Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm
Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm
Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Aan <strong>de</strong> m<strong>in</strong>ister van Volksgezondheid, Welzijn en Sport,<br />
De toepass<strong>in</strong>g van ICT <strong>in</strong> <strong>de</strong> zorg staat op het punt belangrijke vor<strong>de</strong>r<strong>in</strong>gen te maken.<br />
Zo zullen het lan<strong>de</strong>lijk elektronisch medicatiedossier (EMD) en het waarneemdossier<br />
huisartsen (WDH) b<strong>in</strong>nenkort wor<strong>de</strong>n geïmplementeerd. In veel gezondheidszorg<strong>in</strong>stell<strong>in</strong>gen<br />
wordt <strong>de</strong> toepass<strong>in</strong>g van ICT e<strong>norm</strong> uitgebreid. Al <strong>de</strong>ze toepass<strong>in</strong>gen en<br />
uitbreid<strong>in</strong>gen dienen vanzelfsprekend om <strong>de</strong> kwaliteit van <strong>de</strong> hulpverlen<strong>in</strong>g <strong>aan</strong> <strong>de</strong><br />
patiënt te verbeteren. Toch kleven <strong>aan</strong> die toepass<strong>in</strong>g van ICT risico’s. Risico’s die juist<br />
<strong>de</strong> veiligheid van <strong>de</strong> zorg kunnen bedreigen. Dat mag natuurlijk <strong>niet</strong> het geval zijn.<br />
Wanneer ICT toegepast wordt, moet het veilig voor <strong>de</strong> patiënt zijn. Daarnaast brengt<br />
<strong>de</strong> toepass<strong>in</strong>g van ICT risico’s voor <strong>de</strong> privacy van <strong>de</strong> patiënt met zich, terwijl het hier<br />
gaat om gevoelige gegevens die juist extra bescherm<strong>in</strong>g verdienen.<br />
Het College Bescherm<strong>in</strong>g Persoonsgegevens (CBP) en <strong>de</strong> Inspectie voor <strong>de</strong> Gezondheidszorg<br />
(IGZ) hebben vanwege die risico’s een on<strong>de</strong>rzoek ged<strong>aan</strong> naar <strong>de</strong> wijze<br />
waarop <strong>ziekenhuizen</strong> <strong>in</strong> Ne<strong>de</strong>rland met <strong>de</strong> beveilig<strong>in</strong>g van hun <strong>in</strong>formatie en dus met <strong>de</strong><br />
toepass<strong>in</strong>g van ICT omg<strong>aan</strong>. Er is voor <strong>ziekenhuizen</strong> gekozen omdat het risico voor <strong>de</strong><br />
veiligheid van <strong>de</strong> patiënt bij een onveilige toepass<strong>in</strong>g van ICT <strong>in</strong> <strong>ziekenhuizen</strong> het<br />
grootst is. Vanuit het oogpunt van persoonsgegevensbescherm<strong>in</strong>g is van belang dat bij<br />
<strong>ziekenhuizen</strong> veelal sprake zal zijn van zeer omvangrijke verwerk<strong>in</strong>g van gevoelige<br />
persoonsgegevens. Vooral is nageg<strong>aan</strong> of <strong>ziekenhuizen</strong> zich bewust zijn van <strong>de</strong> risico’s<br />
en voldoen<strong>de</strong> maatregelen nemen om <strong>de</strong> kans dat er wat misgaat, zo kle<strong>in</strong> mogelijk te<br />
maken.<br />
Het risicobewustzijn bij <strong>ziekenhuizen</strong> voor wat betreft <strong>de</strong> kans dat er met <strong>de</strong><br />
verwerk<strong>in</strong>g van <strong>in</strong>formatie iets misgaat, is maar zeer beperkt <strong>aan</strong>wezig. Zij nemen dan<br />
ook <strong>in</strong> het meren<strong>de</strong>el onvoldoen<strong>de</strong> maatregelen om <strong>de</strong> beveilig<strong>in</strong>g van hun <strong>in</strong>formatieverwerk<strong>in</strong>g<br />
op een voldoen<strong>de</strong> niveau te krijgen. Dat is <strong>niet</strong> goed en zal moeten<br />
veran<strong>de</strong>ren. Dat moet veran<strong>de</strong>ren omdat <strong>de</strong> zorg veilig moet zijn en <strong>de</strong> privacy van <strong>de</strong><br />
patiënt gewaarborgd moet zijn, maar ook omdat <strong>de</strong> veran<strong>de</strong>r<strong>in</strong>g een voorwaar<strong>de</strong> is om<br />
<strong>aan</strong> te sluiten op het Lan<strong>de</strong>lijk Schakelpunt en zodoen<strong>de</strong> op het lan<strong>de</strong>lijk Elektronisch<br />
Patiëntendossier (EPD). Het <strong>niet</strong> voldoen <strong>aan</strong> <strong>de</strong> NEN 7510 zou <strong>de</strong> realisatie van het<br />
lan<strong>de</strong>lijk EPD frustreren.<br />
Met dit rapport maken het CBP en <strong>de</strong> IGZ het voorg<strong>aan</strong><strong>de</strong> dui<strong>de</strong>lijk. Het CBP en <strong>de</strong> IGZ<br />
hebben van <strong>de</strong> on<strong>de</strong>rzochte <strong>ziekenhuizen</strong> verwacht dat er voor 15 oktober een Plan van<br />
Aanpak is opgesteld waar<strong>in</strong> dui<strong>de</strong>lijk wordt wat het ziekenhuis on<strong>de</strong>rneemt om volledig<br />
<strong>aan</strong> <strong>de</strong> NEN 7510 <strong>norm</strong> te voldoen. Indien het CBP en <strong>de</strong> IGZ conclu<strong>de</strong>ren dat <strong>de</strong><br />
on<strong>de</strong>rzochte <strong>ziekenhuizen</strong> onvoldoen<strong>de</strong> voortvarend werk maken van het verbeteren<br />
van <strong>de</strong> <strong>in</strong>formatiebeveilig<strong>in</strong>g, zullen <strong>de</strong> IGZ en het CBP overwegen bij <strong>de</strong> betreffen<strong>de</strong><br />
<strong>ziekenhuizen</strong> handhavend op te tre<strong>de</strong>n.<br />
De <strong>in</strong>spectie zal <strong>niet</strong> alleen <strong>de</strong> bezochte maar ook <strong>de</strong> overige <strong>ziekenhuizen</strong> vragen een<br />
plan van <strong>aan</strong>pak op te stellen en dit beoor<strong>de</strong>len. Uit dit plan van <strong>aan</strong>pak moet blijken
Change language