Interview
Kim Loohuis
Tekst:
Kim Loohuis
Verwachte leestijd: 5 min

Crisiscoördinator Máxima MC: ‘Uitval van ICT is een van de grootste redenen tot zorg’

Hoog in de risico-top-tien van Máxima MC (MCC) in Veldhoven en Eindhoven staat de uitval van ICT-systemen. “Dat is breder dan alleen de uitval van systemen door een cyberaanval”, zegt Marijke Koekkoek, adviseur integrale veiligheid en crisiscoördinator bij MMC. “Natuurlijk horen we over cyberincidenten bij andere ziekenhuizen en vergelijkbare overheidsinstanties, maar wij zijn misschien nog wel meer bang voor een onbegrepen, technische storing in de IT-systemen.”

Marijke geeft het voorbeeld van een incident dat zich enige tijd geleden voordeed in het ziekenhuis waarbij er problemen waren met medische beelden die verloren leken te zijn. “Dat konden we uiteindelijk gelukkig snel oplossen, maar zo’n voorval drukt je weer even met je neus op de feiten over hoe ontzettend afhankelijk we van onze IT-systemen zijn, en hoe belangrijk het is voor onze zorgdienstverlening dat die systemen bereikbaar zijn en blijven.”

Welke rol heb jij in zo’n situatie en hoe werk je samen met anderen binnen MMC?
“Het is mijn werk om risico’s te onderkennen en een plek te geven in de risicoanalyse. Daaruit komt een lijst met risico’s waarvan we op de top-tien zoveel mogelijk mitigerende acties proberen op te zetten. De uitval van ICT staat hoog in de top-tien, dus de IT-afdeling moet daar vervolgens mee aan de slag. Maar ik werk ook samen met bijvoorbeeld de information security officer die zich bezighoudt met de informatieveiligheid binnen het ziekenhuis.”

En met welke partijen buiten het ziekenhuis heb je contact?
“We oefenen samen met de andere ziekenhuizen die zijn aangesloten bij SURF, maar we doen ook oefeningen met de ziekenhuizen in dezelfde traumaregio. Voor ons is dat ROAZ-Brabant (NAZB). De OTO-cyclus voeren we onder andere uit voor het scenario waarin ICT-systemen uitvallen. Dat is heel interessant en levert waardevolle lessen op waarin we ook van elkaar leren. Zeker met instellingen die dezelfde provider en netwerkbeheerders hebben.

Het Máxima MC oefent veel met andere ziekenhuizen in dezelfde traumaregio

Soms zijn de oefeningen wat meer gericht op het technische deel en vanuit het ROAZ zijn ze vaak wat meer beleidsmatig. Het zou wel wenselijk zijn als beleids- en technologie-oefeningen wat meer in elkaar vervlochten zouden zijn, zodat je meer gebruik kunt maken van elkaars expertise. Vooralsnog is dat niet het geval.”

In 2021 gooide corona roet in het eten van de OZON-oefening vanuit SURF. In 2019 namen jullie wel deel. Wat was destijds de belangrijkste take-away voor jullie uit die oefening?
“Met name dat onze preparatie nog niet volledig op orde was. Dat wisten we al, maar de oefening maakte inzichtelijk waar en hoe we konden verbeteren. Een andere belangrijke les, waar we momenteel een project voor hebben lopen, was dat je ervoor moet zorgen dat de mensen die als eerste met het technische deel aan de slag moeten, ook begrijpen wat de impact van het incident op de werkvloer is. We kwamen erachter dat het cruciaal is om een intermediair te hebben die in staat is om de impact van een incident te bepalen voor de zorg, mét de zorg. Daardoor kan de technicus zijn werk doen, maar wordt er ook voldoende en voldoende snel geacteerd op de gevolgen voor de zorg. Bij die OZON-oefening kregen we echt de meerwaarde van een crisiscoördinator en informatiemanager naar boven. Wij zijn de linking pin die kunnen bekijken wat er operationeel aan de hand is, welke gevolgen dat heeft op de zorgafdelingen en wat dit betekent voor de tactische en strategische besluitvorming.

