Veilig omgaan met informatie en ... - Isala Academie

isala.academie.nl

Veilig omgaan met informatie en ... - Isala Academie

SPECIAAL VOOR DE KLINIEKEN

Veilig omgaan

met informatie en

bedrijfseigendommen.

Ook uw zorg!

Zorginstellingen, dus ook Isala, hebben als geen ander te maken met informatie waarvan u niet wilt dat anderen

er zomaar bij kunnen. Denk aan patiënteninformatie, maar ook aan gevoelige bedrijfsinformatie. Daarom wil

de overheid dat iedere zorginstelling voldoet aan de zogenoemde NEN 7510 norm. Naast informatieveiligheid

heeft een organisatie ook te maken met fysieke beveiliging. Denk aan de beveiliging van ruimten waar

bijzondere stoffen zijn opgeslagen of waar kostbare apparatuur staat en aan beveiligde opbergmeubels voor

medische instrumenten en medicatie. Het gaat in deze voorbeelden om materialen en middelen die in handen

van niet-bevoegden potentieel gevaar kunnen opleveren.

RUIM BEGRIP

Informatieveiligheid is een ruim begrip en heeft alles

te maken met de beschikbaarheid, integriteit en vertrouwelijkheid

van (bedrijfs)informatie. Verschillende

afdelingen hebben ermee te maken, maar ook u als

verpleegkundige hebt ermee te maken. U hebt toegang

tot informatie van de patiënt, maar aan wie geeft u die

informatie? Sluit u altijd uw pc af wanneer u deze niet

meer gebruikt? En bent u zich ervan bewust dat als u

dat niet doet, het voor een ander heel eenvoudig is om

informatie op te zoeken over uw patiënten?

HESSEL BREMER, security offi cer, adviseur

informatieveiligheid, Isala klinieken

BIANKE BUURSMA, bedrijfsjournalist Isala klinieken

LEERDOELEN

Na het lezen van dit artikel:

– kunt u uitleggen wat de begrippen informatieveiligheid

en fysieke beveiliging inhouden;

– kunt u benoemen wat u zelf kunt doen om de

informatieveiligheid en fysieke beveiliging te

vergroten.

Ook op andere afdelingen speelt informatieveiligheid

een belangrijke rol. Denk aan de afdeling

personeelszaken, waar de gegevens over medewerkers

liggen opgeslagen. En de stafafdelingen, bijvoorbeeld

financiën. Daar is informatie te vinden over de

bedrijfsvoering van Isala, waarvan het niet de bedoeling

is dat iedereen daar zomaar toegang tot heeft.

Vuistregel 1 Wees zorgvuldig met alle informatie waarmee u

in aanraking komt.

NURSE ACADEMY nummer 1 voorjaar 2013 73


SPECIAAL VOOR

Namens de overheid stelt de Inspectie voor de

Gezondheidszorg (IGZ) dat alle zorginstellingen moeten

voldoen aan de NEN 7510 norm. De norm is een cluster

van maatregelen en processen die bij een zorginstelling

op orde moet zijn. Er zijn verschillende niveaus waarop

een instelling aan de norm kan voldoen. Heeft een

instelling alle onderdelen op niveau 4, dan is de situatie

perfect. Isala is een eind op weg. Op veel onderdelen

scoort Isala een 4, maar er zijn ook nog onderdelen

waarop een 3 wordt gescoord. In de nieuwbouw

veranderen de werkprocessen, waardoor één en ander er

anders gaat uitzien. Isala gaat in de aanloop hier naartoe

de werkprocessen opnieuw toetsen.

DE NEN 7510 HEEFT OP HOOFDLIJNEN

VIJF VERSCHILLENDE CLUSTERS

Beleid en organisatie

Is er in de instelling een informatiebeveiligingsbeleid en

beleid hoe om te gaan met (vertrouwelijke) informatie?

Stel, iemand belt naar uw afdeling voor meer informatie

over mevrouw Jansen. U kent deze beller niet, dus

u geeft geen informatie. Dit is een voorbeeld van de

uitvoering van het informatiebeveiligingsbeleid.

Personeel

Iedereen die bij Isala komt werken, ondertekent een

formulier waarop wordt vastgelegd dat hij of zij vertrouwelijk

met bedrijfsinformatie zal omgaan. Er is het

boekje met vuistregels en uitleg over informatieveiligheid,

om het bewustzijn van medewerkers te ver groten.

Dit boekje krijgt iedereen, ook degene die extern werkt

of tijdelijk werkzaamheden verricht voor de Isala.

Ruimte en apparatuur

Ligt informatie zo voor het grijpen op tafel, of is alles

goed opgeborgen? En zijn bedrijfskritische ruimten

waar iemand niet zomaar mag komen, goed afgesloten

voor onbevoegden?

Continuïteit

Het ziekenhuis heeft de verantwoordelijkheid dat de

zorg gewaarborgd blijft, ook al zijn de elektronische

systemen buiten werking. Stel, het systeem met het

elektronisch patiëntendossier werkt niet meer, wat doet

u dan? Bent u op de hoogte van de noodplannen op uw

afdeling om het proces te continueren? Kent u uw rol

hierin? Informatieveiligheid zorgt ook voor stabiliteit.

