Typ om te zoeken

Geen onderdeel van een categorie

De veiligheidsconsulent: enkel een formele vereiste of ook met een effectieve invulling?

Delen

Dit door een gebrek aan tijd – meestal is de functie van veiligheidsconsulent bovenop hun dagelijks takenpakket gekomen – of door gebrek aan kennis en een concrete aanpak om de functie op te starten. De meesten hadden hiervoor hun hoop gevestigd op de cursussen die door de overheid georganiseerd worden,  maar deze zijn echter nogal theoretisch en reiken geen concrete en pragmatische aanpak aan. Vandaar dat tot op heden de invulling van de functie van veiligheidsconsulent veelal formeel is voor vele ziekenhuizen. Het is onduidelijk op dit moment of de overheid zal stappen nemen hieromtrent en verifiëren of de veiligheidsconsulent wel degelijk invulling geeft aan zijn functie. Zij zou dit bijvoorbeeld kunnen doen door het veiligheidsplan op te vragen.

Accreditatie en risicobeheer

Feit is dat informatieveiligheid ook een belangrijk element is in het kader van accreditatie, ook dit kan een reden zijn om effectief stappen te ondernemen. Maar de voornaamste motivatie om actie te ondernemen zou het risicobeheer van het ziekenhuis moeten zijn, zodat men de dag dat een ernstig veiligheidsincident plaats vindt niet moet toegeven dat er onvoldoende actie is ondernomen op dit vlak. Want de risico’s zijn groot en de mogelijkheden voor incidenten zijn legio: een medisch patiëntendossier dat in verkeerde handen terecht komt, een loslippige verpleegster die vertelt over een BV die in behandeling is, de receptioniste die een journalist
doorschakelt naar de prinses, een PC waarop ongeoorloofde expliciete bestanden worden op gevonden, het medisch dossier van de politieker dat door medisch personeel geconsulteerd wordt zonder dat er een zorgrelatie is,… Dagelijks vinden er incidenten plaats in ziekenhuizen, waarmee wij worden geconfronteerd in onze rol als veiligheidsconsulent.

Bestuurdersaansprakelijkheid

Hoe gaat u als leidinggevende, IT manager of veiligheidsconsulent reageren wanneer hierover vragen gesteld worden? En hoe gaat u reageren als bestuurder wanneer u hiervoor aansprakelijk wordt gesteld? Het is immers aan u erop toe te zien dat de risico’s van het ziekenhuis op een afdoende wijze beheerd worden. In Angelsaksische landen zijn rechtszaken in de medische wereld schering en inslag, ooit komt dit over de oceaan gewaaid… Het is een feit dat tot op heden bestuurdersaansprakelijkheid in ziekenhuizen nogal licht wordt opgenomen, nochtans zijn de risico’s bijna nergens groter dan in ziekenhuizen.
Hopelijk kan u bij een zwaar incident melden dat er wel degelijk een risicoanalyse is uitgevoerd in het ziekenhuis op het vlak van informatieveiligheid. En dat er inderdaad een aantal tekortkomingen zijn vastgesteld  – hetgeen altijd het geval is – op basis waarvan bewuste beslissingen zijn genomen en hetgeen heeft geleid tot een actieplan dat momenteel wordt uitgevoerd. En toch is het kunnen gebeuren? Een perfecte beveiliging is onmogelijk en men kan nooit alle risico’s uitschakelen, maar men heeft toch zijn best gedaan…

Risicoanalyse

Dit is dan ook de belangrijkste taak van een veiligheidsconsulent: het uitvoeren van een risicoanalyse waarbij de belangrijkste risico’s op het vlak van informatieveiligheid aan het licht komen, en op basis waarvan een veiligheidsplan wordt opgesteld. Daarna bestaat zijn functie grotendeels uit het opvolgen van de uitvoering van het plan, en het aanpassen ervan aan de veranderende omgeving van het ziekenhuis (nieuwe IT systemen, infrastructuurwerken, enz…).
Daarbij is het zeer belangrijk dat dit alles geformaliseerd en gedocumenteerd wordt, zodat men erop kan terugvallen, ook in geval van een incident… Het analyseren van processen en systemen en documenteren zijn specifieke competenties, die men slechts in beperkte mate terugvindt in de meeste ziekenhuizen, wiens medewerkers de handen vol hebben met medische en operationele taken, de ‘core activiteiten’ van het ziekenhuis.

Uitbesteding

Vandaar dat vele ziekenhuizen deze taken uitbesteden ter ondersteuning van de interne veiligheidsconsulent. Hierbij wordt de risicoanalyse uitgevoerd door de externe partij en van nabij gevolgd door de interne veiligheidsconsulent. Het veiligheidsplan wordt opgesteld met de betrokken afdelingen, meestal zijn dit de dienst personeel, informatica en facilities. Hierna worden de risicoanalyse en het veiligheidsplan overgedragen aan de interne veiligheidsconsulent, die dit alles zal opvolgen en up-to-date houden. Daarnaast wordt soms nog wat periodieke ondersteuning en advies voorzien door de externe partij. Op die manier wordt de veiligheidsconsulent meer dan enkel een formele vereiste en de risico’s van het ziekenhuis op het vlak van informatieveiligheid en data privacy worden wel degelijk beheerd.
 

Tags:

Je houdt waarschijnlijk ook van

Geef een reactie