Hoe kunnen wij in de specialistische zorg voldoen aan zowel de GDPR-wetgeving als de NEN7510-normering? Op welke manier optimaliseren we interne processen en komen we tot een werkbaar informatiebeveiligingsbeleid? Met deze vraagstukken kwam LIMOR terecht bij Arcus IT. We spraken met Reinout Dijkstra – IT beheerder bij LIMOR – en Niels Wagenaar – security consultant bij Arcus IT – over de werkwijze, samenwerking én het resultaat hiervan.

LIMOR

LIMOR is de Landelijke Instelling voor Maatschappelijke Ondersteuning en Rehabilitatie. De organisatie zet zich in voor mensen die, om welke reden dan ook, diep in de problemen zijn geraakt en nergens anders terechtkunnen. Denk aan dak- en thuislozen, verslaafden, ex-gedetineerden en mensen met psychische problemen of schulden. Arcus IT is al drie jaar ICT-partner van LIMOR. Reinout Dijkstra: “Arcus IT beheert en vernieuwt onze servers én fungeert als sparringpartner en adviseur op het gebied van security.”

Het belang van privacy

Voor LIMOR is gegevensbescherming van groot belang. Niels Wagenaar: “De cliënten van LIMOR moeten erop kunnen vertrouwen dat er adequaat met hun gegevens wordt omgegaan. Daarnaast moet LIMOR zich conformeren aan veel verschillende wet- en regelgeving. Wij adviseren en ondersteunen ze hierin.”

Conformeren aan NEN7510

De verwachting is dat LIMOR, evenals andere zorginstellingen, in de toekomst verplicht wordt om zich te conformeren aan de NEN7510, een certificering voor medische informatica – informatiebeveiliging in de zorg. Dit is een Nederlandse norm die maatregelen beschrijft welke zorginstellingen moeten nemen om op adequate wijze met patiëntgegevens om te gaan. “We willen hier alvast goed op voorbereid zijn. Daarvoor hebben we de specialistische kennis van Arcus IT ingeschakeld. Niels Wagenaar heeft ons geadviseerd over procesoptimalisatie en geholpen bij het opstellen van de juiste documentatie, ” legt Reinout uit.

Is het voldoen aan de richtlijnen van de GDPR niet voldoende dan? Niels Wagenaar: “Bij de GDPR wordt een sterke focus gelegd op de techniek, terwijl juist het informatiebeveiligingsbeleid bij zorgorganisaties heel belangrijk is. Zo blijkt bijvoorbeeld dat maar liefst 80% van de datalekken het gevolg is van het onkundig handelen van medewerkers. Technische beveiliging is dan niet genoeg. Met de NEN7510-certificering laat LIMOR zien dat ze ook op het gebied van beleid aan de hoogste eisen voldoet.”

Puntjes op de i

De beveiliging van LIMOR bleek al grotendeels op orde te zijn, het ging echt om de puntjes op de i. Reinout: “We hadden al documentatie voorbereid, maar wilden de diverse beleidsdocumenten graag laten reviewen door Arcus IT. Niels heeft hierop aanvullingen gedaan en ons voorzien van een aantal handige tips. Samen hebben we onderzocht hoe we onze organisatie kunnen trainen om ervoor te zorgen dat er altijd zorgvuldig wordt omgegaan met data.”

Arcus IT assisteert de samengestelde project groep van LIMOR met het reviewen en optimaliseren van het informatiebeveiligingsbeleid. “Zij weten immers als geen ander hoe bepaalde processen organisatorisch toegepast kunnen worden, zodat de beveiligingsmaatregelen de werkbaarheid niet in de weg zitten. Deze balans is heel belangrijk. Bij LIMOR was het veelal een kwestie van het formeel beschrijven van het bestaande informele informatiebeveiligingsbeleid,” aldus Niels.

Het resultaat

De gehele samenwerking werpt zijn vruchten af voor LIMOR. “We hebben nu inzichtelijk waar mogelijke risico’s zitten in de werkwijze van medewerkers en welke vervolgstappen nodig zijn. Middels een periodieke risicoanalyse laten we Arcus IT ook andere risico’s beoordelen en oplossen. Met het onderhoud aan onze servers heeft Arcus IT een hogere continuïteit gerealiseerd. Het is fijn om een partner te hebben die ons voorziet van passend advies,” vertelt Reinout.
Prettige samenwerking

De samenwerking bevalt LIMOR dan ook erg goed. “We zijn zeer tevreden over onze samenwerking met Arcus IT. Onze voormalige leverancier was slecht bereikbaar en keek nauwelijks nog naar ons om. Dat is bij Arcus IT wel anders. Het is een professionele IT-dienstverlener met veel verstand van zaken en een vriendelijke benadering. Ze doen wat ze beloven en dat werkt zeer prettig.”