Authenticatie/identificatie

Iedereen die als leverancier van bepaalde diensten het

ziekenhuis in komt, moet zich laten registreren bij

personeelszaken. Hij of zij moet zich ook kunnen identi-

74 NURSE ACADEMY nummer 1 voorjaar 2013

Vuistregel 2 Wees zorgvuldig bij het gebruik van ICT-middelen.

ficeren. Is diegene echt die hij zegt dat hij is? Op basis

van de te verwachten werkzaamheden wordt vervolgens

bepaald tot welke ruimten, systemen en bedrijfsinformatie

iemand toegang krijgt.

OP UW AFDELING

Als verpleegkundige bent u gefocust op uw dagelijkse

zorgtaken. Neem toch eens een moment om samen met

een collega kritisch rond te kijken op uw afdeling. Hoe

goed is de (informatie)beveiliging op uw afdeling? Door

de komst van het digitale verpleegkundig dossier

(Apenio) zal het wellicht minder vaak voorkomen,

maar is de informatie van uw patiënt goed opgeborgen?

Binnen handbereik van u én onbevoegden, of is alle

privacygevoelige informatie aan het zicht onttrokken en

veilig opgeborgen?

Bijna overal werkt u als verpleegkundige met de

cow (computer op wielen). Zorg ervoor dat u de

programma’s waarin u werkt afsluit en dat u bij

het verlaten ook uitlogt. Ook al is het beeld op

zwart gesprongen. Uit audits blijkt dat wanneer het

toetsenbord of de mousepad even wordt aangeraakt

alle gegevens weer in beeld springen. Op deze wijze

kan iedereen, onder de naam van een ander, het

patiëntendossier raadplegen, terwijl die persoon

daarvoor geen toestemming en/of autorisatie heeft.

Veilig omgaan met informatie en bedrijfseigendommen

is een verantwoordelijkheid van ons allemaal.

Wij moeten ons bewust zijn van de risico’s

en daar waar nodig onze verantwoordelijkheid

en maatregelen nemen. Als u iets ziet waarvan u

denkt dat het niet klopt of dat het anders moet,

praat er dan over met uw leidinggevenden en ook

met uw collega’s.


Aanspreken

Spreekt u iedereen aan die op de afdeling is maar daar

niet hoort te zijn met de vraag ‘Kan ik u misschien

helpen?’ En als u iemand aanspreekt, vraagt u dan

door? Spreek ook gerust mensen aan die een Isalapasje

dragen en dus collega zijn. Behalve een vorm van

beveiliging, is het ook klantvriendelijk en het voorkomt

dat onbevoegden toegang krijgen tot bedrijfskritische

ruimten.

Sleutel

Weet u wie op uw afdeling een sleutel heeft en waarvoor?

Schoonmakers hebben immers vaak lopers.

Natuurlijk is het veel gemakkelijker om de sleutel in

het slot van de schoonmaakkast te laten zitten. Omdat

het een loper is, heeft een eventuele indringer met deze

sleutel toegang tot alle ruimten op de afdeling.

Medicijnkasten zijn beveiligd met een elektronische

code. Op zichzelf prima, maar hoe lang zit dezelfde

code er al op? En wordt het, mogelijk vanwege eerdere

incidenten, niet eens tijd om deze te wijzigen?

Fysieke beveiliging

Een ander aspect van beveiliging is fysieke beveiliging,

bijvoorbeeld het afsluiten van ruimten waar vreemden

niets te zoeken hebben. Wordt er met een pasjessysteem

gewerkt, let er dan op dat niemand met u mee naar binnen

loopt.

Terreurdreiging

Eigenlijk al sinds 9/11 in 2001 is er ook in Nederland

sprake van een verhoogde terreurdreiging. Er is zelfs een

aparte post op het ministerie ingericht. In ziekenhuizen

is vaak kritisch materiaal aanwezig, denk aan nucleaire

stoffen of bacteriën/virussen uit het laboratorium, ook

wel cbrn(-security) genoemd. De afkorting cbrn staat

voor chemische, biologische of radiologische/nucleaire

stoffen.

Beveiligers lopen dagelijks rondes, waarbij meerdere

zaken ten aanzien van de fysieke (toegangs)beveiliging

worden gecheckt. Specifieke aandacht gaat hierbij uit

naar de bedrijfskritische (werk)ruimten als een ict

datacenter of toegang tot een nucleaire afdeling.

LEREN VAN INCIDENTEN

Als er incidenten zijn, is het belangrijk om ervan te leren

en maatregelen te nemen, zodat het in de toekomst niet

weer kan gebeuren of kan worden voorkomen.

Wat zou u doen in de volgende situaties?

Een arts neemt zijn nichtje mee met het visitelopen. Zij

is wel student, maar niet een student geneeskunde. Ze

twijfelt of zij geneeskunde wil studeren en daarom mag

Vuistregel 3 Wees continu alert.

zij een keer met haar oom mee om te zien of het wat

voor haar is.

