Dienstbeschrijving risicoanalyse in de Zorg - Infraccent

De volgende stappen worden doorlopen:

1. Bepalen belangrijkste primaire en secundaire bedrijfsprocessen
2. Bepalen gevolgen indien bedrijfsproces faalt voor wat betreft de beschikbaarheid, vertrouwelijkheid en integriteit van de informatie (risico survey specifiek voor de zorg)
3. Inventariseren van de informatiesystemen
4. Vaststellen van afhankelijkheid bedrijfsproces van het informatiesysteem
5. Bepalen betrouwbaarheidseisen per informatiesysteem
6. Bepalen risicoklasse conform WBP (conform AV23)
7. Bepalen baseline zorginstelling gebaseerd op NEN 7511 -X (welke maatregelen zijn relevant en welke maatregelen worden beargumenteerd niet uitgevoerd)
8. Vaststellen welke systemen binnen de bovengenoemde baseline vallen
9. Indien systemen hogere eisen stellen dan de norm kan waarmaken, dan definiëren additionele eisen middels een kwetsbaarheidsanalyse van het syteem.

In de praktijk wordt de informatie in minimale tijd vergaard (doorgaans in de vorm van 1 of meerdere workshops) en wordt in een korte tijd het traject doorlopen.

Het probleem is vaak dat als men de maatregelen heeft geïnventariseerd, men nog feitelijk niets kan. De oorzaak hiervan is dat de maatregelen nog niet concreet genoeg zijn, niet behapbaar zijn voor de doelgroep en dat bovendien ook niet duidelijk is wie verantwoordelijk is voor welke maatregel. Infraccent heeft hiervoor een methodiek ontwikkeld om maatregelen te clusteren tot logische eenheden en deze vervolgens te vertalen naar concrete activiteiten die toegewezen worden aan de verantwoordelijke personen. Ook deze stap wordt doorgaans doorlopen door het uitvoeren van workshops met de direct betrokkenen. Vervolgens hanteert Infracent een meetinstrument om de voortgang van de implementatie meetbaar te maken.

Het grote voordeel van deze methodiek is de schaalbaarheid. Het is toe te passen voor zowel kleine zorginstellingen met 1 of meerdere bedrijfsprocessen tot complexe organisaties als ziekenhuizen en psychiatrische inrichtingen.