Deel 4 Leveranciersmanagement: eisen leveranciersmanagement

Zoals we hebben gezien heeft de digitaliseringsslag binnen de zorg een grote spurt gekend sinds het uitbreken van de Corona-pandemie. Vanwege de vele fysieke beperkingen zijn er talloze zorgaanbieders die sindsdien beeldbellen met hun patiënten. Vaak was dit geen onderdeel van de dagelijkse praktijk en zijn er soms met enige haast beeldbelapplicaties aangeschaft. Dit is vanwege de haast vermoedelijk vaak gebeurd zonder volledige aandacht voor de informatiebeveiligingsaspecten van de leveranciers.

In de vorige blogs gingen wij al dieper in op de interne business case en het uitzetten van een Request for Information (RFI) of een Request for Proposal (RFP) als onderdeel van leveranciersmanagement. Aangezien de zorgaanbieder zelf verantwoordelijk is voor het leveren van goede (digitale) zorg, moet de zorgaanbieder veel aandacht besteden aan het aspect informatieveiligheid bij het selecteren van een leverancier, onder andere op grond van NEN7510.

Door het gebruik van (standaard) inkoopvoorwaarden en een verwerkersovereenkomst wordt er al de nodige aandacht besteed aan informatiebeveiliging bij het selecteren van een leverancier. NEN7510 bevat echter specifieke eisen, die niet altijd geregeld kunnen worden door inkoopvoorwaarden en/of een bepaalde verwerkersovereenkomst op te leggen. Wel moet eraan voldaan worden door de (nog te selecteren) leverancier.

NEN7510 beschrijft twee beheersdoelstellingen in het kader van leveranciersrelaties:

Informatiebeveiliging in leveranciersrelaties

De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor leveranciers (NEN7510-2:2017, §15.1).

Beheer van dienstverlening van leveranciers

Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven (NEN7510-2:2017, §15.2).

Informatiebeveiliging

Bij de eerste doelstelling komt het erop neer dat er risico’s voor de bescherming van informatie ontstaan, wanneer leveranciers toegang of beschikking krijgen over bedrijfsmiddelen. Vanuit het perspectief van beeldbellen kan hier bijvoorbeeld gedacht worden aan het opslaan van beeldbel-gesprekken op de servers van een leverancier. Een eis kan dan zijn dat de leverancier zulke gesprekken niet mag opslaan op haar servers of, indien dat wel gebeurt, dat alleen de zorgaanbieder er toegang toe heeft en dat de informatie versleuteld wordt opgeslagen.

De drie standaard uitgangspunten om een risicobeoordeling op dit vlak uit te voeren zijn beschikbaarheid, integriteit en vertrouwelijkheid. Voor beeldbellen zal in de meeste gevallen de vertrouwelijkheid van de uitgewisselde informatie het belangrijkst zijn en daarna pas de beschikbaarheid en integriteit. Voor de beschikbaarheid van de dienst kijkt men dan bijvoorbeeld naar het voorhanden zijn van alternatieven of het simpelweg doorschuiven van afspraken. Dit zou anders zijn indien van een medisch expert verwacht wordt dat hij of zij deelneemt via beeldbellen aan een spoedeisende operatie.

Om de eerste doelstelling te behalen zullen er een aantal stappen gezet moeten worden bij de leveranciersselectie.

Stap 1

Stap 1 is om beleid te hanteren met betrekking tot leveranciers. De norm schrijft voor dat de organisatie eisen opstelt en deze met elke leverancier afspreekt. De risico’s die samenhangen met de toegang die de leverancier heeft tot bedrijfsmiddelen worden daarmee verkleind. Met andere woorden: zorg er niet alleen voor dat er duidelijke regels zijn voor de eigen medewerkers, maar leg die regels ook op aan leveranciers.

Stap 2 

Stap 2 schrijft voor dat ‘alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt’. Oftewel: bepaal bij elke leverancier die toegang heeft tot informatie of IT welke beveiligingseisen nuttig zijn. Zorg dat de afspraken netjes worden gedocumenteerd in een contract. Dan kan daar later geen misverstand over ontstaan.

Stap 3

Net zoals leveranciers een risico vormen voor de bedrijfsmiddelen van de organisatie, kunnen onderaannemers van de leverancier ook een risico vormen. Het is daarom belangrijk om óók grip te houden op partijen verderop in de keten. Als derde stap schrijft NEN7510 daarom voor dat contracten met leveranciers eisen moeten bevatten om de risico’s in verband met de toeleveringsketen te beheersen. Hierbij kan onder andere worden gedacht aan een verplichting om eisen die de leverancier op zich neemt ook op te leggen aan andere partijen in de keten.

Beheer van dienstverlening

De tweede doelstelling is erop gericht om een vooraf bepaald niveau van beveiliging en dienstverlening te handhaven, in lijn met de gemaakte afspraken. Deze doelstelling draait dus niet in directe zin om het beschermen van bedrijfsmiddelen van de organisatie, maar meer om het in de gaten houden of de leverancier doet wat hij beloofd heeft. Dit onderwerp zal verder besproken worden in Deel 7 van deze blogreeks.

In het kort komt de tweede doelstelling erop neer dat de dienstverlening van leveranciers regelmatig gemonitord, beoordeeld en geaudit moet worden. Daarnaast moet er regelmatig beoordeeld worden welke veranderingen er zijn geweest in de dienstverlening van leveranciers, welke risico’s daaraan kleven en hoe groot die risico’s precies zijn. Op deze wijze kan tijdig worden bijgestuurd om die risico’s tot een acceptabel niveau te beperken. Voordat men hieraan toekomt zal er eerst een leverancier geselecteerd moeten worden die voldoet aan de gestelde eisen. Volgende week zullen wij daarom ingaan op de selectie van de leverancier.

cta2-webinar-leveranciersmanagement


Deze blog is geschreven in samenwerking met Kors Monster.

Terug naar overzicht