Gratis kickstart IB&P voor organisaties in de langdurige zorg
Of je organisatie nu al bezig is met de NEN 7510 of hierop nog helemaal geen actie heeft ondernomen. De gratis kickstart helpt met het geven van inzicht in de risico’s in je organisatie op het vlak van informatiebeveiliging en privacy (kortweg IB&P) en het zetten van de juiste stappen om deze risico’s te verkleinen. Het is bovendien een laagdrempelige kennismaking met de werkwijze die de NIS2 en de NEN 7510, de NEN 7512 en de NEN 7513 van jouw organisatie vragen.
Informatiebeveiliging en privacy zijn altijd belangrijke thema’s voor zorgorganisaties. Bij het implementeren van de eOverdracht is het goed hieraan extra aandacht te besteden en de informatieveiligheidsprofessional (CISO of FG) van je organisatie te betrekken. En ook tijdens de voorbereiding op de eOverdracht is die extra aandacht al aan te raden. Speciaal hiervoor ontwikkelde Bureau eOverdracht de Kickstart IB&P. Een aanpak in vier praktijkgerichte modules die organisaties dichter bij naleving van de NEN 7510 brengt en voorbereidt op de eOverdracht. Afhankelijk van waar je organisatie nu staat en op dit moment nodig heeft, kun je kiezen voor één van onderstaande modules of ze alle vier doorlopen. Na het volgen van de modules ben je in staat om zelfstandig verder te gaan met de acties voor de NEN 7510.
Kickstart IB&P modules
Module 1 Awareness-sessie
Duur: 1 uur
Wat: Natuurlijk wil je dat de volledige en juiste informatie van de patiënt goed wordt verwerkt en beschikbaar is op het moment dat zorgmedewerkers het nodig hebben om goede zorg te verlenen. Maar doe jij het eigenlijk veilig? Welke eerste stappen kun je nu zetten om de gegevensuitwisseling betrouwbaar te maken in jouw organisatie en een goede basis te leggen voor de eOverdracht met andere organisaties?
Wie: beleidsadviseur, CISO en/of FG
Resultaat: stappenplan inclusief voorstel ondersteuning
Module 2 Risico-analyseworkshop
Duur: 3 uur
Wat: Tijdens de workshop op locatie bij de organisatie brengen we samen de risico’s in kaart in relatie tot de eOverdracht. Zo wordt duidelijk waar sprake is van bedreigingen voor de organisatie.
Wie: FG, CISO, beleidsadviseur, zorgprofessional en proceseigenaren. Een bestuurder neemt een gedeelte van de sessie deel.
Resultaat: Een uitgewerkte risicoanalyse voor de eOverdracht
Voorbeeld: Geïdentificeerd risico: uitlekken van gegevens. Oorzaak: versturen van gevoelige informatie naar onjuiste persoon. Kans: waarschijnlijk. Impact: ernstig. => Risiconiveau: hoog. Risicostrategie: beperken (= maatregelen nemen).
Module 3 Maatregelenworkshop
Duur: 3 uur en enkele gesprekken in de organisatie
Wat: Tijdens deze workshop op locatie bij de organisatie maken we een risicobehandelplan met de benodigde maatregelen en brengen we een prioritering aan. Zo weet de organisatie welke risico's als eerste opgepakt moeten worden en ontstaat meer grip op de implementatie van NEN7510. We ondersteunen bij het inventariseren van belemmerende en bevorderende factoren voor implementatie van de gekozen maatregelen.
Wie: FG, CISO, proces-/risico-eigenaren en zorgprofessionals.
Resultaat: Een risicobehandelplan voor de eOverdracht
Voorbeeld: Eén van de gekozen maatregelen bij risico uitlekken van gegevens door versturen van gevoelige informatie naar onjuiste persoon: NEN 7510-2 14.1.1: Analyse en specificatie van informatiebeveiligingseisen. Uitwerking: aanpassing van de software. Toevoeging pop-upscherm met de gegevens van de geadresseerde voordat gegevens worden verzonden met eOverdracht. Medewerker controleert of de juiste ontvanger is geselecteerd en accordeert dit door op “OK” te klikken.
Module 4 Effectiviteitstoets
Duur: tijdsduur afhankelijk van aantal maatregelen
Wat: We bepalen gezamenlijk hoe de organisatie de effectiviteit van de maatregelen kan monitoren. Voor zover maatregelen al geïmplementeerd zijn ondersteunen we bij de uitvoering hiervan. Dit kan bijvoorbeeld door een collegiale review, eventueel in regioverband. Zo krijgt de organisatie scherp of de getroffen maatregelen effectief zijn en het risico daadwerkelijk kleiner is geworden.
Wie: FG, CISO, risico-eigenaren en wanneer aanwezig in de organisatie ook de kwaliteitsfunctionaris en/of interne auditor.
Resultaat: Een plan voor evaluatie van de prestaties (monitoren, meten, interne audit), waar mogelijk met resultaten van uitgevoerde evaluaties
Voorbeeld: Test van geprogrammeerde maatregel: softwaretest op de functionaliteit. Is die aanwezig, dan zal deze maatregel het altijd doen. Test effectiviteit: voert de medewerker controle daadwerkelijk uit m.b.v. de pop-up (of wordt deze direct weggeklikt). Periodieke deelwaarneming, op basis van interview of observatie vaststellen hoe medewerkers omgaan met de pop-up. Aanvullend analyse van incident- en datalekmeldingen op meldingen dat informatie naar de onjuiste persoon is verzonden.
Meer weten?
Heb je interesse in de Kickstart IB&P? Stuur dan een e-mail via onderstaande button. Bureau eOverdracht neemt dan contact op voor een kennismaking.