BDO Nederland gebruikt cookies en trackingtechnologieën om het browser-gebruik op onze site te verbeteren, gepersonaliseerde content te tonen en traffic te analyseren. Door het gebruik van onze website, stemt u in met het gebruik van functionele cookies. Door op onderstaande button te klikken, stemt u in met analytische cookies. Lees meer over ons cookiebeleid en privacybeleid.
Artikel:

Nieuwe auditverplichting voor ziekenhuizen

16 december 2020

De NVZ (Nederlandse Vereniging van Ziekenhuizen) heeft aangekondigd dat ziekenhuizen uiterlijk mei 2021 een audit moeten uitvoeren op basis van de nieuwe gedragscode ‘Toegangsbeveiliging digitale patiëntdossiers’.

Toegangsbeveiliging digitale patiëntdossiers

De NVZ wil datalekken en daarmee gepaard gaande boetes voorkomen voor haar leden en kiest daarom voor een tweeledige oplossing. Die oplossing bestaat ten eerste uit het opstellen van een gedragsrichtlijn rondom toegangsbeveiliging van digitale patiëntdossiers en ten tweede uit het onderzoeken van de implementatie hiervan.

Concreet moet een ziekenhuis een self-assessment uitvoeren op basis van de gedragsrichtlijn (de zogenaamde 0-meting). Op basis van die 0-meting kunnen verbeteringen worden doorgevoerd. Vervolgens worden alle maatregelen nogmaals onderzocht, dit keer door een externe auditor, om precies te zijn door een RE die de training van NVZ heeft gevolgd en daarmee bevoegd is de audit uit te voeren. Ziekenhuizen zijn door de NVZ geïnformeerd welke auditors dit betreft. De resultaten van de 0-meting en de audit worden vervolgens aan het NVZ gerapporteerd.

Kanttekeningen
De voorgestelde oplossing kent naast het goede uitgangspunt en kansen ook enkele kanttekeningen. De audit bijvoorbeeld is de zoveelste audit die een ziekenhuis moet ondergaan. Daarnaast heeft deze specifieke audit een sterke overlap met andere audits. Bovendien is de tijd om naar aanleiding van de 0-meting verbeteringen door te voeren erg beperkt. In januari 2020 moet de 0-meting namelijk bij de NVZ ingeleverd zijn en eind mei moet de audit door de externe auditor zijn uitgevoerd. Per saldo heeft u dus drie maanden de tijd om verbeteringen te treffen. Dit is vooral een uitdaging voor de grotere verbeteringen die de gedragsrichtlijn voorschrijft. Te meer omdat dit alles plaatsvindt tijdens de uitbraak van de coronacrisis met alle uitdagingen van dien. Daarnaast zijn veel ziekenhuizen bezig met de implementatie van Horizontaal Toezicht.

Tot slot zijn er door de beroepsorganisatie van IT-auditors genaamd NOREA vaktechnisch beperkingen geconstateerd in de aanpak van NVZ. Alles tezamen creëert een stevige uitdaging.

Kansen
Uiteraard zijn er ook kansen. Veel ziekenhuizen hadden bepaalde verbeteringen al langer op de agenda staan maar kregen intern de handen hiervoor niet op elkaar. De extra aandacht van de NVZ vormt een mooie kans om zaken goed te regelen. Daarnaast kunnen ziekenhuizen die menige interne discussie hebben gevoerd om bepaalde privacy-maatregelen te implementeren, nu middels deze audit laten zien dat zaken goed geregeld zijn. Bovendien hebben veel ziekenhuizen de ambitie om zich te laten certificeren op basis van de NEN 7510. Deze audit is een mooie opmaat om hierop door te pakken. De NVZ audit is namelijk op basis van de NEN 7510 opgezet.

Tot slot geeft de gedragsrichtlijn concrete handvatten om toegangsbeveiliging en hiermee gepaard gaande privacyvraagstukken goed te regelen. Deze duidelijkheid miste voorheen.

Vragen
Tegelijkertijd zijn er nog veel vragen. De rol van de AP bijvoorbeeld is nog niet geheel duidelijk. Want wat doet de AP als blijkt dat veel ziekenhuizen niet voldoen aan de gedragsrichtlijn? En laat de NVZ het er in zo’n geval bij zitten of vragen ze om vervolgmaatregelen? Wat als de media lucht krijgt van zaken die niet goed geregeld zijn? Hopelijk worden deze vragen snel beantwoord.

Belang van de audit is groot

Los van de ervaring dat ziekenhuizen de privacy van patiënten hoog in het vaandel heeft, is het belang van deze audit op zichzelf groot. De uitkomsten hiervan worden namelijk geanonimiseerd met de AP (Autoriteit Persoonsgegevens) gedeeld. Het belang is misschien zelfs zo groot dat er situaties zijn waarbij ziekenhuizen meer tijd nodig hebben als uit de 0-meting blijkt dat de nodige verbeteringen getroffen moeten worden. Ons advies is dan ook om in die gevallen bij de NVZ uitstel aan te vragen.

Tot slot

BDO heeft een team van gespecialiseerde zorgadviseurs en auditors op het gebied van privacy en informatiebeveiliging die door de NVZ zijn aangesteld om deze specifieke audit te mogen uitvoeren. Deze adviseurs en auditors begrijpen de complexiteit van deze nieuwe audit als geen ander en denken graag met u mee over het juist maar ook verstandig uitvoeren hiervan. Voor meer informatie kunt op contact opnemen met een van onze adviseurs.