Informatiebeveiliging in de zorg: van intentie naar aantoonbaarheid
Informatiebeveiliging in de zorg: van intentie naar aantoonbaarheid
De Inspectie Gezondheidszorg en Jeugd (IGJ) doet onderzoek naar informatiebeveiliging door zorgorganisaties. Onlangs zijn ook de bevindingen van IGJ over informatiebeveiliging in de ggz gepubliceerd. De conclusie is hier duidelijk : een meerderheid van de grotere ggz‑organisaties voldoet niet aan de wettelijke vereisten. Slechts 6 van de 87 onderzochte organisaties konden aantonen dat zij werken volgens de NEN 7510‑norm. Dit betekent dat zorgorganisaties met hun informatiebeveiliging aan de slag moeten.
Wanneer zorginstellingen niet aantoonbaar volgens de NEN 7510-norm werken, zien we in de praktijk vaak dat ook andere onderdelen van privacy compliance onvoldoende zijn ingericht of geborgd. Denk aan onvolledige of verouderde verwerkingsregisters, een gebrek aan heldere en consistente privacyverklaring richting patiënten en medewerkers, onvoldoende uitgewerkte afspraken met leveranciers en processen rondom datalekken. Maar ook de afhandeling van privacyverzoeken van betrokkenen die niet structureel zijn ingericht of geborgd.
Hoewel niet iedere zorginstelling rechtstreeks onder deze nieuwe regelgeving valt, is de tendens duidelijk: informatiebeveiliging wordt steeds nadrukkelijker gereguleerd en raakt in toenemende mate de kern van hoe organisaties worden ingericht en aangestuurd. Informatiebeveiliging kan dan ook niet langer worden gezien als een ondersteunend IT‑vraagstuk, maar moet worden beschouwd als een expliciete bestuurlijke verantwoordelijkheid.
Van organisaties wordt verwacht dat zij hun systemen en processen zodanig inrichten dat risico’s tijdig worden onderkend, passende maatregelen worden getroffen en duidelijk is welke rol medewerkers daarin hebben. Voor zorgorganisaties geldt dit in het bijzonder. Zij verwerken immers bijzondere persoonsgegevens, waaronder gezondheidsgegevens, waarbij incidenten direct kunnen doorwerken in de kwaliteit en continuïteit van zorg. Dat de inspectie constateert dat veel instellingen hier nog niet aantoonbaar “in control” zijn, is in dat licht des te relevanter.
Voor zorgorganisaties betekent dit dat de lat structureel hoger ligt. Het is niet langer voldoende om te kunnen zeggen dat men “ermee bezig is”. De verwachting is dat organisaties inzicht hebben in hun risico’s, passende maatregelen treffen en vooral kunnen aantonen dat deze maatregelen effectief zijn: en de NEN7510 toepassen.
Herkenbaar dat privacy‑compliance nog onvoldoende geborgd of aantoonbaar is ingericht? Of speelt de vraag hoe verplichtingen uit de AVG (waaronder informatiebeveiliging) juridisch en organisatorisch moeten worden ingevuld? Dan is het raadzaam om tijdig advies in te winnen, zeker in het licht van het toenemende toezicht door de IGJ.
Wij helpen hier u graag mee verder.
Informatiebeveiliging als onderdeel van privacy-compliance
De uitkomsten van het onderzoek raken niet alleen aan informatiebeveiliging als zodanig, maar leggen ook een bredere kwetsbaarheid bloot in de naleving van privacywetgeving binnen zorginstellingen. De NEN7510 geeft immers invulling aan de verplichting uit de Algemene Verordening Gegevensbescherming (AVG) om passende technische en organisatorische maatregelen te treffen. Informatiebeveiliging staat daarmee niet los van privacy compliance, maar vormt een essentieel onderdeel daarvan. Het naleven van de NEN7510 is voor zorgorganisaties immers verplicht. Dit is bij veel zorginstellingen nog niet voldoende bekend, zo blijkt ook uit dit onderzoek.Wanneer zorginstellingen niet aantoonbaar volgens de NEN 7510-norm werken, zien we in de praktijk vaak dat ook andere onderdelen van privacy compliance onvoldoende zijn ingericht of geborgd. Denk aan onvolledige of verouderde verwerkingsregisters, een gebrek aan heldere en consistente privacyverklaring richting patiënten en medewerkers, onvoldoende uitgewerkte afspraken met leveranciers en processen rondom datalekken. Maar ook de afhandeling van privacyverzoeken van betrokkenen die niet structureel zijn ingericht of geborgd.
Toenemende regulering en bestuurlijke verantwoordelijkheid
Juist in een sector waarin de regulering op het gebied van informatiebeveiliging en privacy de afgelopen jaren aanzienlijk is aangescherpt, is deze uitkomst opvallend. Zorgorganisaties opereren binnen een duidelijk normenkader, waarbij de NEN 7510 invulling geeft aan de beveiligingsverplichtingen uit de AVG. Daarnaast zorgen ontwikkelingen zoals de aanvullende nieuwe regelgeving in de vorm van de Europese NIS2‑richtlijn en de Nederlandse Cyberbeveiligingswet voor een verdere aanscherping van de eisen aan digitale weerbaarheid.Hoewel niet iedere zorginstelling rechtstreeks onder deze nieuwe regelgeving valt, is de tendens duidelijk: informatiebeveiliging wordt steeds nadrukkelijker gereguleerd en raakt in toenemende mate de kern van hoe organisaties worden ingericht en aangestuurd. Informatiebeveiliging kan dan ook niet langer worden gezien als een ondersteunend IT‑vraagstuk, maar moet worden beschouwd als een expliciete bestuurlijke verantwoordelijkheid.
Van organisaties wordt verwacht dat zij hun systemen en processen zodanig inrichten dat risico’s tijdig worden onderkend, passende maatregelen worden getroffen en duidelijk is welke rol medewerkers daarin hebben. Voor zorgorganisaties geldt dit in het bijzonder. Zij verwerken immers bijzondere persoonsgegevens, waaronder gezondheidsgegevens, waarbij incidenten direct kunnen doorwerken in de kwaliteit en continuïteit van zorg. Dat de inspectie constateert dat veel instellingen hier nog niet aantoonbaar “in control” zijn, is in dat licht des te relevanter.
Van intentie naar aantoonbaarheid
De rode draad in het toezicht van de IGJ is helder: informatiebeveiliging moet niet alleen op papier zijn geregeld, maar aantoonbaar functioneren in de praktijk. Dat toezicht bestrijkt inmiddels de gehele zorg en zal zich de komende jaren verder uitbreiden.Voor zorgorganisaties betekent dit dat de lat structureel hoger ligt. Het is niet langer voldoende om te kunnen zeggen dat men “ermee bezig is”. De verwachting is dat organisaties inzicht hebben in hun risico’s, passende maatregelen treffen en vooral kunnen aantonen dat deze maatregelen effectief zijn: en de NEN7510 toepassen.
Herkenbaar dat privacy‑compliance nog onvoldoende geborgd of aantoonbaar is ingericht? Of speelt de vraag hoe verplichtingen uit de AVG (waaronder informatiebeveiliging) juridisch en organisatorisch moeten worden ingevuld? Dan is het raadzaam om tijdig advies in te winnen, zeker in het licht van het toenemende toezicht door de IGJ.
Wij helpen hier u graag mee verder.
