Samenvatting

Aanleiding
Kraamzorg Mama is een kraamzorgbureau dat al jaren goed staat aangeschreven bij cliënten, verloskundigen en alle zorgverzekeraars. Kraamzorg Mama levert haar diensten in Zuid-Holland en Midden Nederland. Kraamzorg Mama heeft in haar dagelijkse processen te maken met verschillende normen die opgesteld zijn door de overheid.
Kraamzorg Mama wil gebruik gaan maken van een applicatie om het hele proces vanaf de inschrijving van een cliënt tot aan de declaratie te beheren. De processen die gerelateerd zijn aan het gebruik van deze applicatie moeten voldoen aan de wettelijke normen en richtlijnen voor informatiebeveiliging in de zorg. Naast het gebruik van de applicatie en informatiesystemen is ook de verwerking van informatie op niet digitale wijze onderhevig aan wettelijke normen en richtlijnen. Op dit moment is het nog niet inzichtelijk in hoeverre Kraamzorg Mama voldoet aan deze normen.
De hoofdvraag waarop in dit rapport antwoord wordt gegeven luidt als volgt:
Wat zijn de belangrijkste risico’s van de informatiebeveiliging binnen Kraamzorg Mama en op welke wijze kan Kraamzorg Mama deze risico’s afdekken?
Uitvoering
De huidige situatie van de informatiebeveiliging is in kaart gebracht door de primaire processen van Kraamzorg Mama te beschrijven en het houden van een interview met de IT manager. Aan de hand van de uitkomsten en bevindingen zijn de risico’s bepaald. Bij het bepalen van de risico’s is de bescherming van persoonsgegevens leidend. Aan de hand van de risico’s zijn de maatregelen bepaald per beveiligingscategorie. Deze categorieën zijn afgeleid uit de Code voor Informatiebeveiliging. Voor het bepalen van de status van de beveiligingen en de mogelijke maatregelen is de NEN 7510 gebruikt als richtlijn. De risico’s zijn bepaald aan de hand van een QuickScan en beoordeeld aan de hand van de stoplichtmethode.
De belangrijkste risico’s liggen in de volgende categorieën:
 Beveiligingsbeleid
 Organisatie van de beveiliging
 Personeel
 Toezicht
De resultaten van de risicoanalyse tonen aan dat de categorieën die hierboven zijn beschreven te maken hebben met beleid en structuur. Dit betekent dat een groot deel van de risico’s afgedekt kan worden door het invoeren van een informatiebeveiligingsbeleid en het effectief uitvoeren van dit beleid. Het controleren van het beleid moet een continu proces zijn en geaccepteerd en uitgedragen worden door de gehele organisatie. De controle op naleving van het beleid moet geschieden volgens de PDCA-cyclus. In een optimale situatie zou de controle zowel intern als extern worden uitgevoerd. Dit betekent dat onafhankelijke specialisten op het gebied van audit en informatiebeveiliging toetsen of het beleid wel voldoet aan de gestelde eisen.