Kwaliteits-, risico en veiligheidsmanagement

Informatieveiligheid

In de jarenlange ervaring als lead auditor is het belang van informatieveiligheid een belangrijk onderwerp van audits geworden en dit zal in de komende jaren nog groter worden. Informatieveiligheid gebaseerd op risicomanagement is een niet meer weg te denken fenomeen in de audit planningen.

De informatie die dagelijks wordt verwerkt, zowel op papier als digitaal, is van wezenlijk belang voor de privacy en veiligheid van gegevens en de continuïteit van de organisatie. Informatiebeveiliging is randvoorwaardelijk voor de bedrijfsvoering geworden. Dit houdt in dat hiervoor beleid moet worden gemaakt en dat aan dit beleid altijd voldaan moet worden.

De kern van informatieveiligheid is:

  • Integriteit, het kwaliteitsbegrip dat juistheid, volledigheid en tijdigheid van de informatiestromen moet waarborgen. De informatiesystemen moeten juiste en volledige informatie opslaan en verwerken;
  • Vertrouwelijkheid, is het kwaliteitsbegrip waarbinnen privacybescherming, maar ook de exclusiviteit van de informatie beheerst kan worden. Het waarborgt dat alleen daarvoor geautoriseerde personen toegang kunnen krijgen en dat de informatie niet onbedoeld naar buiten kan lekken.
  • Beschikbaarheid, bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst / informatie op de afgesproken momenten;

Informatiebeveiliging kan dan als volgt gedefinieerd worden:
Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van integriteit, vertrouwelijkheid en beschikbaarheid van informatie en informatiesystemen.

Betrouwbare en beveiligde informatie is dus letterlijk van levensbelang in de zorg en voor de patiënt. Uit gesprekken met patiënten / vertegenwoordigers van patiënten tijdens audits veiligheid worden kwaliteit en veiligheid van zorg als volgt samengevat:

Wij geven ons vertrouwen aan de zorginstelling en professionals, zij moeten ervoor zorgen dat zij het vertrouwen kunnen waarmaken.

Indien de organisatie volgens de kernwaarden van informatieveiligheid daaraan kan voldoen, dan schept dat vertrouwen. Kortom alle middelen in de zorg moeten gericht zijn op veilige zorg en borging van veilige zorg.

Men kan het ook anders stellen: Informatieveiligheid is een beheerste toegang tot informatie die getoetst kan worden op integriteit, vertrouwelijkheid en beschikbaarheid. Helaas komen in de media regelmatig incidenten naar voren die melding geven dat informatieveiligheid niet een vanzelfsprekende zaak is en de misstanden veroorzaken daardoor ook maatschappelijke onrust.

Gidano BV heeft op basis van de jarenlange auditor ervaring informatieveiligheid opgenomen in haar bedrijfsactiviteiten.

Niet alleen is informatieveiligheid van belang voor patiëntveiligheid, maar ook voor de bedrijfsactiviteiten. De rol van informatie is in enkele jaren tijd compleet veranderd. Over enkele jaren is de toename van ICT exponentieel. ICT zit nu al in vele onderdelen verweven, bijv. in auto’s, medische apparatuur, huishoudelijke apparaten, telefoons, digitale opslag van bedrijfsgegevens, digitale archivering, etc. Het is niet alleen makkelijk, maar ook zijn er risico’s aan verbonden.

In risico analyses komen kritische risico’s naar voren zoals: stroomstoringen die het noodzakelijk maken dat de organisatie een noodaggregaat nodig heeft (bijv medische apparatuur in ziekenhuizen en meldkamers bij veiligheidsregio’s). Daarna moeten de maatregelen beoordeeld worden op o.a. hun betrouwbaarheid, geschiktheid en doeltreffendheid. Kortom er is naast ICT ook een Informatie Veiligheid Management Systeem nodig. Hierin spreekt de directie zijn/ haar betrokkenheid, monitoringsprocessen en verbeterprocessen in uit (PDCA).

Gidano heeft naast de jarenlange auditing ervaring ook veel kennis opgedaan in de kwaliteitsmanagementprocessen. Daarbij gaat het er niet om of een bedrijf of instelling mooie handboeken heeft die vol geschreven staan met procedures, maar wij gaan na waar liggen de kritische processen, hoe beheerst de organisatie deze en welke maatregelen heeft de organisatie getroffen om de bedreigingen die leiden tot de kritische processen te minimaliseren. Als een organisatie dit in beeld heeft dan audit Gidano niet meer welke bedreigingen kunnen leiden tot de kritische processen, maar zij audit met gerichte auditvragen de maatregelen die genomen zijn. Hiervoor heeft Gidano in CGE een partner gevonden die een zeer bruikbare analyse methode heeft ontwikkelt, nl de Bowtie methode. Met deze methode en de opgestelde auditvragenlijsten is het mogelijk om met de organisatie snel en duidelijk de beheersing van de maatregelen vast te stellen. Dus niet de handboeken met opgestelde procedures worden meer geaudit, maar de maatregelen die getroffen zijn.

Hieronder een voorbeeld van de opgestelde audit vragenlijst met de Bowtie methode.

voorbeeld audit vragenlijst met de Bowtie methode

Contact

(postbus bestaat niet meer)
Lijster 70 1715 ZH Spanbroek

T: 0226-357 375
M: 06-518 50 791
E: [email protected]

Disclaimer

U kunt deze website bezoeken zonder ons mee te delen wie u bent of enige informatie over uzelf te verschaffen. Er zijn echter situaties waarbij wij informatie van u nodig hebben om bijv. met u te corresponderen. Lees onze disclaimer en cookiebeleid voor meer informatie