Technology To Serve (TTS) is als leverancier van Care2Declare een belangrijke softwareleverancier in de zorg. Als gebruikers van care2Declare werken onze klanten – en wij – met veel gevoelige informatie. Het is dan ook vanzelfsprekend dat de overheid de NEN7510 normering oplegt om het hoogste niveau van informatiebeveiliging te waarborgen. TTS is door de certificering een denkproces ingegaan over wie wat doet. Dit proces van idee tot uitvoer duurde in totaal twee jaar en het leidde onder andere tot uitbesteding van ons werkplekbeheer, een verhuizing naar een andere stad en tot vele inzichten op het gebied van klantfocus, het onderling samenwerken en kunnen vertrouwen i.p.v. alles moeten controleren. Ik kan het normeren van je organisatie dan ook van harte aanbevelen.
Als je begint met ondernemen, dan staat een certificering niet als eerste op je takenlijst. In mijn geval ben ik bezig met goede zorgsoftware ontwikkelen voor mijn klanten. Zorgondernemers werken aan mooie zorgproducten en het helpen van mensen. Je bent bezig met wat er voor die dag op de agenda staat, je bedient klanten, bouwt software, levert diensten. En vervolgens ontdek je dat je ook moet voldoen aan bepaalde certificeringen, zoals NEN 7510. Gatverdamme!
Medische gegevens beschermen
Je moet je realiseren dat wij als organisatie controleerbaar moeten zijn en processen inzichtelijk vastgelegd moeten zijn. In NEN 7510 zijn dan ook richtlijnen en uitgangspunten opgenomen die maatregelen voor zorginstellingen en andere informatiebeheerders bepalen, instellen en handhaven. Allemaal om de informatievoorziening en dan voornamelijk de persoonlijke medische gegevens van alle patiënten te beveiligen.
Alleen heeft de certificering binnen TTS tot nog veel meer geleid dan het controleerbaar maken van de organisatie en processen. We hadden gewoon de checklist kunnen aflopen, maar we werden ons door het proces bewust dat we onze keuzes voor organisatie-inrichting beter willen kunnen onderbouwen. Ik wilde dit uitlegbaar maken naar alle collega’s en leveranciers. En toen kwamen we regelmatig tot de conclusie dat we sommige activiteiten toch beter niet zelf konden doen, bovenal omdat andere bedrijven die gewoon veel beter kunnen en onvoldoende waarde opleveren voor onze klantfocus als we het zelf blijven doen.
Uitbesteden werkplekbeheer
Denk bijvoorbeeld aan werkplekbeheer. Je kunt je niet voorstellen hoe druk we daarmee waren. Je moet daar resources aan toewijzen, continu zelf kennis bijhouden over welke omgeving het beste is voor onze medewerkers, we moesten interne controles houden, onze medewerkers die zich bezighielden met systeembeheer aansturen en als het dan fout ging, zelf de oplossing zoeken. Het risico en besteedde tijd en geld aan iets dat niet onze core business is, was direct genormaliseerd na uitbesteding.
We hebben besloten om ons werkplekbeheer uit te besteden aan KPN en dat werkt. Door onze partner KPN is dat volledig veilig. Zij zorgen ervoor dat alles blijft draaien, up-to-date is en dat we niet kwetsbaar zijn voor aanvallen zoals WannaCry, het ransomwarevirus dat de ronde deed. Maar nog mooier is de ‘onverwachte extra’s’ die we hier voor ontvingen. Het uitbesteden is niet alleen goedkoper, veiliger en makkelijker. We hebben nu zonder problemen en vrijblijvend een ‘bring your own device’ beleid kunnen instellen, waardoor iedereen vrij is om te werken met zijn eigen mobiele apparaten.
Cultuur is bepalend voor wat klanten van je vinden
Al met al heeft de certificering van NEN 7510 dus niet alleen maar geleid tot het inzichtelijk maken van onze processen en het verhogen van ons niveau van informatiebeveiliging. Het heeft ook bijgedragen aan bewustwording en de bedrijfscultuur omtrent informatiebeveiliging. En die cultuur is veel sterker dan afspraken maken op procesniveau. Cultuur is heel bepalend, niet alleen voor de sfeer op kantoor, maar ook voor wat klanten van je vinden.
De cultuurverandering leidde ertoe dat we ons nu nog gerichter bezighouden met het ontwikkelen van zorgsoftwareproducten en -diensten. Maar ook dat mijn collega’s meer betrokken zijn bij de organisatie en zelf nadenken of een bepaalde ontwikkeling bijdraagt aan hun kerntaken. Niet in de laatste plaats hebben we meer tijd en aandacht over om te besteden aan menselijk contact: met elkaar, maar vooral met onze klanten. En dat is natuurlijk waar we het uiteindelijk allemaal voor doen.