De volgende oefening van SURF vindt plaats in maart 2023. Daar doen we zeker aan mee. Onze OTO-cyclus staat in dat jaar zoveel mogelijk in het kader van ICT-uitval. Dat betekent niet dat we andere zaken niet oefenen, maar wel dat onze grote oefeningen dat als scenario hebben. We willen verder aan de slag met de uitdaging om de verbinding te leggen tussen de technische en zorgafdelingen. Dat doen we dit jaar al in een project met de beveiligings- en technische teams, waarbij zij leren om samen die zorgimpact-analyse te maken en te kijken waar we zitten op de escalatieladder. De bedoeling is om meer en sneller te kunnen samenwerken bij een incident zonder dat er een wij- en zij-cultuur ontstaat. In de oefeningen ligt de focus dan ook vooral op samenwerken, communicatie, coördinatie en verbindingen liggen; meer nog dan op het onderliggende scenario.”

Je vertelde dat er een incident is geweest met medische beelden. Evalueren jullie zo’n crisis achteraf en hoe doe je dat?
“Iedere crisis, hoe groot of klein ook, wordt bij ons geëvalueerd. Dat gebeurt in de basis door de betrokken crisiscoördinator. Vaak ben ik dat, maar ik kan zoiets niet alleen. Ik heb daarbij expertise nodig uit het ziekenhuis zelf. Soms wordt er een externe partij betrokken voor de evaluatie of doen we dat samen met de veiligheidsregio.

'We evalueren elke crisis, groot of klein'

Zo hadden we begin dit jaar een calamiteit met chemische stoffen. Dat is vervolgens uitgebreid intern en extern geëvalueerd. Uit de evaluaties komen leerpunten die in de organisatie worden belegd. Na zes weken doen we een follow-up en als dan blijkt dat alle punten goed zijn belegd, ronden we het incident formeel af. Maar ook niet eerder dan dat. Evaluaties zijn vaak omvangrijk, want je hebt met veel verschillende partijen te maken tijdens een crisis. Maar dat is juist het leuke van mijn vak. Ik kom overal en ik spreek iedereen.”

Heb je een apart crisisplan voor een cyberincident of maak je daarvoor gebruik van je bestaande plannen en draaiboeken?
“Bij MMC hebben we een integraal crisisplan waarbij we iedere crisis op dezelfde manier aanvliegen. Daarnaast hebben we scenariokaarten waarop aandachtspunten staan binnen bepaalde scenario’s. Die kaarten geven de informatiemanagers handvatten om direct in actie te komen zonder dat ze zelf over een aantal basisdingen na hoeven te denken. Daarop staan ook de belangrijke telefoonnummers.”

Hoe bereid je je nog meer voor op een cybercrisis?
“We hebben een deel technische voorbereiding, de informatiebeveiliging moet op orde zijn, een goede firewall is noodzakelijk en je moet goed op de hoogte blijven van risico’s zoals die regelmatig worden gedeeld door Z-CERT. Daarnaast is het heel belangrijk om de juiste mensen in huis te hebben die deze risico’s kunnen duiden en kunnen inschatten wat het betekent voor jouw ziekenhuis.

Er komt ook een stukje aanspreekcultuur bij kijken. Het is belangrijk dat we elkaar binnen het ziekenhuis scherp houden en durven aanspreken wanneer er schermen openstaan of geen beveiligde mail is gebruikt. Het hoort bij mijn functie om veiligheidsrondes te lopen. Sommige zijn gebaseerd op audits, maar soms krijg ik ook vragen van afdelingen of ik al dan niet aangekondigd een blik wil werpen. Dan let ik inderdaad op openstaande beeldschermen, rondslingerende pasjes en hoeveel medewerkers zelf weten, bijvoorbeeld van de noodprocedure voor het opstarten van het EPD. We wijzen daarbij ook echt op de eigen verantwoordelijkheid van de medewerkers.”

