ISO27001 certificeringstraject bij Jan Yperman Ziekenhuis dankzij SmartAIM soepeler verlopen

‘IAM is geen IT-feestje, het draait net zo goed om mensen en processen’

Het Jan Yperman Ziekenhuis is een modern, hoogtechnologisch ziekenhuis met 532 bedden, zo’n 1300 medewerkers en 130 artsen. De hoofdcampus is gevestigd in Ieper en daarnaast zijn er nog een aantal andere campussen in de regio. Hierbij gaat het onder meer om poliklinieken, radiologische kabinetten, een vestiging voor kinderpsychiatrie en een locatie voor collectieve autodialyse. Ook zijn er diverse samenwerkingen met andere Vlaamse ziekenhuizen in de regio.

“Wij hebben innovatie, zowel op het vlak van digitalisering als bijvoorbeeld ook van robotisering hoog in het vaandel staan”, vertelt ICT-manager Mario Keersse. Ook op het gebied van informatiebeveiliging, waar Identity & Access Management (IAM) onder valt, wil het ziekenhuis koploper zijn. Zo’n zes jaar geleden koos het Jan Yperman Ziekenhuis aldus voor de Nederlandse SmartAIM-suite om de toegang tot haar systemen en applicaties optimaal te kunnen helpen inregelen.

“Met onze oplossing hebben organisaties 24/7 zelf de controle over hun instroom-doorstroom-uitstroom (IDU)-processen, zodat gebruiksrechten te allen tijde correct zijn toegekend. De software, die oorspronkelijk ontwikkeld werd voor en in een ziekenhuis, is zeer gebruiksvriendelijk en ondersteunt conformiteit met de GDPR-vereisten. Het platform is eenvoudig in te richten en te onderhouden, getuige vele tientallen ziekenhuizen en andere organisaties die SmartAIM operationeel hebben”, vertelt Frank Jorissen, met zijn bv tygris de Belgisch vertegenwoordiger van SmartAIM.

Altijd inzicht

Een van de voordelen van SmartAIM is dat de huidige situatie (‘IST’) op het vlak van toegekende rechten vanuit diverse systemen direct kan worden ingelezen. Na de implementatie wordt de gewenste situatie (‘SOLL’) stap voor stap gedefinieerd en gerealiseerd. Dit gebeurt op basis van Role Based Access Control (RBAC), eventueel aangevuld met Attribute Based Access Control (ABAC)-elementen. De basisinformatie over de gebruikers wordt ingelezen uit het HRM-systeem, licht Goudeseune toe.

Dit bespaart niet alleen veel tijd, ook het risico op fouten is veel kleiner. “Verder kunnen wij nu geautomatiseerd en tijdig accounts aanmaken voor nieuwe medewerkers, alsook accounts van oud-medewerkers blokkeren. Met behulp van SmartAIM hebben wij ook te allen tijden inzicht in wie toegang heeft tot welke informatie en applicaties”, aldus Goudeseune.

In het ziekenhuis wordt gewerkt met zo’n 200 verschillende applicaties. “Je kunt je wel indenken met zo’n 1300 medewerkers, maar ook jobstudenten, stagiairs, tijdelijke medewerkers, externen en vrijwilligers, hoeveel werk het handmatig verlenen en intrekken van toegang is. Om nog maar te zwijgen over het handmatig afdwingen van bijvoorbeeld separation of duty-regels. Nu dit alles automatisch gebeurt houden we veel meer tijd over voor beleidsmatige zaken dan puur operationele zaken. Zo kunnen wij meer echte waarde toevoegen”, aldus de applicatiebeheerder.

Accreditaties en certificeringen

Om aan te tonen dat het Jan Yperman Ziekenhuis de patiëntveiligheid en informatiebeveiliging op orde heeft sloot het ziekenhuis zich recent aan bij FlaQuM, het Flanders Quality Model voor zorgorganisaties, dat sterk gebaseerd is op wetenschappelijk onderzoek. Zo’n twee jaar geleden besloot de directie van het Jan Yperman Ziekenhuis ook het ISO 27001-certificeringstraject te doorlopen. ISO/IEC 27001 Information Security Management Systems (ISMS) is een beheersysteem voor het beveiligen van data en privacygegevens binnen organisaties. Door risico’s in kaart te brengen en controlemaatregelen te implementeren verminderen organisaties de kans op incidenten binnen de organisatie.

Wat ISO 27001 aantoont

“Met onze ISO 27001-certificering maken wij aantoonbaar dat ons ziekenhuis op een verantwoorde manier omgaat met informatie. Dit geeft geruststelling voor onze patiënten, maar ook voor externe partijen waarmee wij samenwerken én voor onze eigen medewerkers. Voor iedereen is het nu duidelijk dat we veilig omgaan met privacygegevens en voldoen aan relevante wet- en regelgeving voor informatiebeveiliging. Het helpt om datarisico’s te beheren of uit te bannen. Bovendien beschermt het tegen externe bedreigingen en minimaliseert het de impact die kan ontstaan door bijvoorbeeld een datalek”, vertelt Keersse.

