Vandaag was de kick-off van de revisie van de NEN 7510
norm. De NEN7510 normeert informatiebeveiliging in de zorg.
Zorginstellingen zijn vrij om NEN7510 wel of niet te
gebruiken. Maar de inspectie voor de gezondheidszorg gebruikt
NEN7510 als leidraad bij haar handhaving en bij sommige
subsidies wordt NEN7510 als eis gesteld. Daardoor is NEN7510
belangrijk geworden.
De oude versie van NEN7510 schrijft vooral maatregelen
voor, maar zegt ook iets over het proces van
kwaliteitscontrole. Natuurlijk heeft de norm in de loop der
jaren veel kritiek gekregen op de keuze van maatregelen.
Fundamenteler is de kritiek dat er in NEN7510 afgeweken wordt
van de internationale 'moedernormen' waar ze op gebaseerd is:
ISO27001, ISO27002 en ISO27799. Ook zijn die ISO normen
alweer een revisie verder dan de NEN7510. Die ISO normen zijn
veel helderder geworden over de rol van het
'managementsysteem'. Het managementsysteem beschrijft het
proces van analyseren wat er gedaan moet worden en het proces
van controleren op de correcte uitvoering. Die
'kwaliteitscirkel' begint met een risicoanalyse. Dat
managementsysteem wordt vooral in ISO27001 beschreven. De
andere twee beschrijven groepen van beveiligingsmaatregelen
die elke organisatie zou moeten nemen (ISO27002) en
maatregelen die je in de zorg zou moeten nemen (ISO27799). De
oude versie van de NEN7510 norm beschreef zowel een
managementsysteem als groepen van maatregelen. Het
managementsysteem was echter minder goed omschreven dan in de
nieuwere versie van ISO27001.
Nu NEN7510 aan zijn 5-jaarlijkse evaluatie toe is, is er
besloten om de norm te herzien. Op zich een mooi idee. Ik
ging dus vol goede moed naar de informatieochtend van de NEN
over deze revisie en over hoe je aan het revisieproces bij
kan dragen. Het erkennen van de problemen met NEN7510 en het
werk dat bij ISO gedaan is, stemde me hoopvol. Maar in de
loop van de ochtend voelde ik steeds meer onbehagen.
Het eerste onbehagen bekroop me tijdens de algemene
inleiding over NEN7510, gesneden koek. Een mooi moment dus om
te kijken welke definities van 'gegevens', 'beveiliging' en
'management' er eigenlijk gehanteerd worden in de NEN en ISO
normen. Om met de laatste te beginnen: dat is in de normen
een proces dat geheel op beheersing en controle gericht is.
Informatie wordt door de normen benaderd als een weergave van
de werkelijkheid. Beveiliging draait er om dat die
representatie altijd beschikbaar, correct en ook
vertrouwelijk moet zijn. Met mijn achtergrond in de
postmoderne organisatiekunde (ik pleit schuldig), krijg ik
stevige kramp in mijn tenen van zo een opvatting. Als je
organisaties reduceert tot beheersing, gooi je een hele
wereld van verhalen, interacties, kruisbestuivingen en
zelforganiserende dynamiek weg. Hetzelfde geldt voor
informatie: die is een onderdeel van die dynamiek, een manier
om relaties vorm te geven. Informatie is politiek. Het beeld
dat de normen hanteren, gooit een hele leefwereld weg. En
juist in die leefwereld bevindt zich de zelfbeschikking,
juist in die leefwereld is er ruimte voor alternatieve
manieren van organiseren. We zijn desperaat op zoek naar
veranderingen in de zorg. We willen de cliënt weer centraal
zetten en willen de zorg op efficiëntere manieren
organiseren. Als we willen dat de normen aansluiten bij zulke
ontwikkelingen, dan moeten we ze niet schrijven vanuit een
paradigma dat geen ruimte laat voor die veranderingen. Een
revisie is bij uitstek een goed moment om de blik te
verbreden en een stap vooruit te zetten: je kan van NEN7510
een speerpunt van innovatie maken in plaats van een rem.
