Centric connect.engage.succeed

Op weg naar een Europese standaard voor beveiliging in de zorg

Procedures voor digitale informatiebeveiliging zijn binnen veel organisaties wel aanwezig. Maar een welomlijnde standaard voor fysieke beveiliging in de zorg, die ontbrak nog. Het Europese Standaardisatie-instituut CEN werkt aan een Europese standaard voor een beveiligingsmanagementsysteem voor zorginstellingen. Jos Maas, consultant Security & Continuity Services bij Centric en lid van de Nederlandse werkgroep binnen CEN, pleit voor een bredere kijk op beveiliging en meer bewustzijn bij het management.

Fysieke beveiliging in de zorg? "Laat me een waargebeurd voorbeeld geven van wat er kan gebeuren als richtlijnen ontbreken: het slachtoffer van een schietpartij tijdens een groot sportevenement belandt op de Spoed Eisende Hulp (SEH) naast de persoon die hem heeft neergeschoten. Het blijkt te gaan om een afrekening in het criminele circuit, waarbij ook het slachtoffer betrokken is. De verpleging vreest voor een wraakactie omdat familieleden van het overleden slachtoffer onderweg zijn naar de SEH. De opgetrommelde politie meldt dat de situatie uit de hand dreigt te lopen en er wordt geëscaleerd naar het hoger management.

Maar meer acties dan enkel geïnformeerd blijven worden onderneemt het ziekenhuismanagement niet. Zo zie je dat het ontbreken van heldere veiligheidsprocedures kan leiden tot bedreigende situaties die een gevaar vormen voor hulverleners en patiënten, maar ook de bedrijfsvoering van een zorginstelling.”

Met een standaard voor beveiliging was het zover niet gekomen?
“Die had gezorgd voor meer overzicht en heldere acties. De standaard geeft straks richtlijnen voor het opzetten van een beveiligingsmanagementsysteem, specifiek voor zorginstellingen. Veel organisaties denken wel na over beveiligingsmaatregelen, maar vaak doet men maar wat. Pas als er een medewerker van de eerste hulp in elkaar geslagen volgt er actie. Dan treedt men reactief op, omdat er nog geen uniforme en bewezen effectieve werkwijze voor fysieke beveiliging is. Daar brengen wij met deze standaard verandering in.”

Voor wie is de standaard bedoeld?
“De standaard is geschikt voor alle zorginstellingen die hun beveiliging willen verbeteren en daarbij ook de brug willen slaan tussen fysieke beveiliging, informatiebeveiliging en andere veiligheidssystemen. Ze is bedoeld voor functionarissen die binnen een zorginstelling verantwoordelijk zijn voor een of meer veiligheidsgebieden. Denk aan security managers, veiligheidskundigen, BHV-coördinator en informatiebeveiligers.”

Digitale informatie stelt andere eisen aan de beveiliging dan een papieren archief…
“Informatie is binnen organisaties meestal in diverse vormen aanwezig. Zo maken we onderscheid tussen de digitale informatie, analoge informatie en de kennis in de hoofden van de medewerkers. Digitale informatie omvat gegevens die zich bevinden in de IT-systemen en op het netwerk, maar ook op informatiedragers zoals een USB-stick. Analoge informatie is informatie die niet in digitale vorm is vastgelegd. Denk aan papieren documentatie en informatie op een whiteboard. Met ´kennis´ bedoelen we de informatie die in de hoofden van personen aanwezig is. Ook die moet geborgd zijn.”

Vaak ligt de nadruk op computerbeveiliging, de digitale kant.
"Maar informatiebeveiliging is veel breder dan IT. Voor informatiebeveiliging in de zorg bestaat de norm NEN 7510. Daarin wordt gesproken van fysieke beveiligingsmaatregelen en training van het personeel. De Europese norm waar wij aan werken, geeft daar concrete invulling aan met richtlijnen voor zogenaamde ‘intentional human threats’, opzettelijk menselijk handelen, zoals diefstal, agressie, fraude of brandstichting. Die gevaren bedreigen niet alleen de mensen, maar ook de informatievoorziening en daarmee de bedrijfsvoering van een organisatie.”

Wat is het doel van deze standaard?
“Een verdere professionalisering van de beveiliging en veiligheid binnen zorginstellingen. De standaard biedt een raamwerk voor het beschermen van mensen, kritische processen, eigendommen en informatie. Door de open cultuur van veel zorginstellingen kan leiden tot allerlei specifieke dreigingen: zoals agressie tegen zorgverleners op de Spoedeisende Hulp, ontvoering van patiënten, bijvoorbeeld kinderen, diefstal van eigendommen of medicijnen van patiënten en fraude.”

Een standaard opstellen is één. Hoe zorg je dat die ook omarmd wordt?
“Steun van het management is onontbeerlijk bij de inrichting en de implementatie van informatiebeveiliging. Die steun vormt het fundament. Denk aan het zich in het steunen van beslissingen, het uitdragen van maatregelen, het beschikbaar stellen van middelen, voorbeeldgedrag en het stimuleren van het beveiligingsbewustzijn.

Informatiebeveiliging is een proces, geen project. De basis voor passende informatiebeveiliging wordt gelegd door het bewustzijn van het belang ervan en het inrichten van een proces. Nog niet iedereen is ervan op de hoogte dat er standaard komt voor managementsysteem voor fysieke beveiliging. Bewustzijn is de eerste stap naar goede informatiebeveiliging, zowel digitaal als fysiek.”

Is de standaard klaar?
“Standaardisatie-instituut CEN is volop bezig met de ontwikkeling van de norm. Het is van belang dat de nieuwe standaard ook binnen de zorg gedragen wordt. Daarom roepen we zorginstellingen op met ons mee te doen. Zorginstellingen kunnen zich aanmelden en meedenken over de veiligheid van patiënten, medewerkers en informatievoorziening. Hun bijdrage is essentieel.”

Meld uw zorginstelling aan!

Wil u meedenken over de inhoud van de Europese standaard voor beveiligingsmanagementsysteem in de zorg? Meld u dan aan bij Jos Maas, consultant Security & Continuity Services, via jos.maas@centric.eu of bel +31 6 22 45 15 86.