Hoezo dan standaard, zult u zich afvragen. Houden de leveranciers zich dan niet aan de norm voor wc-brillen en wc-potten? Nee, want die bestaat niet. De ‘NEN 3215:2011/C1:2014 nl – Gebouwriolering en buitenriolering binnen de perceelgrenzen’ geeft wel aan hoeveel spoelwater er per beurt doorheen moet (6 liter) maar zegt niks over de bril.
Er zijn wel flink wat extra voorschriften over faciliteiten voor mindervaliden maar niks voor validen.
NEN 7510
In de informatiebeveiliging van de zorg hebben we de NEN 7510. Deze norm stamt uit 2011 en is toen afgeleid van de ISO 27000-groep van normen. Indertijd werd een aantal begrippen geïntroduceerd die het werkterrein van de informatiebeveiliger gedefinieerd hebben. Voorbeelden zijn het ISMS (Informatie Security Management System), de PDCA-cyclus (Plan-Do-Check-Act) en de ISO (Information Security Officer).
De NEN 7510 is een prima norm maar als organisatie heb je er niet heel veel aan. De 7510 schrijft niet voor wat je moet doen als zorginstelling om een beetje veilig met informatie om te (kunnen) gaan, het is alleen een checklist van dingen waar je aan moet denken en schrijft alleen de manier voor waarop je de verantwoording in het management vorm moet geven. De norm schrijft dus slechts een deel van het geheel voor: wel de hoeveelheid water maar niet de bevestiging van de bril.
ISO 27000
En er is ondertussen een nieuw probleem ontstaan. De ISO 27000 (eigenlijk de ISO 27001 en 27002) is enkele jaren geleden vernieuwd. Onder andere het ISMS en de PDCA-cyclus zijn overboord gegooid. En dat terwijl certificering aan de NEN 7510 in Nederland mogelijk dit jaar (eindelijk) mogelijk is geworden. Voor bedrijven is het nog lastiger dan voor zorginstellingen: Vroeger kon je je als bedrijf alleen aan de ISO-norm certificeren, nu mag dat ook aan de 7510, maar die twee normen stroken niet meer met elkaar. Omdat er meerdere normen op hetzelfde van toepassing zijn, kan het niet anders dat er onzekerheid ontstaat over wat belangrijk is en daarmee verslechtert de informatiebeveiliging.
Verschillen tussen normen
Onze informatiebeveiligingsnormen schrijven zaken voor waar je in de praktijk over na moet denken en die van norm tot norm verschillen. Maar de zaken die echt voorgeschreven kunnen worden, worden dat niet. Ik wil er graag voor pleiten dat de overheid erop gaat toezien dat de normen zaken voorschrijven die er echt toe doen. Zoals bij de informatiebeveiliging in de zorg: ‘Alle communicatie is encrypted met een sleutel van tenminste 128 bits’, ‘Voor de opslag van medische beelden wordt uitsluitend DICOM 3.1 gebruikt’, ‘Testen met productiegegevens is verboden’ of ‘Eens per jaar wordt de back-up getest door alles terug te zetten’. En vooral: ‘Van iedere closetpot zitten de gaatjes voor de bevestiging van de wc-bril exact 23 cm uit elkaar’.
Heldere voorschriften voorkomen incidenten, en ingeval van losse wc-brillen zelfs gewonden.
Berend de Vries, Comfort-IA
Deze mening deel ik zeer. Voorschrijven hoe normen te gebruiken. Zeker bij het gebruik van medische gegevens. Ook in de GGZ, waar van de Autoriteit Persoonsgegevens een rapport is verschenen over toegang tot medische gegevens door medewerkers in de organisatie. Nader onderzoek heeft er bij mij toe geleid dat ik elke behandeling een schriftje (!) meeneem waar mijn voortgang in wordt geregistreerd. Ik kan er maar niet achter komen hoeveel mensen toegang hebben tot mijn medische gegevens. In ieder geval meer dan 60, waarvan ik er 58 niet ken. En allemaal conform de richtlijnen en normen.