Met wie werk je samen op dit gebied?
“We hebben in MMC een functionaris OTO/BHV die zich bezighoudt met praktisch en operationeel oefenen in heel brede zin. We huren dus geen BHV-instructeur in, maar hebben heel bewust gekozen om zelf iemand in dienst te nemen die vanuit onderwijskundig perspectief heel breed allerlei oefeningen kan verzorgen. Niet alleen is het budgettair aantrekkelijk om iemand in dienst te hebben, maar een interne functionaris is ook echt op de hoogte van hoe ons ziekenhuis reilt en zeilt. Dat is ontzettend fijn. Daarnaast werk ik veel samen met bijvoorbeeld mijn collega van Kwaliteit, Arbo en Milieu, en specifiek voor cyber natuurlijk met de ICT-afdeling, de ISO en de Functionaris Gegevensbeheer.

'We vallen direct onder de raad van bestuur'

Het mooie van onze crisisafdeling is dat we direct onder de raad van bestuur vallen. We zijn echt beleidsadviserend over het grote geheel. Dat betekent dat we niet gebonden zijn aan een vak- of zorggroep of ander onderdeel van het ziekenhuis, zodat iedereen gebruik kan maken van ons en we algemeen zichtbaar zijn.”

Wat zijn je grootste uitdagingen op dit moment?
“Na de coronapandemie lopen we enorm achter. In alles. Dat betekent niet alleen dat verpleegafdelingen veel zorg moeten inhalen, maar ook dat de ICT-afdeling achterloopt met trainingen en projecten. Dat is heel begrijpelijk, maar baart me wel zorgen. We hopen dat we komend jaar kunnen gaan oefenen met ICT-uitval en het lopende project uit kunnen breiden om nog meer de samenwerking tussen verschillende disciplines te versterken. Daarin maken we veel gebruik van kennisuitwisseling met andere ziekenhuizen, met name uit het mProve-netwerk waar we onderdeel van zijn.

'We wisselen kennis uit via het mProve-netwerk'

Dat netwerk bestaat uit zeven ambitieuze topklinische ziekenhuizen die samenwerken aan merkbaar betere zorg door innovatieve toepassingen. Dat geldt onder meer voor onze inspanningen binnen de veiligheidsdivisie, waar we bijvoorbeeld gebruikmaken van virtual en augmented reality, maar ook voor de manier van leren. We kijken binnen OTO echt naar wat iemand nodig heeft. We hebben vrijwel geen klasjes meer waar mensen ingezet worden, maar proberen opleidingen, trainingen en oefeningen zoveel mogelijk blended en individueel in te richten.”

MMC gebruikt virtual en augmented reality om crises te oefenen? Vertel daar eens meer over.
“De technici die bijvoorbeeld gaan oefenen met een uitval-van-ict-scenario, krijgen een HoloLens waarop met video en foto’s het scenario in beeld wordt gebracht waarop ze vervolgens moeten reageren. Het voordeel van het werken met AR en VR is dat mensen veel meer echt in het incident, of eigenlijk de oefening, worden getrokken.

Met virtual reality worden de deelnemers meer de oefening ingetrokken

Er wordt veel meer adrenaline aangemaakt en het wordt als levensechter beschouwd, waardoor de opbrengst van de oefening hoger is. Hiermee leren we onze medewerkers ook om de koppeling van een technische crisis naar de werkvloer te maken. We kunnen met behulp van deze technologie ook verschillende scenario’s laten ontvouwen, waarbij de medewerker in een situatie een drietal keuzes krijgt. Maakt hij een verkeerde keuze, dan wordt direct teruggekoppeld waarom deze keuze nu niet valide is. Deze vorm van oefenen doet echt iets met je en ik zie er enorme meerwaarde in.”

Stel dat ik je volgend jaar rond deze tijd opnieuw bel, waar hoop je dan te staan?
“Ik hoop dat we dan de eerste vruchten zien van het project waarmee we nu bezig zijn. Dat de mensen die het in het eerste uur van de crisis moeten doen – de beveiligers, technische dienst, ICT’ers – een impactanalyse kunnen maken en in ieder geval gevoel hebben ontwikkeld voor wat de crisis betekent voor de operationele werkvloer. Ik wil dat ze dan een goede overdracht kunnen doen aan degene die het moet opvolgen, zodat we geen vertraging meer hebben. Als ik de operationele processen meer in verbinding krijg met elkaar, dan zijn we een heel eind verder.”

07 juni 2022