Een noodplan dat in een lade ligt, redt geen patiënt
Je kan een noodplan hebben en op de dag van een incident toch onvoorbereid zijn. Dat is geen theoretisch risico, maar de realiteit wanneer procedures netjes zijn opgesteld, maar daarna nooit meer worden aangeraakt.
Een noodplan geeft de board vaak comfort. Er is nagedacht over verschillende noodscenarios, alles is beschreven en er wordt jaarlijks over gerapporteerd. Het verschijnt op het juiste moment bij de juiste audit en het verdwijnt daarna weer in de spreekwoordelijke schuif.
Tot op het moment dat er effectief iets fout loopt. Een kritische service die faalt, een aanvaller die binnen geraakt , de wifi in een operatiekwartier dertig minuten plat ligt of het personeel dat plots niet meer weet welke patiënt op welke kamer ligt.
In de derde aflevering van de Cyfora podcast gaat Raf Van der Veken (Managing Partner bij Cyfora) in gesprek met Maarten Walravens, adjunct van de hoofdarts en noodplancoördinator in het AZ Sint-Maarten ziekenhuis in Mechelen. Maarten ziet dagelijks wat er gebeurt wanneer technologie hapert in een omgeving waar zorg niet kan stoppen. Zijn perspectief is bruikbaar ver buiten de zorgsector.
Beluister of lees het volledige gesprek hieronder.
Een noodplan dat enkel leeft op papier is geen noodplan
Veel organisaties hebben een noodplan, maar het bestaan ervan is niet hetzelfde als een organisatie die voorbereid is wanneer het effectief fout loopt.
"Het is niet omdat je op papier een noodplan hebt, dat je in orde bent", zegt Maarten. "Het geeft een vals gevoel van veiligheid. Je hebt het nooit getest, het is niet gedragen, het is niet gekend."
Hij maakt het vergelijk met de brandweer. Een brandweerman trekt elke dag uit op een interventie. Die routine bouwt een reflex. Met een IT noodplan werkt het zelden zo: een plan wordt geschreven, ergens opgeborgen, en hooguit één keer per jaar getest. En dan vraagt u mensen onder druk om iets uit te voeren dat ze (n)ooit hebben gelezen. Dat werkt niet.
Een cyberincident in een ziekenhuis is nooit alleen een IT probleem
De gevaarlijkste reflex in een crisis is de verantwoordelijkheid afschuiven op de IT afdeling: "het zit bij IT, zij moeten het maar oplossen." In een ziekenhuis, maar in eender welke andere organisatie, is dat een foute ingesteldheid.
Een incident raakt onmiddellijk de zorgvloer, de planning, het patiëntencontact, de externe communicatie, de facturatie. Maarten beschrijft hoe medewerkers evengoed signalen kunnen oppikken, vaker zelfs eerder als de IT afdeling. Dat werkt natuurlijk alleen maar als de hele organisatie samenwerkt en er een gevoel van verantwoordelijkheid is.
"Als je het gaat zien als enkel een IT-probleem, dan is er een probleem", zegt hij.
Niet voor alle systemen bestaat geen backup.
Het idee leeft vaak binnen een organisatie dat er voor alles een backup bestaat.. Voor veel processen klopt dat. Maar tussen een backup hebben en operationeel kunnen werken zonder een primair systeem zit een wereld van verschil.
Maarten geeft het voorbeeld van het elektronisch patiëntendossier. In de eerste versie van hun nooddossier werd het volledige dossier afgedrukt. Voor een vijfjarige patiënt was dat hanteerbaar. Voor een tachtigjarige met jaren aan zorggeschiedenis kwam er zestig tot honderd pagina's uit de printer. "Operationeel niet bruikbaar", vat hij samen.
Een backup oplossing die in een crisis niet werkbaar blijkt, is geen backup. Het geeft slechts een vals gevoel van veiligheid. De vraag is vooral, wat doen we als onze primaire systemen uitvallen en niet spoedig herstelt kunnen worden: wat printen we wel, wat niet, welke afdeling krijgt voorrang, wie beslist daarover om vier uur 's nachts? Dat zijn vragen voor het management, niet enkel voor de IT afdeling .
Eén plan dekt geen zes scenario's
"Je kan niet voor elk scenario een noodplan schrijven." Een uitspraak die soms ongemakkelijk aanvoelt, maar wel klopt. Wie elk denkbaar incident in een aparte procedure probeert op te vangen, maakt een collectie van procedures die nooit iemand echt gaat gebruiken wanneer ze effectief nodig zijn.
