Veilig digitaal delen van gezondheidsdata Three Lines of Defence

 

Het ‘Three Lines of Defence’ model

Het ‘Three Lines of Defence’ model is een veel beschreven methode om aan stakeholders te laten zien dat de organisatie in control is. Het model is toe te passen op de verschillende controle functies die binnen zorgaanbieders aanwezig zijn. Bijvoorbeeld op patiënt veiligheid, kwaliteit, medische apparatuur, informatiebeveiliging, juridisch, voeding en finance. In de onderstaande toelichting richten wij ons op informatiebeveiliging.

 

Eerste lijn.

Uitgangspunt bij het ‘Three Lines of Defence’ model is dat het lijnmanagement verantwoordelijk is voor haar eigen processen. In de hedendaagse zorgaanbieders past dit goed bij de verantwoordelijkheden die bij teams worden neergelegd. Teams kunnen zelf veiligheidsrondes uitvoeren, elkaar op gedrag aanspreken, elkaar op de hoogte houden van veranderingen en gebeurtenissen, en elkaar trainen en opleiden.

 

Tweede lijn

De tweede lijn ondersteunt, adviseert, coördineert en bewaakt de eerste lijn. Of het lijnmanagement haar verantwoordelijkheden ook daadwerkelijk neemt. De tweede lijn heeft ook beleidsvoorbereidende taken. En verzorgt risico assessments met de organisatie. Deze taken komen overeen met de High Level Structure waar standaarden als de ISO27001 en de NEN7510 gebruik van maken.

 

Derde lijn

De derde lijn controleert of de samenwerking tussen de eerste en tweede lijn soepel functioneert. En of er geen blinde vlekken zijn. Deze taak is vaak belegd bij een pool van interne auditoren die de periodiek controles uitvoeren. Waarbij interne auditoren over de kennis en kunde beschikken om een processen, applicaties en systemen te beoordelen. Waar dit niet mogelijk is wordt vaak gebruik gemaakt van een externe auditor.