Door Anoniem: Merkwaardige conclusie dat het Spaarneziekenhuis bijna volledig voldoet aan de ISO 27001-norm.
Diginotar kwam ook door audits heen. Wat ik, toen ik ooit als ontwikkelaar voor een bank werkte, van audits merkte was dat ik soms door een accountant als KPMG of door DNB geïnterviewd werd. Maar controleerde men ook of wat beweerd werd ook echt zo geïmplementeerd was? Of mensen zich werkelijk aan de procedures hielden die keurig op papier stonden? Ik weet niet hoe ver het precies ging, maar beslist niet zo ver dat ze op de werkvloer rondliepen om te zien hoe dingen echt gaan. Een audit zegt niet alles.
Door jefdom: het lijkt dat het personeel van die instellingen de boel maar op zijn beloop laat,of erger nog ze maken het voor hunzelf gemakkelijk [...] gewoon omdat mensen gemakzuchtig of gewoon lui zijn.groetjes dejef
Ik kan me dat eigenlijk wel voorstellen. Van iemand die werkte bij het Anthonie van Leeuwenhoekziekenhuis (dat is gespecialiseerd in kanker) hoorde ik ooit dat de omgangsvormen daar, ook bij het personeel onderling, uitermate voorkomend en vriendelijk waren. Dat kwam omdat ze zo met patienten omgaan. Die hebben door hun ziekte de emotionele klap van hun leven te verwerken, en zijn behalve fysiek ook mentaal heel kwetsbaar. Dat straalt uit op alles wat daar gebeurt. De mentaliteit die je nodig hebt om beveiliging goed te doen is behoorlijk paranoïde, dat gaat niet om het opbouwen van een sfeer van veiligheid en onderling vertrouwen maar om uitgaan van de mogelijkheid van misbruik en je daartegen wapenen. Dat zijn tegengestelde manieren van met de werkelijkheid om je heen omgaan. Voortdurend heen en weer schakelen tussen wantrouwen en vertrouwen lijkt me slopend, petje af voor wie dat kan en volhoudt. Verslijt dat niet voor gemakzucht of luiheid, daar is iets heel anders aan de hand.
Dat bescherming van de privacy van patiënten voor artsen ook onderdeel van hun werk is is duidelijk, maar dat neemt niet weg dat de kloof tussen die twee mentaliteiten moeilijk te overbruggen is. Zijn er authenticatie- en autorisatiesystemen denkbaar die transparant genoeg werken om niet genegeerd te worden? Polsbandjes met een RFID-chip en een werkstation dat daarop reageert (en dus op de handen van de arts lijkt te reageren) en per opvraging of wijzinging van gegevens kijkt of er wel iemand zit te typen die die gegevens op mag vragen, ik roep maar iets wilds. Als de arts dan wegloopt kan de patient niets nieuws opvragen, en de arts hoeft er op het dragen van het polsbandje na niets voor te doen. Niet waterdicht, maar wellicht een stuk beter dan een systeem dat volledig genegeerd wordt.