Wat wel werkt: een vaste crisisstructuur, een operationele én strategische cel, en mensen die getraind zijn om te handelen in een onzekere context. "Je moet een zekere veerkracht hebben, een zekere flexibiliteit", zegt Maarten. Veerkracht een capaciteit die men opbouwt door herhaling.
Daarom oefent zijn ziekenhuis bij elke geplande IT update. Een wifi-update van vijf minuten wordt aangekondigd als een uitval van een half uur, en het personeel schakelt in die tijd over op de noodprocedure. Niet omdat het moet, maar omdat het de enige manier is om een procedure top of mind te houden.
Communicatie is de eerste lijn van crisismanagement
"Als je niet communiceert, gaat men freewheelen." Het klinkt eenvoudig, maar in een crisis is het exact waar veel organisaties tegen aan lopen. Mensen krijgen geen sturing, gaan zelf interpreteren, en de versnippering wordt zwaarder dan het incident zelf.
Maarten benadrukt twee dingen.
Communicatie moet klaar liggen en mag niet geimproviseerd worden. Standaardberichten liggen klaar waarbij enkel de specifieke details nog moeten ingevuld worden.
Communicatie vraagt redundantie. Bij een cyberincident verdwijnen communicatiekanalen als e-mail en intranet vaak als eerste. Wie alleen daarop steunt, staat op het moment van de crisis stil.
En extern? Recente voorbeelden uit de zorg en daarbuiten tonen het aan: u moet zo snel mogelijk uw patiënt of klant kunnen bereiken. Wie te laat is met communiceren, verliest het vertrouwen van zijn klanten en business partners.
Onder druk volgt de mens geen procedure, tenzij die in zijn hoofd zit.
Procedures worden geschreven in rust, maar moeten worden uitgevoerd onder stress. Dat is een wereld van verschil.
"Als je dat niet top of mind krijgt, dan gaat men in stress freewheelen", zegt Maarten. Dat is geen falen van de medewerker. Het is een falen van de organisatie die ervan uitgaat dat een procedure altijd gekend is en onder alle omstandigheden gevolgd zal worden.
Wie wil dat mensen handelen, moet ze trainen. Niet één keer per jaar, niet via e-learning, maar via momenten waarin het ook een beetje pijn doet. Daarom moet ook het management de digitale infrastructuur in grove lijnen kennen. Niet om hands-on mee te werken, maar wel om in een crisis te begrijpen welke beslissing welk gevolg heeft. Cybersecurity is daarmee niet alleen een technisch verhaal, het is er ook voor zorgen dat in kritieke situaties de juiste keuzes worden gemaakt om de organisatie te laten draaien.
Voorbereiden is een keuze. Reageren is een gevolg.
Veel organisaties hopen dat ze tot de volgende audit geraken. Een polis is afgesloten, een procedure is geschreven, een vinkje is gezet. Op de dag van het incident telt geen van die drie. Wat telt is wat uw mensen kunnen doen, hoe snel ze het doen, en of uw organisatie genoeg getraind is om beslissingen te nemen zonder eerst consensus te zoeken.
"Zero risk bestaat niet", zegt Maarten. Dat is geen excuus om de oefening te ontlopen, maar juist de reden om er beter in te worden. Voor-alarmering vanuit de overheid ernstig nemen. Continu meten in plaats van jaarlijks afvinken. En vooral: de organisatie zo bouwen dat ze blijft draaien wanneer iets onvermijdelijk zich voordoet.
"Digitale maturiteit begint bij nieuwsgierigheid en niet bij kennis", sluit Maarten af. Het is misschien de meest bestuurlijke uitspraak van het hele gesprek. Wie als bestuurder de juiste vragen blijft stellen, bouwt iets duurzamer dan wie alleen op de juiste antwoorden vertrouwt.
De verantwoordelijkheid stopt niet bij IT.
Behandel een noodplan dus niet als een document dat nodig is voor een audit, maar als een garantie op de operationele werking van de organisatie.
Cyfora helpt organisaties om zich voor te bereiden voor de moment dat een incident zich effectief voordoet. We maken de vertaalslag van technische risicos naar operationele controle. Geen "check in the box" security, wel aantoonbare maturiteit. Niet "we hebben iets geregeld", wel "we kunnen blijven draaien".
De eerste stap is om te weten waar men staat. Neem contact met ons op voor een vrijblijvend gesprek.