een medewerker 

van Isala bijvoorbeeld twittert over patiënten, dan 

gaat de leidinggevende met diegene in gesprek om dit 

incident en de geldende gedragsrichtlijnen te bespreken. 

Wees er altijd voorzichtig mee, want het kan u zelfs uw 

baan kosten. Zorg daarom ook voor een goede (persoonlijke) 

beveiliging van al uw social media accounts 

en wees u bewust van wat u twittert of op facebook zet. 

U bent een vertegenwoordiger van het ziekenhuis. 

De meest belangrijke zaken ten aanzien van de 

informatieveiligheid en fysieke beveiliging zijn 

samengevat in vijf vuistregels, die u nog eens rustig kunt 

nalezen in de brochure ‘Veilig omgaan met informatie 

en bedrijfseigendommen, Ook uw zorg!’ Deze en andere 

relevante informatie kunt u vinden op het intranet. 

LITERATUUR 

Brochure Veilig omgaan met informatie en bedrijfseigendommen, Isala 

klinieken. 

Intranet werkinformatie. Introductie informatieveiligheid binnen de Isala, 

Isala klinieken.

Veilig omgaan met informatie en ... - Isala Academie

Create successful ePaper yourself

Delete template?

Save as template?