Safety en security begint bij het inrichten van de bedrijfsprocessen. Dat zegt Jan Willem Schoemaker, Chief Information Security Officer van het Erasmus MC. Maar hoe doe je dat en bovenal, welke risico’s dek je af?
Leestijd: +/- 7 minuten
In ziekenhuizen hebben we te maken met zowel safety als security. Safety in een ziekenhuis richt zich vooral op de veiligheid, legt Jan Willem Schoemaker uit. “Oftewel, op het waarborgen van de veiligheid van de doelgroepen die in het Erasmus MC aanwezig zijn: patiënten, studenten, medewerkers, bezoekers, leveranciers. Security is de beveiliging, waarbij we ons richten op risico’s van gebeurtenissen die schade kunnen brengen aan het Erasmus MC. Met een risicoanalyse in de hand bepalen we het gewenste niveau van beveiliging. Daarbij hanteren we een BIV-klasse: beschikbaarheid, integriteit, vertrouwelijkheid. Dé basis bij het inrichten van bedrijfsprocessen.”
>> Lees ook Bavaria kiest voor gastvrije toegangscontrole
Erasmus MC
Een voorbeeld van een bedrijfsproces in het Erasmus MC is die van een operatie: voorbereiden, uitvoeren, afronden, nazorg doorlopend naar intensive care. Schoemaker: “Tijdens het proces van een operatie is beschikbaarheid erg belangrijk. We starten nooit een operatie voordat we een dubbele stroomvoorziening hebben. Zonder noodvoorziening geen operatie. Is de stroom uitgevallen en werken we op de noodstroom, dan ronden we de lopende operaties af en wachten met volgende operaties op een dubbele stroomvoorziening.”
Vertrouwelijkheid
Hebben we het over het aspect ‘vertrouwelijkheid’, dan denken we bijvoorbeeld aan het inrichten van het proces rondom gegevens van patiënten bij Psychiatrie en Klinische Genetica, waar soms erfelijkheidsonderzoek wordt gedaan. Schoemaker: “We hebben dan te maken met gegevens van de patiënt én van familie. Daar dienen we extra vertrouwelijk mee om te gaan. Dit proces richten we dan ook in met een heel scala aan beveiligingsmaatregelen. Hoe krijg je toegang tot het informatiesysteem, waarin alle gegevens zitten? Wie mag bij welke gegevens? Wie heeft wat wanneer gedaan? Naast de beveiliging van het informatiesysteem hanteren we procedures en gedragscodes. Op welke wijze maken we uitslagen van zo’n onderzoek bekend?”
Integriteit
Juistheid en volledigheid van gegevens heeft alles te maken met het aspect integriteit. Schoemaker vervolgt: “Stel we starten een operatie. Dan dienen we goed te weten voor welke operatie de patiënt komt. Is een beenamputatie noodzakelijk, dan moet bekend zijn om welk been het gaat. Bij onder andere dit voorbeeld hanteren we een procedure, die we van andere sectoren hebben overgenomen: de TOP-procedure.” TOP staat voor ‘Time Out Procedure’. Patiënten worden met een vragenlijst met korte open vragen een paar keer gecontroleerd voor de operatie. Gevraagd wordt naar naam, geboortedatum en operatie. En indien van toepassing aan welke kant de operatie plaats vindt en of de plek gemarkeerd is. Ook wordt gevraagd of hij allergisch is voor iets en welke medicijnen hij gebruikt. Hierbij zijn de chirurg, de anesthesist, de anesthesiemedewerker en de operatieassistent allemaal verplicht aanwezig. “Vergelijk het met de procedure in een vliegtuig”, zegt Schoemaker. “Voordat er gevlogen wordt, moeten de piloten eerst een half uur lang allerlei checklisten afwerken om te zien of de instrumenten werken. Ze gaan immers met een paar honderd mensen de lucht in.”
Bedrijfsprocessen
Op de vraag hoe je een optimale safety en security van bedrijfsprocessen bereikt, antwoordt Schoemaker: “Het is een kwestie van een lange adem. Een structurele aanpak is belangrijk. Omdat het Erasmus MC is gecertificeerd volgens de NEN 7510, moeten wij een managementsysteem voeren; Plan Do Check Act, oftewel een krachtig managementtool voor procesbesturing en continue verbetering. Zomaar ‘lukraak’ beginnen en je afvragen wat te doen, dat werkt niet. Daarnaast werken we veel samen met anderen; de andere UMC’s in Nederland, regioziekenhuizen, de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de overheid in de vorm van het Nationaal Cyber Security Centrum (NCSC). Door van elkaar te leren en de krachten te bundelen, proberen we een optimale beveiliging te creëren.”
Mens
“Het lastige met safety en security is, dat het toch altijd mensenwerk blijft”, vervolgt Jan Willem Schoemaker. “Oftewel creëren en blijven creëren van awareness met meer dan 10.000 medewerkers. Wat is veroorloofd, wat niet, wat is veilig werken? Mensen dienen zich aan de regels te houden. Onder tijdsdruk is het soms verleidelijk om ‘het net even anders te doen’. In de zorg ligt de nadruk op ‘behulpzaam en gastvrij zijn’. Beveiliging echter, vraagt soms net weer een andere mindset. Kortom, het continue wijzen op safety en security en het geven van trainingen aan medewerkers, is van groot belang. We kunnen nog zoveel middelen inzetten en maatregelen nemen, maar uiteindelijk moeten de mensen er mee kunnen en willen werken.”
Basis
Hoe we safety en security ook bekijken, het begint bij de basis, het inrichten van de bedrijfsprocessen: beschikbaarheid, integriteit en vertrouwelijkheid. Een classificatie ten behoeve van het inzetten van bedrijfsprocessen en informatiesysteem. “Welke activiteiten vinden plaats, wat is invoer, waar zijn we van afhankelijk, wat doen we aan activiteiten, wat spreken we aan de uitvoerkant met klanten af, wat hebben we nodig om dit te bereiken, zijn er risico’s? Daar richten we onze maatregelen en middelen op in”, sluit Schoemaker af.
Dit artikel is gepubliceerd in Security Management 09/ 2015.