Artikel:

Informatiebeveiliging in de zorg

20 december 2022

Zorginstellingen worden voor het ondersteunen van de zorgverlening steeds afhankelijker van informatiesystemen. Een hoog beschikbaarheidsniveau van de cliëntgegevens is daarom een erg belangrijk kenmerk van zorginformatiesystemen. Naast de beschikbaarheid zijn ook de integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie erg belangrijk, omdat de privacy en veiligheid van cliënten hiervan afhankelijk zijn. Gebeurtenissen waarbij verlies van beschikbaarheid, integriteit en vertrouwelijkheid optreedt, kunnen aanmerkelijke (klinische) gevolgen hebben, alsmede daaruit voortvloeiende reputatieschade voor de betrokken zorginstelling(en).

In september 2022 publiceerde IGJ een nieuwe factsheet ‘ICT-storing probleem voor ziekenhuis én patiënt’ waarin het belang van het voldoen aan NEN 7510 wordt onderstreept. Bovendien stelt IGJ dat om de ICT veiligheid en daarmee de informatiebeveiliging van persoonlijke gezondheidsinformatie te verhogen, in 2023 alle ziekenhuizen aantoonbaar moeten voldoen aan NEN 7510 waarbij certificering een goede onafhankelijke mogelijkheid is. Verder is het heel goed mogelijk dat VWS de NEN 7510 norm gaat meenemen in het licht van de herziening van de Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB2), aangezien deze norm een goed en bestaand middel is om te gebruiken voor de nationale implementatie van deze Europese Richtlijn.

De IGJ ziet vijf algemene lessen die aansluiten bij het rapport Patiëntveiligheid bij ICT-uitval in ziekenhuizen van de Onderzoeksraad voor Veiligheid (OvV) uit 2020 en doet daarbij extra aanbevelingen. Een van deze aanbevelingen heeft betrekking op het voldoen aan de wettelijke normen.

Voldoe zo snel mogelijk aan (wettelijke) normen

Voor informatiebeveiliging bestaat voor ziekenhuizen en andere zorgorganisaties een wettelijke norm, namelijk de NEN 7510. Verschillende onderdelen van de NEN 7510 raken, behalve aan beschikbaarheid, integriteit en vertrouwelijkheid, ook aan de continuïteit van informatiesystemen. De inspectie wil dan ook dat ziekenhuizen, als dat nog niet het geval is, zo snel mogelijk aantoonbaar volgens de NEN 7510 werken. Daar hoort bij dat een ziekenhuis met regelmaat een onafhankelijke beoordeling laat uitvoeren. De IGJ gaat hier alle ziekenhuizen naar vragen. De inspectie verwacht van ziekenhuizen dat ze uiterlijk eind 2023 de NEN 7510 aantoonbaar naleven. Certificering is daarbij een goed middel om voor regelmatige onafhankelijke beoordelingen te zorgen. In de praktijk organiseren de ziekenhuizen hun weerbaarheid op verschillende wijze. Dat blijkt bijvoorbeeld uit naam en inhoud van de plannen en procedures voor bedrijfscontinuïteit en crisisbeheer. Ook zijn er verschillen in de mate van oefenen van onder andere crisissituaties. Normering kan de verschillen kleiner maken. De IGJ beveelt dan ook sterk aan om naast de NEN 7510 ook andere relevante normen en richtlijnen te volgen. Voor bedrijfscontinuïteitsplannen en opzet van een crisisorganisatie verwijst de NEN 7510 naar de NEN-EN-ISO 22301 (managementsystemen voor bedrijfscontinuïteit). Deze norm heeft nog geen wettelijke status, maar geeft wel belangrijke aanwijzingen. De gedragslijn Toegangsbeveiliging digitale patiëntendossiers 2.0 van de NVZ vult de NEN 7510 tenslotte verder aan.

Wat kan BDO betekenen?

BDO heeft de kennis en expertise in huis om u te adviseren en ondersteunen bij het implementeren van de NEN7510:2017, zoals deze voluit is genoemd. Ook zijn wij betrokken bij de wijziging NEN 7510, zodat wij deze kennis, daar waar mogelijk, kunnen meenemen in onze advisering. Neem gerust contact op met een van onze adviseurs indien u ondersteuning wilt bij de implementatie van de NEN7510.