De NEN 7510 werkplek

In de praktijk komen we veel zorginstellingen tegen die het lastig vinden om hun werkplekken te laten voldoen aan zo een NEN-normering. Lees wat je wel kan doen.

3 min Blog Tristan van Onselen

Vraag je aan een zorgmedewerker: “Wat zijn jouw wensen als jij de nieuwe werkplek mag ontwerpen?” dan krijg je vrijwel altijd antwoorden als: (1) Ik wil eenvoudig mijn zorgapps starten, (2) Ik wil snel toegang krijgen tot cliënt informatie en (3) ik wil overal kunnen werken.

“De roep om een werkplek die voldoet aan wet- en regelgeving als NEN7510 of de GDPR horen wij nooit.”

Dit is ook logisch, omdat de primaire taak van een zorgmedewerker zorg verlenen is en de werkplek is voor hen niet meer dan een hulpmiddel.

In de praktijk komen we veel zorginstellingen tegen die het lastig vinden om hun werkplekken te laten voldoen aan zo’n NEN-normering. Een veel voorkomend gevolg daarvan is dat er dan weinig tot niets aan de beveiliging van werkplek is gedaan. Immers, de prioriteit van een zorginstelling ligt toch vooral bij betaald krijgen voor geleverde zorg. Hier wordt hun bestaansrecht aan ontleent.

In de afgelopen periode zien we gelukkig een trend ontstaan waarbij een adequaat beveiligde werkplek hoger op de agenda staat bij bestuurders. Dit omdat door onwetendheid van medewerkers over het hoe om te gaan met digitale privacygevoelige informatie, dergelijke informatie snel op straat kan komen te liggen. Daar zit niemand op te wachten. Voor een zorgorganisatie kan dit leiden tot imagoschade en boetes, terwijl getroffen cliënten aangetast worden in hun privacy. Een andere motivatie is het optimaal beschermd willen zijn tegen kwaadwillende software. Met een ongewilde (ransomware-)besmetting komt immers de productiviteit in gevaar, omdat medewerkers eenvoudigweg niet meer kunnen werken.

Waarom is dan toch de NEN-normering belangrijk voor zorg organisaties?

Het doel van de NEN-normering is dat er verbeteringen worden uitgevoerd aan de beveiliging van vertrouwelijke informatie. De meest veilige dichtgetimmerde werkplek waar alle risico’s op datalakken worden uitgesloten, is ook meteen een onwerkbare werkplek. Zorgverleners als doctoren, chirurgen en verpleegkundigen laten zich vaak niet tegenhouden door de opgelegde barrières van de werkplek en gaan zelf op zoek naar alternatieven. Hierdoor ontstaat al snel een onzichtbaar en onbeheersbaar IT-landschap, veelal ‘shadow IT’ genoemd, met als gevolg dat er nog minder grip is op data.

Wat kunnen we dan wél doen?

Elke zorgorganisatie hoe groot of klein moet in het bezit zijn van een NEN 7510-certificaat. Hiermee tonen ze aan dat er veilig wordt omgegaan met de privacygevoelige informatie van hun cliënten. Steeds meer organisaties streven naar het doel om alle projecten uit te voeren volgens de methodiek van ‘privacy by design’. Een groot voordeel hiervan is dat het risico op een datalek afneemt en achteraf pleisters plakken niet nodig is. Neem als bekend voorbeeld het aanbieden van een nieuwe werkplek. Logischerwijs is de efficiëntste manier om de medewerker in één keer de nieuwe werkplek te geven en niet pas bij een latere versie de bijbehorende beveiligingsmethodieken te introduceren.

Verder voortbordurend op bovenstaand voorbeeld zijn er een aantal mogelijkheden om te voldoen aan de NEN-normeringen én direct de wensen van de medewerkers in te vullen.

 

  • De mogelijkheid om bedrijfsinformatie te scheiden van overige informatie waardoor de informatie alleen gebruikt kan worden door de bedrijfsapplicaties. Het risico dat medewerkers hun persoonlijke opslaglocaties gaan gebruiken neemt hiermee af.
  • De mogelijkheid om op één centrale portal alle zorgapplicaties aan te bieden en vervolgens op basis van context (zoals locatie of gebruikt apparaat) daar met één account toegang tot te krijgen.
  • De mogelijkheid om sneller aan te melden met behulp van biometrische kenmerken zoals gezicht of vingerafdruk.

 

Wordt er meteen voldaan aan de normering zodra een organisatie deze bovenstaande voorbeelden heeft doorgevoerd? Nee, zo simpel is het niet. Uiteindelijk bepaald een auditor of er met het geheel aan technische en organisatorische maatregelen wordt voldaan aan de norm.

Beveiliging van ICT-systemen is een continue proces. Hoe gaat jullie NEN 7510 werkplek er uit zien? Wij denken graag mee aan een oplossing.

 

Wij denken graag mee

Contact met Dennis Vendel