Saillant antwoord op de vraag van een van onze gebruikers

Inleiding:
Deze gebruiker vroeg om wat hulp bij het invullen van tabellen in het NEN 7510 portaal van Waveland. Daar heeft één van ons (van Waveland) een wat uitgebreider antwoord op gegeven.
Dat antwoord is wellicht ook informatief voor meer van onze Waveland portaal gebruikers, als het gaat om de Waveland portalen voor normen die een kwaliteitssysteem invoeren en beheren.

Start van de quote van het antwoord:

Goede zondagmorgen allen daar!

We kunnen ons voorstellen dat je hierin even vastloopt. Deze afdelingen zijn er later bijgekomen in de ISO 27001/NEN 7510 omdat de auditors dat soort dingen vragen bij een audit voor de certificering.

Het zijn allemaal overdenkingen over je organisatie, en de uitkomsten moet je vastleggen (sorry, wij hebben het niet bedacht, het is de norm en vooral de certificeerders die dat moeten vragen. )

Dit deel kost gewoon eigen werk en uren om in te vullen. Vooral kost het tijd om erover na te denken met je team. Een kwaliteitszorg systeem invoeren is een tijdvretende operatie. Dit is de invoering van kwaliteitszorg zoals de norm NEN 7510 dat vraagt.

Tip 0: Denk goed na of de echte certificering wel nodig is voor jullie organisatie. Werken OP BASIS VAN de norm levert echt toegevoegde waarde. Echter de certificering moet je alleen ingaan als je daar echt voordeel uit weet te halen of als het ergens verplicht is.

Tip 1: pak in onderdeel 46/48 de norm zelf er even bij, die hebben we daar opgenomen. De bedoeling van de norm staat daar in.

Tip 2: het nummer bovenaan je hoofdstuk in het portaal vermeld de paragraaf van de norm. Zodat je het kan vinden in de norm.

Jullie vraag gaat dus over onderdeel 4.3 van de norm. Daar staat dat je de grenzen van de toepasselijkheid van HET MANAGEMENT SYSTEEM voor INFORMATIEBEVEILIGING moet bedenken en vastleggen. intern en extern. Dat hebben we in tabellen omgezet om het denkproces en het vastlegproces te vereenvoudigen.

Antwoord zou kunnen zijn:

-onderwerp: patiëntengegevens opslaan
-toepasselijkheid: we managen de medische dossiers en persoonsgegevens via onze database (of patiënten dossiersysteem)
-grens: als de gegevens buiten ons verantwoordelijkheid gebied komen door het te verzenden, houdt daar de werking van ons management systeem op. Dan zijn we niet langer verantwoordelijk.

Je kan de hoofdstukken vanaf 12 eens doornemen in je NEN 7510 Waveland management portaal. Ieder hoofstuk is een onderwerp in je ISMS (Informatie Security Management Systeem) dus je kan er een paar uitnemen die je aanspreken (die je belangrijk vindt) en die opnemen in de tabel en bepalen tot WAAR dit jullie management systeem raakt. Dus tot waar je dit beheersen moet volgens je eigen mening.

Bijvoorbeeld: hoofdstuk 20/48: clean desk en clean screen beleid

-onderwerp (van ons ISMS): clean screen beleid (hoofdstuk 20/48 in het Waveland NEN 7510 portaal)
-toepasselijkheid: toepasselijk op alle computerschermen binnen onze praktijk
-grens aan de toepasselijkheid: de grens ligt bij computers binnen onze praktijk. Daarbuiten zijn we niet verantwoordelijk voor het clean screen beleid.

Tip 3: dit lijkt een wat overbodige pieker-actie. Dat komt omdat het Waveland NEN 7510 portaal uiterst simpel al vastlegt PER onderwerp van de norm wat je ermee doet, dus wat je procedure is.
Wij (Waveland) hebben dat al geschreven in de ‘maatregel hoofdstukken’ vanaf nummer 12/48.
De auditors en de norm eisen dat organisaties nog eens gaan vastleggen wat de afwegingen zijn. En dan maatregelen bepalen. Maar de norm schrijft al maatregelen voor (kijk maar eens in de bijlage A1 van de norm). Dat zijn dus kennelijk door de normcommissie bepaalde maatregelen op door hen bepaalde risico’s.

Daarmee heeft de normcommissie dus de risico’s al voor je vastgesteld. En de maatregelen daarvoor.

Maar dat denken is nog niet doorgedrongen in de normcommissie. (Wij hebben contact met de voorzitter van de normcommissie, en gaan namens de zorgsector de strijd met deze tegenstrijdigheid aan. Dat zien wij  als een actie die hoort bij onze invulling van onze verantwoordelijkheid namens onze licentiehouders)

Dus lees de norm erbij die we in het portaal maar hebben opgenomen. Dan is het een mooie denk-oefening voor de veiligheid van je organisatie. Dat heeft wel een toegevoegde waarde voor je bewustwording (over de gevaren van digitale gegevensverwerking etc).

We kunnen altijd iemand laten helpen met deze denktrant van kwaliteitszorg. Iemand kan helpen met nadenken en het invullen in ons NEN 7510 portaal. Samen met jullie. Daarvoor zouden we dan wel uurtjes in rekening moeten brengen. Maar jullie op gang helpen kost niet veel tijd. Laat maar horen of dat interessant is. We doen graag delen online, dat spaart ook weer veel tijd.

En nogmaals: werken op basis van de norm NEN 7510 is vaak genoeg. En heeft ook een toegevoegde waarde.
Certificeren levert een enorme kostenpost en extra tijdbesteding op. Weeg daarover goed af of dat nodig is!

Komen jullie daar een beetje verder mee?

We horen graag van jullie en helpen waar mogelijk.

Einde van de quote van het antwoord aan onze licentiehouder.

We hopen dat dit ook voor u enige helderheid geeft over de wijze waarop Waveland denkt over het werken met kwaliteitszorgnormen.

Neem contact met ons op voor overleg.