Naar aanleiding van de resultaten van het door de IGZ in 2004 gepubliceerde rapport ICT in ziekenhuizen is opnieuw onderzoek verricht naar de stand van de informatiebeveiliging in ziekenhuizen, mede vanwege de op handen zijnde invoering van delen van het Elektronisch Patiëntendossier en de bijbehorende toename van het gebruik van ICT bij de directe patiëntenzorg. Het onderzoek is nu uitgevoerd door de IGZ en het CBP onder twintig ziekenhuizen door middel van gesprekken met een vertegenwoordiger van de Raad van Bestuur, de afdeling ICT en de medische staf.
Het doel van het onderzoek was het verkrijgen van een beeld van de stand van zaken van de implementatie van de NEN 7510 norm bij ziekenhuizen in het algemeen. Tevens werd de invulling van de informatiebeveiliging in de gekozen ziekenhuizen onderzocht en gecontroleerd of de getroffen maatregelen voldoen aan de relevante wet- en regelgeving.
Uit het onderzoek blijkt dat er vooral op technisch gebied in vergelijking met vier jaar geleden veel is verbeterd. Echter, zowel de leiding als de medewerkers zijn zich nog steeds onvoldoende bewust van de risico’s die gebruik van ICT in ziekenhuizen met zich meebrengt. Over het algemeen wordt bewust omgegaan met het openstellen van het netwerk voor andere zorginstellingen. Wat betreft de NEN 7510 norm blijkt dat de meeste ziekenhuizen nog niet aan deze norm voldoen. Zo is informatiebeveiliging bijvoorbeeld nog te weinig omgezet naar uitgewerkt beleid en wordt veel ‘in de praktijk’ geregeld. Een andere belangrijke bevinding is het ontbreken van bewustzijn bij medewerkers van het belang van informatiebeveiliging. Informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak.
Van de twintig onderzochte ziekenhuizen blijkt bij negen ziekenhuizen dat er geen sprake is van een passend beveiligingsniveau zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens (WBP), en dat evenmin is voldaan aan de voorwaarden om verantwoorde zorg te leveren zoals bedoeld in artikel 2 van de Kwaliteitswet zorginstellingen (KWZ). Bij vijf is sprake van onvoldoende passend beveiligingsniveau en bij zes ziekenhuizen is er nog niet in voldoende mate sprake van passend beveiligingsniveau.
De twintig onderzochte ziekenhuizen zullen duidelijk moeten maken hoe zij wel aan een passend beveiligingsniveau gaan voldoen. Zij moeten aan het CBP en de IGZ een plan van aanpak leveren waaruit blijkt hoe zij dat gaan bereiken en op welke termijn zij dat bereikt zullen hebben. Indien de inhoud van het plan van aanpak (of het geheel uitblijven van een plan van aanpak) daartoe aanleiding geeft, zal handhavend worden opgetreden.
De inspectie zal de overige ziekenhuizen in Nederland ook een plan van aanpak op laten stellen. Uit dit plan van aanpak moet blijken hoe deze ziekenhuizen aan de NEN 7510 norm gaan voldoen. Daarnaast zullen alle ziekenhuizen in 2010 aan de inspectie de resultaten moeten overleggen van een extern uitgevoerde audit, zoals in de NEN 7510 norm is bedoeld, waaruit blijkt wat het niveau van informatiebeveiliging op dat moment is. Zo nodig zal op grond van het plan van aanpak een eerdere beoordeling door de inspectie plaatsvinden en handhavend worden opgetreden. Dat betekent dat bij onvoldoende planvorming om aan de totale NEN 7510 norm te voldoen, handhavingsmaatregelen
ingezet zullen worden.
Lees het rapport
weblog wvrtaal 