Artikel:

Inspectie Gezondheidszorg en Jeugd (IGJ)

17 januari 2022

Voor ziekenhuiszorg is ICT, e-health zoals de Inspectie Gezondheidszorg en Jeugd (IGJ) het noemt, steeds belangrijker. Onder e-health verstaat de IGJ: de inzet van hedendaagse informatie- en communicatietechnologie (ICT) om de gezondheid en gezondheidszorg te ondersteunen of te verbeteren. Er zijn aangaande dit onderwerp in de afgelopen jaren door de IGJ diverse inspectiebezoeken gebracht aan ziekenhuizen in de periode september 2017 en oktober 2021. Het ging hierbij om een dwarsdoorsnee van de niet-particuliere ziekenhuizen in Nederland.
Bij de onderzoeken van de IGJ is er een toetsingskader gebruikt met vijf onderdelen, te weten:

  • Goed bestuur en verantwoord innoveren;
  • Invoering en gebruik van e-healthproducten en -diensten;
  • Patiëntparticipatie;
  • Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens en Informatiebeveiliging;
  • Continuïteit.

Zo keek de inspectie vanuit het toetsingskader naar diverse ICT-toepassingen zoals EPD’s, patiëntportalen en diverse methoden betreffende digitale uitwisseling van gegevens met patiënten, professionals en andere zorgaanbieders. De aanpak van ziekenhuizen inzake ICT-toepassingen wordt steeds professioneler. Diverse constateringen van de IGJ komen echter overeen met de ervaringen van BDO bij het begeleiden van zorginstellingen, zoals het onvoldoende overzicht hebben van risico’s van de zorginstelling op specifieke onderwerpen, soms zelfs ten aanzien van risico’s voor de patiënten, onder andere door het ontbreken van specifieke criteria. Aangezien dikwijls de gehele keten nog niet gedigitaliseerd is, kan dit bij uitwisseling van zorginformatie bijvoorbeeld risico’s voor de patiënten opleveren. Patiënten worden overigens ook niet altijd betrokken bij de besluitvorming in het kader van e-health en zijn de eisen aan een e-health oplossing niet altijd duidelijk.

Normenkader

Binnen de gezondheidszorg is er de welbekende NEN 7510, het normenkader voor informatiebeveiliging in de zorg. Door te voldoen aan de eisen van deze norm geeft een zorginstelling aan te voldoen aan de vereisten van informatiebeveiliging in de zorg. Dat de meeste ziekenhuizen die de IGJ heeft bezocht niet voldoen aan de NEN 7510 is zorgelijk. Temeer daar het duidelijk is dat de invloed van de digitale informatie ook binnen de zorg steeds groter wordt en die invloed zal alleen maar toenemen als we onder meer toekomstige wetgeving, zoals EGIZ in ogenschouw nemen. Alarmerend is dan ook het feit dat uit de 22 inspectiebezoeken, de IGJ heeft gemeend aan 10 ziekenhuizen, oftewel ruim 45%, het verzoek te doen om aan de slag te gaan met de norm om hier alsnog aan te gaan voldoen. Het gaat bij de NEN 7510 niet alleen om het beschermen van zaken als een EPD, hetgeen op zich al belangrijk genoeg is, maar het betreft ook het wapenen tegen het ongewilde aanvallen, danwel ongewild lekken van informatie. Een punt van aandacht wat qua risico hand in hand gaat met de toename van de digitalisering.