Dat mag niet, want de informatie van de patiënt (privacy

en vertrouwelijkheid) wordt op deze manier niet

beschermd. Maak daar een vim-melding (veilig incident

melden) van. Ook in situaties dat de informatieveiligheid

gevaar loopt, mag altijd een vim-melding worden

gemaakt. Het digitale Isala vim-formulier is hierop

aangepast.

Iemand stapt op u af en zegt dat hij de brandblussers op

de afdeling komt controleren. Laat u hem de afdeling

op?

Doe dat in geen geval. Vraag om identificatie, en weet

dat een echte controleur nooit alleen, maar altijd met

begeleiding (vanuit Isala) komt. Bel dus beveiliging.

Vraag altijd door als er een onbekende op uw afdeling is

en vraag om legitimatie.

Vuistregel 4 Voorkom ongeautoriseerde toegang tot uw

werkplek.

NURSE ACADEMY nummer 1 voorjaar 2013 75


SPECIAAL VOOR

BEWUST WORDEN

Isala is continu bezig medewerkers bewust te maken

van informatieveiligheid en fysieke beveiliging. Met

campagnes, banners, polls op internet en straks ook met

eLearning én een cursusonderdeel in de nieuwbouwtrainingen

voorafgaand aan de verhuizing.

In deze cursus gaan we in op mogelijke casuïstiek en

krijgt u antwoord op vragen als:

– Mogen door patiënten, collega’s en familie foto’s

gemaakt worden?

– In welke gevallen weigert u iemand (bijvoorbeeld

onderhoudsmonteurs) de toegang tot bepaalde

ruimten?

– Hoe ziet u of iemand geautoriseerd is om een

bepaalde ruimte te betreden?

– Welke stoffen en (bedrijfskritische) informatie zijn

voor terroristen en andere kwaadwillenden mogelijk

interessant?

– Welke aspecten van informatie- en fysieke veiligheid

zijn van belang tijdens de uitvoering van de patiëntenzorg?

NIEUWBOUW

Met de overgang naar de nieuwbouw verandert er veel

wat betreft informatieveiligheid. Zo zullen er geen losse

medische dossiers meer zijn, omdat iedere verpleegafdeling

dan is overgestapt op Apenio. Bovendien zijn de

archieven ingescand en niet meer fysiek in het gebouw

aanwezig.

Voorafgaand aan de overgang naar de nieuwbouw wordt

ook het autorisatiebeheer in de Isala opnieuw ingericht.

Op functieniveau wordt bepaald welke autorisaties

nodig zijn en vervolgens welke daarbij passende toegang

wordt verleend in het nieuwe gebouw. Dat wordt

georganiseerd door middel van uw personeelspas.

Let er straks ook in de nieuwbouw op dat mensen

geen misbruik maken van úw pas en dat u deze altijd

zichtbaar draagt. Laat dus niet iemand samen met u de

afdeling op lopen als u niet weet wie het is.

Voorafgaand aan de verhuizing, zijn veel afdelingen al

aan het opruimen. Let er bij deze schoonmaakacties op

dat u niets achterlaat waar privacygevoelige informatie

op staat. Door de komst van magnetische sloten, uw

pasje is de sleutel, wordt het sleutelbeheer in elk geval

een stuk eenvoudiger.

TOT SLOT

Social media spelen een steeds belangrijkere rol in ons

leven. Ook hier is informatieveiligheid van belang.

Plaats bijvoorbeeld nooit patiënteninformatie op twit-

76 NURSE ACADEMY nummer 1 voorjaar 2013

Vuistregel 5 Gebruik internet, social media, e-mail en telefoon

met uw volle verstand.

ter. Waarschijnlijk zal niemand dat snel bewust doen,

maar stel u twittert ‘vandaag die dikke blonde mevrouw

op A4 weer geholpen’. Dat is direct herleidbaar en mag

dus niet. De afdeling Concerncommunicatie beschikt

over een instrument om social media te monitoren op

meldingen die over Isala gaan. Als er meldingen aangetroffen

worden die niet wenselijk zijn, kunnen hierop

diverse acties worden ondernomen Als een medewerker

van Isala bijvoorbeeld twittert over patiënten, dan

gaat de leidinggevende met diegene in gesprek om dit

incident en de geldende gedragsrichtlijnen te bespreken.

Wees er altijd voorzichtig mee, want het kan u zelfs uw

baan kosten. Zorg daarom ook voor een goede (persoonlijke)

beveiliging van al uw social media accounts

en wees u bewust van wat u twittert of op facebook zet.

U bent een vertegenwoordiger van het ziekenhuis.

De meest belangrijke zaken ten aanzien van de

informatieveiligheid en fysieke beveiliging zijn

samengevat in vijf vuistregels, die u nog eens rustig kunt

nalezen in de brochure ‘Veilig omgaan met informatie

en bedrijfseigendommen, Ook uw zorg!’ Deze en andere

relevante informatie kunt u vinden op het intranet.

LITERATUUR

Brochure Veilig omgaan met informatie en bedrijfseigendommen, Isala

klinieken.

Intranet werkinformatie. Introductie informatieveiligheid binnen de Isala,

Isala klinieken.

More magazines by this user
Similar magazines