Margot Goorts-Donders en Esther Schelfaut (GGD Brabant-Zuidoost)

"De audit voelt niet als een checklist, maar zet je écht aan het denken."

Het bewaken, beschermen en bevorderen van de gezondheid van iedereen, betekent voor GGD Brabant-Zuidoost ook dat zij werken met gevoelige medische persoonsgegevens. Het beveiligen van deze informatie is dan ook een belangrijk thema binnen de organisatie. “Met de NEN7510-certificering laten we een bepaalde commitment zien. Het is voor ons essentieel om uit te stralen dat patiënt-, medische en chatgegevens bij ons goed geborgd worden.” vertelt Esther Schelfaut, kwaliteitsadviseur bij GGD Brabant-Zuidoost.

Vanuit de koepelvereniging is een aantal jaar geleden afgesproken dat deze certificering verplicht werd voor de ambulancezorg. We werken nu als GGD toe naar een organisatie-brede certificering” vult Margot Goorts-Donders, ook kwaliteitsadviseur bij GGD Brabant-Zuidoost, aan. “De audit voor deze certificering wordt nu 2,5 jaar door CIIO gedaan. Wat ons daarbij positief opvalt, is dat ze écht bij de basis van de bedoeling blijven; wat wil je met de certificering bereiken, en hoe geef je daar invulling aan?

Bredere én scherpere blik

We merken dat informatiebeveiliging in de algehele zin steeds belangrijker wordt, en dat mensen zich hier ook steeds bewuster van zijn”, vervolgt Margot. “Daarin helpt de NEN7510 om onze blik op hoe we omgaan met informatiebeveiliging constant scherp te houden. De ambulancezorg is in de basis een simpel pakket: Je hebt een meldkamer, en die stuurt de ambulances aan. Maar daartussen wordt er veel en snel informatie verwerkt, en je wil dat men daar goed mee omgaat. Sinds de certificering hebben we daarin wel een aantal stappen gezet.” 

Een voorbeeld hiervan is volgens Esther autorisatie, oftewel wie toegang heeft tot welke gegevens en wat hiermee gedaan mag worden. “De NEN7510 eist dat je dit niet alleen op papier duidelijk hebt, maar checkt ook of dit in het systeem daadwerkelijk nageleefd wordt. Dat iemand die bijvoorbeeld op de planning zit en geen medische gegevens hoeft in te zien, daar via het systeem ook echt niet bij kan. Dat is nu heel scherp beschreven en correct ingericht.” 

Fysieke audit levert meer op

De start van de samenwerking met CIIO was enigszins stroef, erkent Margot. “Dat komt deels doordat deze samenviel met de start van de coronacrisis. Ik ben ervan overtuigd dat als CIIO de eerste twee jaar al bij ons op locatie was gekomen, we ook meer uit het menselijke aspect hadden kunnen halen”. Esther vult aan: “We merken een duidelijk verschil tussen de digitale en fysieke toetsingen. Nu gaan ze ook naar de meldkamers en ambulanceposten, en wordt er gekeken naar fysieke toegangsbeveiliging. Zijn er deuren die zomaar open kunnen, wie heeft er toegang tot deze ruimtes, dat soort zaken. Die kansen heb je digitaal niet.

Niet wat, maar waarom

Inmiddels hebben beide kwaliteitsadviseurs een duidelijk beeld van de audits van CIIO. Die bevallen goed, stelt Esther. “Wat ik heel mooi vind is dat CIIO de norm hanteert, maar ons laat vertellen hoe we daar invulling aan geven. Hierdoor voelt het niet alsof ze een standaard checklist afvinken, maar ook echt met ons meedenken. Ook onze medewerkers ervaren de gesprekken als zeer prettig”. Margot voegt zich met een voorbeeld bij de woorden van haar collega. “In de maatstaf staat dat je in contact moet staan met je medewerkers en hun ontwikkeling. Voor sommige instellingen betekent dat: je moet jaargespreken houden, punt. CIIO laat die invulling vrijer, zolang je maar kunt aantonen dat je het doet. Je kunt er daardoor als organisatie een andere, voor jou beter passende invulling aan geven.

Wat ons ook heeft geholpen is de opmerking van de auditor over ons informatiebeveiligingsbeleid, waarmee hij ons gedwongen heeft hier binnen het team doelstellingen aan te verbinden en deze ook te toetsen”, gaat Margot verder. “Hier zijn we de afgelopen anderhalf jaar scherper op geworden, wat zich in de praktijk heeft vertaald naar een awareness programma”. Esther voegt toe dat het voor de GGD ook erg prettig is dat ze de NEN7510 bij CIIO als combimaatstaf met de ISO9001 kunnen laten toetsen. “We wilden toe naar één certificerende instelling. CIIO was een van de weinigen waarbij dat mogelijk was. Combineer dat met de manier van auditen, en je komt uit bij de reden waarom we voor CIIO hebben gekozen.

Tastbare handvaten

Het is goed dat je door de auditors van CIIO aan het denken wordt gezet. Niet alleen over wat je moet doen, maar juist ook waarom. Daardoor ga je kijken naar een oplossing die past bij jouw organisatie”, zegt Esther. “Hoewel ontwikkelingen en wijzigingen in de norm soms wat eerder en duidelijker gecommuniceerd kunnen worden, wordt er goed met ons meegedacht. De toelichting die we krijgen maken een norm die soms ongrijpbaar en abstract voelt een stuk tastbaarder”, besluit Margot. 

Interview: mei 2023

Andere klantverhalen

Evelien Khandekar en Roelinca Langelaar (Dutch Boosting Group)
“De maatstaf van CIIO hielp ons om de certificering in te richten op een manier die bij onze organisatie past”  
Lees meer
Jarno Voigt en Remmert van Haaften  (Maatschap voor Communicatie)
“CIIO heeft zich echt in ons verdiept en weet zo de norm in de juiste context te plaatsen”  
Lees meer
Miki Peric  (Eneco)
“Flexibele manier van auditen, waarbij de focus echt op ons proces en de daarin te behalen winst lag.”  
Lees meer
Jacqueline Vonk en Eveline Geusen  (Lumens)
"Het gaat ons niet om het diploma, maar om het proces."  
Lees meer