Implementatie NEN 7510

De zeer ruime ervaring die wij hebben met de ondersteuning van zorginstellingen leert dat veel organisaties baat hebben bij een implementatie NEN 7510 die verder gaat dan alleen de informatiebeveiliging zelf. Door het werken op een gestructureerde wijze, waarbij er afstemming is over wie wat doet en waarom met van een risicoanalyse als uitgangspunt, blijkt dat er al veel efficiënter en effectiever wordt gewerkt. Bovendien leidt deze gestructureerde werkwijze er ook toe dat er heel gedegen wordt nagedacht over de processen binnen organisaties en hoe die zo soepel en (kosten)efficiënt mogelijk te laten verlopen. Het uitvoeren van een goede risicoanalyse is essentieel en de basis van een NEN 7510 implementatie. Het rapport van de IGJ merkt hierover op dat vooral risicoanalyses aandacht vergen. “Ze worden niet altijd uitgevoerd, soms omdat heldere criteria ontbreken.” “Soms ontbreken risico’s voor de patiënt in de analyse. Bij de selectie van nieuwe digitale oplossingen maken ziekenhuizen niet altijd expliciet duidelijk aan welke eisen een oplossing moet voldoen (zoals via een pakket van eisen).” Het leveranciersbeleid, ook een onderdeel van NEN NEN 7510, kan ook een wapen zijn tegen ongewilde invloeden (cyberaanvallen) vanuit de supply chain. Het zorgt er ook voor dat er alleen zaken wordt gedaan met partijen die voldoen aan de eisen die NEN 7510 stelt.

Onderzoek ook belangrijk voor andere zorginstellingen en EGIZ

Zoals opgemerkt zijn de resultaten van de inspecties niet verrassend en sluiten deze onder meer aan bij de resultaten zoals die naar voren kwamen bij de audits die zijn uitgevoerd in het kader van de Gedragslijn toegangsbeveiliging digitale patiëntdossiers’ 1.0 van de NVZ. Ook sluit de conclusie aan bij onze eigen ervaringen binnen het geheel van zorginstellingen, terwijl juist door te voldoen aan normen een organisatie aantoont op deze (deel)onderwerpen in control te zijn en beter bestand is tegen aanvallen van buitenaf en lekken van binnenuit met mogelijke boetes, reputatieschade en schade voor patiënten en klanten tot gevolg. Bovendien kunnen normen als de NEN 7510 gebruikt worden om telkens een nieuw doel te bereiken in de volwassenheid van het integraal risicomanagement en om zichzelf klaar te maken voor de eisen die EGIZ ongetwijfeld zal stellen aan zorginstellingen.
Daarbij kan worden opgemerkt dat wij constateren dat wat wordt opgemerkt over ziekenhuizen ook zeker geldt voor andere zorginstellingen, want ook daar wordt helaas voor de patiënten en klanten nog vaak niet volgens de NEN 7510 gewerkt.

Inschakelen deskundigen

Door het in de arm nemen van een gedegen en ervaren adviseur als BDO, kunnen wij met u bepalen wat noodzakelijk is in uw situatie. 

Als vertrekpunt hanteren wij de risico’s en wensen van uw organisatie en wordt er gericht gekeken naar wat voor uw organisatie van belang is, tezamen met de zogenoemde risicobereidheid. Ofwel, welk risico bent u als zorg organisatie bereid te nemen?

Om de juiste vervolgstappen te bepalen voor implementatie of beheer, onderzoeken we ook de volwassenheid van het risicomanagementsysteem. We bepalen daarmee de stand van uw organisatie ten opzichte van de risico’s en de daarmee samenhangende onderdelen van de NEN 7510. Bovendien zal er in het kader van de aankomende wet- en regelgeving Elektronische Gegevensuitwisseling In De Zorg (EGIZ), de informatiebeveiliging en daarmee de NEN 7510 alleen maar nog belangrijker worden.
Daarbij houden wij rekening met de organisatorische aspecten en de technische aspecten in het kader van de weerbaarheid, van awareness, beleid en procedures tot penetratietesten op uw ICT-omgeving. Mede gezien de overlap in diverse normen, kunnen wij simultaan andere normen en normelementen implementeren, zoals de ISO 27701 (privacy), de ISO 9001 (kwaliteit) of de HKZ, die weer een afgeleide is van de ISO 9001. Dat scheelt tijd, geld en betekent een lagere belasting van de organisatie.

Het is tenslotte niet voor niets dat een van de opmerkingen van de IGJ is “Ook is niet altijd geregeld dat de juiste belanghebbenden en deskundigheden op het juiste moment betrokken worden.” Dat geldt wat ons betreft niet alleen voor het inschakelen van de juiste interne deskundigheid, maar ook voor het inschakelen van ervaren externe expertise.