Informatiebeveiliging ziekenhuizen voldoet (nog steeds) niet aan de norm
Toezichthouders CBP en IGZ wijzen op risico’s voor zorg en privacy
In een vandaag gepubliceerd onderzoek naar de informatiebeveiliging in ziekenhuizen concluderen het College bescherming persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) dat geen van de twintig onderzochte ziekenhuizen aan de norm voor informatiebeveiliging voldoet. Zo wordt informatiebeveiliging niet systematisch geregeld, is de verantwoordelijkheid voor de beveiliging onvoldoende ingebed in de organisatie en is de toegang tot patiëntgegevens onvoldoende afgeschermd. Dit kan ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patiënten.
De ziekenhuizen moeten een plan van aanpak opstellen waaruit blijkt hoe en op welke termijn zij wel aan de norm gaan voldoen. Als de inhoud van de plannen van aanpak daartoe aanleiding geeft, zal handhavend worden opgetreden.
Het CBP en de IGZ concluderen in hun onderzoek dat in ziekenhuizen maar zeer beperkt bewustzijn is van de risico´s van onvoldoende informatiebeveiliging. Het merendeel van de ziekenhuizen neemt dan ook te weinig maatregelen om de informatiebeveiliging zeker te stellen. Door patiëntgegevens onvoldoende te beveiligen, ontstaan aanzienlijke risico’s voor de zorg aan en de privacy van de patiënt. Zo kan onzorgvuldig omgaan met inloggegevens ertoe leiden dat ongeautoriseerde medewerkers toegang hebben tot privacygevoelige gegevens van patiënten.
Het onderzoeksrapport bevat een praktijkvoorbeeld waarbij meerdere medewerkers die geen behandelrelatie hadden met een patiënt, te weten de voorzitter van de Raad van Bestuur van het ziekenhuis, zich toegang hadden verschaft tot zijn elektronisch medisch dossier.
Informatiebeveiliging in de zorg betreft zowel het toezichtsdomein van het College bescherming persoonsgegevens (CBP) als de Inspectie voor de Gezondheidszorg (IGZ). Om die reden hebben de toezichthouders het onderzoek gezamenlijk uitgevoerd op grond van het samenwerkingsprotocol tussen het CBP en de IGZ. Voor het onderzoek is gebruik gemaakt van de NEN7510-norm die in 2004 is vastgesteld voor informatiebeveiliging in de zorgsector.
Nauwelijks verbetert sinds 2004
Eerder was er in 2004 bij 10 grote en 10 kleine ziekenhuizen een dergelijk onderzoek uitgevoerd. Resultaat was toen zeer slecht. Op basis daarvan is die NEN7510 geschreven en verplicht gesteld om per 2007 ingevoerd te zijn binnen de ziekenhuizen. Om het praktisch uitvoerbaar te maken is de NEN7511-1, NEN7511-2, NEN7511-3 en de NEN7512 daaraan toegevoegd.
Enig begrip hiervoor is echter toch wel op zijn plaats. Als een ziekenhuis nog geen totaal kwaliteitssysteem operationeel heeft staan dan moeten ze dat feitelijk eerst nog opbouwen wil men een snelle en gerichte NEN7510 implementatie realiseren. Daarnaast hebben ze de laatste jaren toch zeker ook een stormachtige ontwikkelingen meegemaakt door de herstructurering van de zorgverzekering. Klantgericht, klantvriendelijk, invoering het elektronisch patiënten dossier, ook nog concurerent en daarbij een te kort aan kundig personeel en ook nog een (te)krap budget. Ga er dan maar aanstaan.
ICTruimteAdvies.nl kan als dochter van DataCenter Infra Solutions de zorgsector een gedeeltelijke ondersteuning verlenen op het gebied van de informatiebeveiliging en de vereiste beschikbaarheid. Wij als partner van het NEN7510 steunpunt willen u daarbij helpen.
Speciaal hiervoor stellen we daarom onze gratis checklist ter beschikking, inclusief een korte toelichting. Stuur daarvoor deze mail aan jo.vandepas@dc-is.nl“ met de vermelding:
“Ik wil de gratis checklist ontvangen”.
U ontvangt die dan digitaal via de mail.
Jo van de Pas
vrijdag 21 november 2008
Abonneren op:
Posts (Atom)