Als mijn onbehagen daarbij gebleven was, dan had ik er nog
prima mee kunnen leven: Niet iedereen kan immers de voorhoede
van innovatie zijn, een voorhoede bestaat bij de gratie van
een achterhoede. En de achterhoede is een comfortabele plek
voor een normen-instituut. Maar mijn onbehagen nam verder toe
naar aanleiding van een meningsverschil tussen twee
sleutelpersonen in het revisieproces. Een van de leden van de
normcommissie pleitte ervoor om de nieuwe versie van NEN7510
een optelsom te laten zijn van ISO27001, ISO27002 en
ISO27799. Dat betekent dat het managementsysteem en de
beveiligingsmaatregelen aan elkaar gekoppeld worden. Een
adviseur van de NEN had echter een ander verhaal: hij
overweegt om NEN7510 op te splitsen naar twee documenten: een
met het managementsysteem van ISO27001 en een met de
maatregelen uit ISO27002 en ISO27799. Ik denk dat dat die
splitsing noodzakelijk is. Normeren op basis van maatregelen
en normeren op basis van een managementsysteem zijn twee
verschillende paradigma's die onverenigbaar zijn. Of je zegt
dat je een set maatregelen genomen moet hebben om aan de norm
te voldoen. Als je managementsysteem vervolgens iets anders
zeg, dan is dat pech. Of je zegt dat het managementsysteem
voor gaat. Dan zijn je maatregelen slechts versiering.
"Comply or explain" heet dat in de normen wereld: als je
managementsysteem zegt dat een maatregel nutteloos is, dan is
dat prima. De maatregelen zijn dan niets meer dan een lijstje
met aandachtspunten voor je managementsysteem, een kersje op
de taart. Een van de twee paradigma's gaat dus altijd voor,
je moet kiezen. Het idee dat je ISO27002 en ISO27799 bij
ISO27001 kan optellen tot een nieuwe norm, is een drogreden.
Als de normcommissie opnieuw probeert deze optelsom te maken,
dan geeft ze er blijk van niets van het verleden geleerd te
hebben.
Op een eufemistische manier kwam dit punt terug in de
vraag naar omgaan met de termen 'shall' en 'should' uit de
ISO normen: het verschil tussen iets wat moet of iets wat
aanbevolen is. Juist in de keuze voor die twee woorden zit de
kern van de norm: wat moet er altijd zijn (en heeft dus
voorrang boven al het andere) en wat valt onder het 'comply
or explain' regime, dus wat is een kersje op de taart en niet
meer dan dat. Als je bij het vertalen van een norm de
discussie over de vertaling van 'shall' en 'should'
openbreekt, dan ben je de oorspronkelijke norm aan het
verkrachten. Maar als je niet verenigbare normen met elkaar
probeert te kruisen, dan moet je wel…
Alsof mijn onbehagen over de inhoud van de revisie nog
niet genoeg was, begon ik me echt ongemakkelijk te voelen
toen het proces ter sprake kwam. En dan heb ik het er nog
niet eens over dat de NEN zichzelf ten doel stelt om in 2017
de gereviseerde versie van NEN7510 te publiceren: "Je moet
immers je ambitie hoog leggen en niet meteen beginnen met
ruimte creëren. Maar het is wel ambitieus, dus we zetten wel
alvast een vraagteken achter 2017." Dat wordt dus niet voor
2019. Maar daar wil ik het niet over hebben, van zo een
tijdsplanning ga ik me niet onbehagelijk voelen.
Ik begon me pas echt ongemakkelijk te voelen bij de manier
waarop de NEN de participatie in het proces regelt.
Natuurlijk zeggen ze bij NEN dat ze een open proces willen
met een consensus van alle belanghebbenden. Dat is een goed
streven. NEN7510 begint zo invloedrijk te worden dat het
normeringsproces een politieke arena is geworden. De norm
wordt heel bepalend voor hoe er met patiëntgegevens omgegaan
gaat worden. Participatie is een belangrijk middel om te
zorgen dat alle belangen in die arena gewaarborgd worden.
