Ziekenhuis moet voldoen aan de normDe Inspectie voor de Gezondheidszorg (IGZ) heeft alle ziekenhuizen de verplichting opgelegd om in 2010 een externe audit te laten uitvoeren inzake de norm voor informatiebeveiliging (NEN7510). Hoofdstuk 11 van deze norm beschrijft de processen en controleaspecten rondom het inrichten van passende toegangsbeveiliging op gebouwen, ruimtes en (ict-)systemen en toepassingen. Wat wordt verstaan onder toegangsbeveiliging? De NEN7510-normering zegt over de toegangsbeveiliging van ict-systemen het volgende: 'Toegangsbeveiliging heeft tot doel dat het raadplegen, veranderen, toevoegen en wijzigen van gegevens alleen gecontroleerd kan gebeuren.' In de meest eenvoudige vorm teruggebracht omvat toegangsbeveiliging de elementen identificatie, authenticatie, autorisatie en audit. De activiteit van de NEN7510-definitie ‘de juiste rechten toe te wijzen voor het gebruik van ict-objecten' is vaak de reden dat een identificatie en authenticatie management-initiatief (I&AM) wordt gestart. De implementatie van een integrale I&AM-strategie is een behoorlijke uitdaging. Het vereist middelen, (herziening van) processen en is afdelingsoverschrijdend. Tijd en budget is het moderne ziekenhuis echter lang niet altijd gegeven, om dit complexe geheel ineens aan te pakken. Quick win Met een systeem voor authenticatiemanagement, dat de controle op het ontsluiten van gegevens regelt, kan een quick win worden gerealiseerd. Voor het gemiddelde ziekenhuis zijn de belangrijkste drijfveren: 1. efficiënt kwalitatief hoogwaardige zorg leveren;
2. de patiëntveiligheid waarborgen, inclusief privacygevoelige gegevens conform wet -en regelgeving bewaken;
3. de reputatie van het ziekenhuis beschermen. De NEN7510-norm die ingaat op punt 2 en 3 legt een zware druk op de kerntaak van een ziekenhuis, omdat het gebruik van groepsaccounts verboden is en moeilijke wachtwoorden per applicatie verplicht zijn, evenals periodieke wijziging hiervan. In de praktijk ontstaat hierdoor een onwerkbare situatie wanneer een ziekenhuis ‘op de oude voet' doorgaat. In een gemiddeld ziekenhuis draaien tussen de tien en twintig applicaties binnen én buiten een Windows-omgeving. De quick win die hier te halen is, bestaat in dit geval uit een enterprise single sign-on (ESSO)-voorziening in combinatie met één of twee pasjessystemen voor sterke authenticatie. Met de pas en bijbehorende pincode logt de zorgverlener/gebruiker één keer in, waarna alle toepassingen automatisch worden ontsloten. Door het pasje in te zetten op verschillende vlakken, neemt de bereidheid van de bezitter af om het te delen met collega's en wordt de beveiligingswaarde ervan vergroot. Denk hierbij aan zaken als gebouwen en ruimtes openen, inloggen op het netwerk, enterprise single sign-on en betalen in het ziekenhuisrestaurant. ESSO geeft de gebruiker op ict-vlak iets terug, namelijk meer gebruiksgemak (minder wachtwoorden en inloggen) en hogere productiviteit (meer patiënten kunnen helpen in dezelfde tijd). Aan de technische kant is er ook een aantal voorwaarden, waaraan voldaan moet worden om een implementatie succesvol te laten verlopen. De belangrijkste hiervan zijn: - een brede ondersteuning voor authenticatiemiddelen;
- zelfhulp service voor gebruikers;
- gefaseerde invoering moet mogelijk zijn, geen ‘big bang';
- zo min mogelijk wijzigingen aan bestaande systemen om vendor lock-in te voorkomen. Concluderend moeten zorginstellingen die momenteel nog niet NEN7510-compliant zijn, het gros durf ik te stellen, zoeken naar een deeloplossing, die gebruikers extra voordelen biedt en tegelijk de informatiebeveiliging naar een hoger plan tilt. De aanschaf van nieuwe ‘non intrusive'-technologie vormt hierbij een cruciale rol om binnen de tijd en binnen budget een grote slag te maken. Bron : <http://www.computable.nl/artikel/ict_topics/security/3373895/1276896/ziekenhuis-moet-voldoen-aan-de-norm.html>
|
