De zorgsector staat voor aanzienlijke uitdagingen: een krappe arbeidsmarkt, een stijgende zorgvraag en toenemende wettelijke verplichtingen. Dit legt druk op zorginstellingen om kosten te besparen, zorgprocessen te verbeteren en te innoveren, terwijl vaak de benodigde gespecialiseerde kennis ontbreekt. Samenwerking met ketenpartijen helpt deze kloof te overbruggen, maar hoe wapen je je tegen de risico’s?
Zorgorganisaties zoeken steeds meer samenwerking met derde partijen. Deze trend zet zich voort: kernprocessen worden steeds vaker uitbesteed aan ketenpartners voor uitvoering of beheer, vooral op het gebied van ICT. Moderne werkplekken worden aanbesteed, elektronische cliëntendossiers (ECD’s) geïmplementeerd, en meer.
Geen enkele zorgorganisatie staat dus nog op zichzelf. Deze afhankelijkheid brengt risico’s met zich mee. Een haperende dienstverlening of uitvallende software kan een kettingreactie veroorzaken die de gehele zorgverlening platlegt. Om dit rampscenario te voorkomen, stelt de nieuwe Europese NIS2-richtlijn dat zorgorganisaties grip moeten krijgen op ketenrisico’s. Maar hoe doe je dat op een pragmatische manier? De volgende zeven stappen helpen je op weg:
1. Governance inrichten
Richt de governance in. Wie wordt verantwoordelijk voor het beheersen van de risico’s van derde partijen? Vaak is dit de COO, CRO of CFO. Onder leiding van deze functionaris wordt een plan opgesteld met duidelijke doelstellingen, scope en de verdeling van rollen en verantwoordelijkheden binnen de organisatie voor het beheersen van risico’s van derde partijen.
2. Vereisten vaststellen
Maak een inventarisatie en bepaal welke interne en externe vereisten worden meegenomen. Er zijn over het algemeen twee soorten: de interne regels die organisaties voor zichzelf opstellen, zoals het informatiebeveiligingsbeleid, en de externe regels die van buitenaf komen, zoals wet- en regelgeving (zoals NIS-2) en industriestandaarden (zoals NEN7510).
3. Overzicht maken van alle derde partijen
Pas wanneer je weet met welke derde partijen jouw organisatie samenwerkt, heb je een volledig beeld van de mogelijke risico’s. Stel daarom een overzicht op van alle derde partijen en lopende contracten. Mogelijk hebben jullie een inkoopsysteem waarmee je deze lijst kunt genereren.
Betrek de personen in de organisatie die contact hebben met deze leveranciers. Zij hebben doorgaans de meeste kennis en ervaring met de desbetreffende dienstverlening en kunnen daardoor de impact van een incident het beste inschatten.
4. Prioriteer derde partijen
Welke derde partijen zijn voor jouw organisatie het meest kritiek? Stel een risicoprofiel op om dit te bepalen. Dit omvat een checklist die je voor elke derde partij doorloopt. Verwerkt de derde partij persoonsgegevens? Heeft de derde partij toegang tot jouw ICT-netwerk? Door deze vragen te beantwoorden, kun je bepalen welke partijen als eersten worden onderworpen aan een analyse en hoe diepgaand deze analyse moet zijn. Het is immers van belang om de risico’s van de meest kritieke leveranciers als eerste aan te pakken!
5. Due diligence uitvoeren
Gebruik de prioritering uit stap 4 als leidraad voor het starten van due diligence activiteiten. Begin met het testen van de meest kritieke ICT-leveranciers door het versturen van een vragenlijst en het opvragen van bewijsstukken zoals certificaten. Je kunt standaard vragenlijsten gebruiken die gebaseerd zijn op industriestandaarden zoals NEN7510 of ISO, of je kunt een eigen vragenlijst ontwikkelen. Indien nodig kun je dieper graven door inspecties of externe audits te laten uitvoeren.
6. Risico’s mitigeren
Doorloop de risico’s die uit het due diligence onderzoek naar voren zijn gekomen. De risico’s die voor jullie organisatie onaanvaardbaar zijn, vereisen onmiddellijke actie: mitigeren en terugbrengen naar een acceptabel niveau. Documenteer dit proces goed en informeer belanghebbenden binnen de organisatie en bij de derde partij.
7. Continue monitoring
Het beheren van risico’s van derde partijen is een doorlopend proces. Het ketenlandschap van jouw organisatie verandert voortdurend of breidt zich uit. Zorg ervoor dat de lijst van derde partijen up-to-date blijft in lijn met deze ontwikkelingen en dat je deze partijen regelmatig monitort. Als een van de ketenpartners negatief in het nieuws komt door bijvoorbeeld een cyberincident of financiële problemen, kun je hierop tijdig anticiperen en contact opnemen. Gebruiksvriendelijke tooling helpen je om dit proces moeiteloos bij te houden.
Tot slot: enkele adviezen ter overweging
>Kies een schaalbare, multidisciplinaire aanpak
Zorg ervoor dat de aanpak die je kiest kan meegroeien met je organisatie. Veel zorgorganisaties werken samen met honderden kritieke derde partijen. Daarnaast zijn het niet alleen cyberrisico’s, maar bijvoorbeeld ook duurzaamheidrisico’s die in kaart gebracht moeten worden. Dit vergt een aanpak die dergelijke aantallen aankan en multidisciplinair is.
>Voorkom een afvinkcultuur
Probeer te vermijden dat medewerkers alleen maar lijstjes afvinken zonder echt te begrijpen wat de risico’s zijn. Het is belangrijk dat iedereen die wil samenwerken met derde partijen de risico’s begrijpt en actief meedenkt over oplossingen om risico’s acceptabel te houden. Dit betekent dan ook dat medewerkers actief betrokken moeten worden bij het beoordelen en beperken van risico’s.
>Vertrouw niet op simpele indicatoren
Ketenrisico’s laten zich niet vangen in een simpel getal, ook al willen sommige leveranciers van cybersecurityratings dit ons graag laten geloven. Inzicht in derde partijen risico’s krijgen vraagt een grondigere aanpak.
>Blijf weg van spreadsheets
Vermijd spreadsheets voor het beheersen van derde partijen risico’s. Ze zijn vaak foutgevoelig en moeilijk actueel te houden. Investeer liever in een pragmatische aanpak, eventueel ondersteund door betaalbare technologie die het werk automatiseert en makkelijker maakt.
Lees ook: NIS2-forum – werk aan de winkel