Maar wat zie je van die participatie terug in de praktijk,
hoe wordt 'ie georganiseerd? Deze kick-off meeting was
bedoeld om mensen te interesseren om bij te dragen aan het
proces. De zaal was gevuld met mensen die professioneel met
NEN7510 bezig zijn, ICT'ers, juristen, beleidsmedewerkers en
consultants. Er zat niet één patiënt in de zaal en niet één
zorgverlener. De inspectie voor de gezondheidszorg, het
ministerie voor volksgezondheid en de verzekeraars
schitterden door hun afwezigheid. Maar in de zaal zat wel de
groep waaruit de NEN mensen werft om mee te praten. Op een
vraag uit de zaal wie de belanghebbenden eigenlijk zijn en
hoe de NEN hun participatie veilig stelt, volgde een
beschamend gehakkel: De NEN heeft totaal geen idee.
En de NEN maakt het nog bonter: het moet een open proces
worden waarbij alle belanghebbenden om tafel zitten. Om deel
te nemen hoef je "alleen maar" je tijd en expertise te
investeren. En je krijgt er veel voor terug: netwerk, kennis,
invloed. Uit mijn eigen ervaring met standaard organisaties
kan ik vertellen dat dat klopt. Maar uit mijn eigen ervaring
kan ik ook vertellen dat die tijd en expertise veel geld
kosten. O, ja, daar bovenop moet je ook nog even € 1500,-
euro storten om aan te mogen schuiven. Maar er wordt niet
gegarandeerd dat je dan, letterlijk: "aan de hoofdtafel kom
te zitten". Wie zullen er bereid zijn om zo een investering
van tijd en expertise te doen zodat ze invloed, netwerk en
kennis te krijgen? Dat is gegarandeerd geen representatieve
afspiegeling van de belanghebbenden. Er ontstaat op deze
manier precies het tegenovergestelde van wat met de mond
beleden wordt.
En dat brengt me bij mijn laatste punt, het moment waarop
mijn ongemak echt begon te grenzen aan afkeer: de vraag
waarom er eigenlijk een nieuwe versie van NEN7510 moet komen
en waarom de aanwezigen daarbij betrokken zouden moeten zijn.
Inhoudelijk was er binnen de NEN immers een duidelijke
consensus: de nieuwe versie van NEN7510 moet veel dichter bij
de internationale normen blijven dan de oude. Daarvoor is een
vertaling van ISO27001, ISO27002 en ISO27799 voldoende. Als
je belanghebbenden laat meepraten (en zeker als je mij laat
meepraten), dan krijg je opnieuw een Nederlandse norm die van
de rest van de wereld afwijkt. Ik kan maar één reden bedenken
waarom de NEN toch de route van revisie en participatie
kiest: toen de inspectie voor de gezondheidszorg NEN7510 tot
leidraad verhief, heeft de norm een semiofficieel karakter
gekregen. Daarmee moest de overheid ook bij de NEN voor een
vrije distributie van NEN7510 gaan betalen: een gesloten norm
kan niet die rol vervullen. De ISO normen zijn echter
gesloten en dus niet te gebruiken als leidraad, ze moeten
gewijzigd worden voordat ze in Nederland op dezelfde manier
gebruikt kunnen worden als NEN7510 nu. Het doel van de
revisie is niet het maken van een betere norm, maar het maken
van een norm die dezelfde status kan krijgen als de oude, ook
al gaat dat ten koste van de kwaliteit. Het "open proces met
alle belanghebbenden" is de rechtvaardiging waarom de nieuwe
norm weer dezelfde status zou moeten krijgen als de oude.
De NEN had er voor kunnen kiezen om met de revisie van
NEN7510 een innovatieve sprong voorwaarts te maken. De NEN
had er ook voor kunnen kiezen om NEN7510 te laten vervallen,
ten gunste van ISO27001, ISO27002 en ISO27799. Er wordt
echter gekozen voor een fantasieloze en halfslachtige
revisie. Daarmee starten ze een proces dat onvermijdelijk een
gedrocht gaat opleveren. En dan vragen of ik mijn tijd,
expertise en geld wil investeren zodat de status van NEN7510
wel veiliggesteld kan worden.
Ik pas.