Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm

More documents

Recommendations

Info

12 INSPECTIE VOOR DE GEZONDHEIDSZORG / COLLEGE BESCHERMING PERSOONSGEGEVENS waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is in het algemeen geen verplichting om steeds de zwaarste beveiliging te nemen. Er moet sprake zijn van een adequate beveiliging. Ter beoordeling van de maatregelen die moeten worden getroffen moet dus rekening worden gehouden met een aantal aspecten, waaronder de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen. In casu is sprake van persoonsgegevens betreffende de gezondheid, waarop het medisch beroepsgeheim van toepassing is. De beveiliging van dergelijke persoonsgegevens moet voldoen aan de hoogste normen. De maatregelen die moeten worden getroffen zijn tevens afhankelijk van de stand van de techniek en de kosten van de tenuitvoerlegging van de maatregelen. Bij de toetsing van de beveiligingsmaatregelen aan art. 13 WBP is de NEN 7510 norm als meetinstrument gebruikt. De NEN 7510 norm is een gezaghebbende sectorale uitwerking van art. 13 WBP; als een ziekenhuis voldoet aan de NEN 7510 norm, mag er van uit worden gegaan dat het ook voldoet aan bovengenoemde wettelijke bepaling. Andersom is dit geen volstrekt automatisme: een ziekenhuis kan ook op andere wijze aantonen dat de beveiliging in orde is, bijvoorbeeld door te voldoen aan de Code voor Informatiebeveiliging (ISO 17799). De IGZ ziet deze normen (artikel 13 WBP en NEN 7510 norm) als een norm ter invulling van het begrip ‘verantwoorde zorg’ als bedoeld in de Kwaliteitswet zorginstellingen en de Wet BIG. De voorwaarden om verantwoorde zorg te kunnen verlenen, zijn bij voldoening aan de norm wat dit betreft dan aanwezig. Bij de beoordeling van meldingen van calamiteiten waarbij ICT een rol speelt, zal de IGZ het toetsingskader uit dit rapport hanteren.
13 RAPPORT 2 Conclusies en maatregelen 2.1 Conclusies 2.1.1 Informatiebeveiliging in ziekenhuizen schiet nog steeds tekort Vergeleken met vier jaar geleden is er al veel verbeterd rond de veilige toepassing van ICT in ziekenhuizen, vooral op technisch gebied. Uit het onderzoek rijst dan ook het beeld op dat de meeste ziekenhuizen informatiebeveiliging en gerelateerde risico’s vooral als een technisch vraagstuk benaderen. Het besef dat informatiebeveiliging staat of valt met de organisatie van de informatiebeveiliging en het gedrag van medewerkers, en dat daarvoor een verandering in de cultuur van het ziekenhuis noodzakelijk is, is in de meeste ziekenhuizen nog niet voldoende aanwezig. Er wordt door sommige ziekenhuizen wel aandacht aan gedragsaspecten geschonken, bijvoorbeeld door middel van bewustwordingscampagnes, maar effectieve controle op gedrag ontbreekt nog te vaak. Ook is men zich nog niet voldoende bewust van het gevaar van ‘social engineering’, waarbij iemand informatie los probeert te krijgen bij personeel, om zodoende toegang te krijgen tot het ziekenhuisnetwerk. Gedrag: Social Engineering Een mogelijk gevaar met betrekking tot gedrag dat weliswaar niet in de ijkpunten terugkomt, maar nog onvoldoende onder ogen wordt gezien, is social engineering. Hierbij probeert iemand informatie los te krijgen van personeel om zodoende toegang te krijgen tot het ziekenhuisnetwerk, bijvoorbeeld door zich voor te doen als een medewerker van de ICT-afdeling en naar wachtwoord en inlognaam te vragen. Men is zich waarschijnlijk niet voldoende bewust van het risico van social engineering, aangezien de meeste ziekenhuizen aangeven dat social engineering bij hen niet voorkomt. Slechts één ziekenhuis heeft via een onderzoek bekeken of medewerkers gevoelig zijn voor social engineering. In sommige ziekenhuizen was men zelfs geheel onbekend met het begrip. Alhoewel er veel verbeteringen te zien zijn op technisch gebied, voldoen toch veel ziekenhuizen nog lang niet aan de onderzochte delen van de NEN 7510 norm. Het algemene beeld dat uit dit thematisch onderzoek naar voren komt, is dat informatiebeveiliging veelal ad hoc en soms zelfs opportunistisch, in de praktijk geregeld wordt en niet gebaseerd is op systematisch uitgewerkt beleid. Dat is niet acceptabel. Geen van de zes onderdelen van de NEN 7510 norm die in dit onderzoek zijn meegenomen, was voldoende opgenomen in de beleidsplannen van de onderzochte ziekenhuizen. Ziekenhuizen in het algemeen, maar zeker Raden van Bestuur in het bijzonder hebben maar een beperkt zicht op de risico’s die zich voor kunnen doen als bedreiging voor de veiligheid van de informatie. Het ontbreken van een visie op het gebied van informatiebeveiliging is daar een belangrijk voorbeeld van. Slechts een beperkt aantal ziekenhuizen heeft een risicoanalyse uit laten voeren, terwijl daar wel de instrumenten voor bestaan. Raden van Bestuur kunnen hun verantwoordelijkheid zoals die door de Kwaliteitswet zorginstellingen wordt opgedragen, op deze wijze niet waarmaken.
Page 1: Informatiebeveiliging in ziekenhuiz
Page 4 and 5: hoe deze ziekenhuizen aan de NEN 75
Page 6 and 7: 6 INSPECTIE VOOR DE GEZONDHEIDSZORG
Page 8 and 9: 8 INSPECTIE VOOR DE GEZONDHEIDSZORG
Page 10 and 11: 10 INSPECTIE VOOR DE GEZONDHEIDSZOR
Page 32: 32 INSPECTIE VOOR DE GEZONDHEIDSZOR

Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm

Create successful ePaper yourself

Delete template?

Save as template?