Ik heb een vraag! neem contact op
De toegangscontrole begint bij het bepalen van een beleid met als uitgangspunt dat alleen die zorgverleners toegang hebben tot zorginformatie voor de patiënt of cliënt waarmee zij een behandelrelatie hebben. In dit beleid moet u een norm opstellen waaruit blijkt welke rollen en rechten per gebruiker zijn toegestaan in het zorginformatiesysteem: ‘role based access model’. Op basis van een risicoafweging legt u een basis vast per type gebruiker met daarin welke rechten en bevoegdheden deze in het systeem heeft. Het begint bij het goed inregelen van deze basisinrichting.
Om te zorgen dat deze basisinrichting gehandhaafd blijft, moet u ook duidelijke procedures opstellen over het (tijdelijk) verlenen van toegang tot bepaalde dossiers en het weer intrekken van deze bevoegdheden. Gaat een behandelaar uit dienst? Is het gebruikersaccount dan wel tijdig geblokkeerd en de toegang tot dossiers ingetrokken? Zorg dat u dit vastlegt in de in- en uitdienstprocedure en controleer periodiek of er nog medewerkers toegang hebben die wellicht niet meer in dienst zijn. Zo krijgt u hier meer grip op.
Het beperken van de toegangsrechten en een snelle en acute zorgverlening staan soms haaks op elkaar. Daarom zijn er zorginformatiesystemen die noodprocedures en een noodknop hebben om toch toegang te krijgen tot een dossier om snel een juiste behandeling uit te voeren. Hoe houdt u grip op het rechtmatig gebruik van deze noodknop? Een belangrijk middel hierbij is ‘logging’. Door het periodiek beoordelen van logging-bestanden monitort u hier actief op en signaleert u eventuele inbreuken. Ook de AP en de NEN 7510-2 (2017) zien het periodiek beoordelen van logging-bestanden als een belangrijke controle om toezicht te houden op de toegang tot dossiers.
Daarnaast is het belang van goede logging-registratie sinds 1 juli 2020 een stuk groter omdat ook de patiënt/cliënt zelf gerechtigd is tot inzage van deze logging-gegevens. Zo kan deze zelf verifiëren wie en wanneer toegang had tot zijn/haar dossier bij het gebruik van een elektronisch uitwisselingsysteem.
Communiceer dit beleid en de procedures rondom toegangsrechten en monitoring duidelijk richting uw medewerkers. Zij moeten zich hiervan bewust zijn en weten welke privacyregels gelden.
Weet u waar uw toegangsrisico’s zitten ten aanzien van uw zorginformatiesysteem en welke IT-risico’s deze hebben? Toegang tot zorginformatiesystemen gaat tegenwoordig namelijk via meerdere middelen: smartphones, Ipads, webapplicaties of een lokale applicatie op desk- of laptop. Breng in kaart op welke manieren men toegang heeft tot het zorginformatiesysteem en welke IT-risico’s deze middelen mogelijk met zich meebrengen.
Een sterk wachtwoordbeleid is essentieel. Helaas dwingt een zorginformatiesysteem niet altijd een sterk wachtwoordbeleid af of houden niet alle gebruikers zich aan dit wachtwoordbeleid. Een zwak wachtwoordbeleid wordt sneller gekraakt of misbruikt door collega’s wanneer zij elkaars wachtwoord weten. U kan dit risico beperken door een tweefactor authenticatie in te voeren voor het verkrijgen van toegang tot dossiers.
Een ander risico is teveel administrator gebruikers binnen het systeem. Deze gebruikers hebben brede rechten en toegang tot alle data. Minimaliseer het aantal administrators en monitor het gebruik door hen om risico’s te beperken.
Nu u weet hoe u de basisinrichting rondom toegang inregelt, is het belangrijk om te bepalen waar het restrisico ligt. Kan er toch nog onterecht iemand toegang krijgen? Het handmatig controleren op (onterechte) toegang is erg arbeidsintensief. Implementeer daarom een passende geautomatiseerde interne beheersingsmaatregel via ‘controls automation’.
Bijvoorbeeld een automatische signalering als iemand de ‘noodknop’ gebruikt om toegang tot een dossier te krijgen. Of elke maand een automatisch gegenereerd logbestand op basis van specifieke risicogerichte criteria ter beoordeling. Door dit te automatiseren is de controle efficiënter en effectiever doordat u minder handmatige handelingen hoeft te doen.
Breng in kaart waar uw risico’s vanuit toegangscontrole zitten en hoe het systeem controles hierop nog verder automatisch kan regelen.
Door de toegangscontrole goed te regelen, waarborgt u de integriteit van uw zorginformatiesysteem. Dit is essentieel voor het vertrouwen van uw patiënten en cliënten. Wij helpen u graag met het evalueren van uw toegangscontrole en het verbeteren hiervan. Heeft u vragen over het inrichten en monitoren van toegangscontrole? .
Wij geven u graag nieuwe (internationale) inzichten op het gebied van financiën, bedrijfsvoering, strategie, governance, risk, compliance en meer.