De ICT-manager licht toe dat er is gekozen voor het ISO 27001-certificeringstraject om de informatieveiligheid te kunnen garanderen. Iets waar steeds meer patiënten en leveranciers naar informeren. Daarnaast worden de leveranciers van het ziekenhuis hoe langer hoe meer gevraagd om ook aan ISO 27001 te voldoen. “Als wij dit van hen verlangen moeten we uiteraard zelf eerst het goede voorbeeld geven.”

Wettelijke verplichting door de Europese NIS2-richtlijn

Binnenkort moeten Europese ziekenhuizen ook voldoen aan de NIS2-richtlijn, die EU-lidstaten in nationale wetgeving om moeten zetten. Deze richtlijn toont grote gelijkenissen met de ISO 27001 standaard. Bij de huidige Network en Information Security (NIS) richtlijn vallen zorginstellingen nog niet onder de essentiële bedrijven waar deze richtlijn voor geldt, zoals bijvoorbeeld water- en telecombedrijven. Maar hier komt dus snel verandering in. Waarschijnlijk is dit al in 2025 het geval. “Tot slot zijn er ook steeds meer cybersecurity-verzekeringen die van hun klanten eisen dat ze voldoen aan de ISO 27001 standaard; ook dat heeft een rol gespeeld om ons certificeringstraject in gang te zetten”, licht Keersse toe.

Hoe het traject eruitzag

Het traject tot de audit nam in totaal zo’n twee jaar in beslag. Het ziekenhuis werd hierbij bijgestaan door Forma BV, een lokale speler die zich richt op het begeleiden van verbeterprocessen op domeinen als kwaliteit, veiligheid, milieu en informatieveiligheid. Allerlei rode vlag-situaties werden tussentijds opgelost door middel van verschillende acties. De certificering zelf werd uitgevoerd door DNV.

In september 2022 bezocht een team van internationale auditoren het ziekenhuis. “Ze gingen na hoe ons ziekenhuis de vertrouwelijkheid, beschikbaarheid en integriteit van gegevens garandeert via een managementsysteem en keken kritisch naar de informatiebeveiliging, procedures en bewustmakingscampagnes. Hierbij gaat om gegevens van patiënten, maar evengoed van medewerkers en bezoekers van het ziekenhuis”, verduidelijkt Keersse.

De auditoren stelden vast dat informatieveiligheid daadwerkelijk een prioriteit is in het Jan Yperman Ziekenhuis en kenden het ISO 27001-certificaat toe. Het ziekenhuis had de certificering naar eigen zeggen niet zo snel en soepel behaald als het niet eerst haar zogenaamde Identity Governance & Administration (IGA) op orde had gebracht. Dankzij SmartAIM was dit het geval. “Met de IGA-tooling uit de SmartAIM-suite was dit een kwestie van afvinken. Dat heeft ons veel tijd en geld bespaard.”

Hoge kwaliteit van data

Om een Instroom-Doorstroom-Uitstroom (IDU)-proces feilloos in te richten is de correctheid en kwaliteit van HRM-brongegevens uiterst belangrijk, benadrukt Rikke Van Puymbroeck, die de systeemintegratie heeft uitgevoerd bij het Jan Yperman Ziekenhuis. “Het zijn bij wijze van spreken communicerende vaten. De kwaliteit van de brongegevens aan de voorzijde is bepalend voor de acties die SmartAIM aan de achterzijde genereert richting doelsystemen. Tijdens het implementatietraject werd al snel duidelijk dat de data van hoge kwaliteit zijn bij het Jan Yperman Ziekenhuis. Dit heeft er mede voor gezorgd dat er een soepele implementatie van SmartAIM kon plaatsvinden.”

Goede en tijdig aangeleverde HRM-data zorgt dat SmartAIM de juiste informatie op het juiste moment aan het juiste systeem of persoon laat doorstromen. “Als SmartAIM-implementatiepartner is het uiteraard fijn werken wanneer je merkt dat een organisatie datakwaliteit hoog in het vaandel draagt”, aldus Van Puymbroeck, die met zijn bedrijf 2ndLine de Vlaamse systemsintegrator-partner van SmartAIM is.

Plannen voor de toekomst

Over drie jaar volgt er weer een audit, tot die tijd is er jaarlijks een tussenaudit. Keersse: “Informatiebeveiliging is een ongoing process. Je kunt nooit achterover leunen. Met name awareness blijft een punt van aandacht. Wij blijven onze mensen dan ook trainen op dit vlak én voorzien van tips en trucs.”

Het Jan Yperman Ziekenhuis wil ook in de toekomst een autoriteit blijven op het gebied van informatieveiligheid en zal hieraan blijven werken. Als advies aan andere ziekenhuizen die een ISO 27001-certificering overwegen adviseert Keersse de IAM-processen eerst goed op orde te brengen. “Met SmartAIM heeft iedereen te allen tijde net die autorisaties die nodig zijn om goed zijn/haar taken te kunnen vervullen en is de organisatie continu audit-gereed.”

Voor vragen over dit interview: frank.jorissen@smartaim.nl