De recente bevindingen van de Inspectie Gezondheidszorg en Jeugd (IGJ) worden als zorgwekkend gezien. Uit onderzoek blijkt dat een meerderheid van de grotere ggz-organisaties nog niet voldoet aan de normering voor informatiebeveiliging. Slechts 6 van de 87 onderzochte organisaties konden aantonen dat zij werken volgens de norm NEN 7510. De inspectie spreekt haar zorgen hierover nadrukkelijk uit.
Dat is niet alleen een technisch probleem. Het raakt direct aan de continuïteit van zorg, de privacy van cliënten en het vertrouwen in zorgorganisaties. In een sector waarin dagelijks wordt gewerkt met uiterst gevoelige persoonsgegevens, mag informatiebeveiliging geen bijzaak zijn.
Zorgorganisaties worden steeds kwetsbaarder
De zorg digitaliseert in hoog tempo. Elektronische cliëntendossiers, digitale communicatie, beeldbellen en gegevensuitwisseling zijn inmiddels onmisbaar geworden in de dagelijkse praktijk. Tegelijkertijd neemt de dreiging van cyberaanvallen, datalekken en systeemuitval toe.
Binnen de ggz is de impact daarvan extra groot. Cliëntgegevens bevatten vaak zeer persoonlijke informatie over mentale gezondheid, behandeltrajecten en medicatie. Wanneer systemen niet goed beveiligd zijn, kunnen de gevolgen ernstig zijn, zowel voor cliënten als voor de organisatie zelf.
De IGJ benadrukt daarom terecht dat organisaties niet alleen beleid moeten hebben, maar ook aantoonbaar moeten maken dat informatiebeveiliging daadwerkelijk werkt binnen de organisatie.
NEN 7510 en ISO-certificering zijn geen papieren exercitie
Veel organisaties zijn wel bezig met informatiebeveiliging, maar lopen vast in de praktische uitvoering. Procedures bestaan op papier, maar zijn onvoldoende ingebed in de dagelijkse praktijk. Risicoanalyses worden niet structureel uitgevoerd, verantwoordelijkheden zijn onduidelijk of verbetermaatregelen blijven liggen.
Juist daarom is een goed ingericht Information Security Management System (ISMS) essentieel. De NEN 7510 vraagt organisaties om informatiebeveiliging structureel te organiseren, continu te evalueren en aantoonbaar te verbeteren.
Daarnaast zien we dat steeds meer zorgorganisaties werken aan ISO-certificering inclusief een procedure “informatiebeveiliging”. Die toevoeging aan ISO-certificeringen helpt organisaties om processen professioneel in te richten en beter voorbereid te zijn op toekomstige wet- en regelgeving, zoals de aankomende Cyberbeveiligingswet.
Maar certificering alleen is niet voldoende. Het gaat uiteindelijk om bewustwording, governance, risicobeheersing en een cultuur waarin informatiebeveiliging onderdeel is van kwalitatief goede zorg.
(Nog) geen verplichte certificering, wel compliance met de NEN 7510
Op dit moment is er nog geen zicht op een verplichte NEN 7510-certificering in Nederland. Echter, organisaties die nu voorsorteren en wel een NEN 7510-certificering realiseren hebben een duidelijke voorsprong op de concurrentie en zullen bij opdrachtgevers zoals zorgkantoren, zorgverzekeraars en gemeenten een betere positie geven.
Compliance met de NEN 7510 is wel een goede basis met betrekking tot huidige “wel” verplichte wetgevingen, die ervoor waken dat de informatiebeveiliging op orde moet zijn, zoals:
AVG (Algemene Verordening Gegevensbescherming)
Europese privacywet die regels stelt voor het verwerken en beveiligen van persoonsgegevens, waaronder medische gegevens. Zorgorganisaties moeten “passende technische en organisatorische maatregelen” nemen.
Wabvpz (Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg)
Specifieke Nederlandse zorgwet die aanvullende eisen stelt aan elektronische verwerking van patiëntgegevens. Vanuit deze wet is het werken volgens NEN 7510 verplicht geworden.
Begz (Besluit elektronische gegevensverwerking door zorgaanbieders)
Uitwerking van de Wabvpz. Hierin wordt expliciet verwezen naar NEN-normen voor beveiliging van zorginformatiesystemen.
Wegiz (Wet elektronische gegevensuitwisseling in de zorg)
Regelt veilige en gestandaardiseerde elektronische gegevensuitwisseling tussen zorgaanbieders. Informatiebeveiliging en interoperabiliteit zijn hierbij essentieel.
NEN 7510
Nederlandse norm voor informatiebeveiliging in de zorg. Geen wet op zichzelf, maar via bovengenoemde wetgeving feitelijk verplicht. Gebaseerd op ISO 27001/27002.
Regeling gebruik BSN in de zorg
Wanneer zorgorganisaties het Burgerservicenummer (BSN) verwerken, moeten zij voldoen aan beveiligingseisen die gekoppeld zijn aan NEN 7510.
NIS2 / Cyberbeveiligingswet (Cbw)
Europese cybersecurityrichtlijn die in Nederland wordt ingevoerd via de Cyberbeveiligingswet. Zorginstellingen krijgen aanvullende verplichtingen rondom cyberweerbaarheid, meldplicht en governance.
Wet beveiliging netwerk- en informatiesystemen (Wbni)
Huidige Nederlandse cybersecuritywet, voorloper van de Cyberbeveiligingswet/NIS2.
ZAM ondersteunt zorgorganisaties bij duurzame verbetering
Bij Zorg Assist Management (ZAM) herkennen wij de uitdagingen waar zorgorganisaties voor staan. Informatiebeveiliging vraagt om specialistische kennis, maar ook om praktische toepasbaarheid binnen de dagelijkse zorgpraktijk.
ZAM ondersteunt organisaties bij:
- het opzetten en verbeteren van informatiebeveiliging;
- implementatie van NEN 7510;
- voorbereiding op ISO-certificering;
- inrichting van governance en compliance;
- uitvoeren van risicoanalyses en verbeterplannen;
- bewustwording en training binnen teams;
- voorbereiding op audits en onafhankelijke beoordelingen.
Onze aanpak is pragmatisch en gericht op duurzame verbetering. Niet alleen voldoen aan normen, maar zorgen dat processen daadwerkelijk werken in de praktijk.
Niet alleen de ggz
Hoewel de recente aandacht vooral uitgaat naar de ggz, speelt deze uitdaging veel breder binnen de zorgsector. Ook organisaties in de jeugdhulp, ouderenzorg, gehandicaptenzorg en eerstelijnszorg krijgen te maken met steeds strengere eisen rondom informatiebeveiliging en digitale weerbaarheid.
De IGJ heeft aangekondigd haar toezicht verder uit te breiden naar andere zorgsectoren. Organisaties doen er daarom verstandig aan om nu stappen te zetten, voordat incidenten of handhaving hen daartoe dwingen.
Lees hier de publicaties van de IGJ
Informatiebeveiliging bij meerderheid grotere ggz-organisaties niet op orde
Inspectie maakt zich zorgen over informatiebeveiliging in de ggz
Van verplichting naar verantwoordelijkheid
Goede informatiebeveiliging draait uiteindelijk niet alleen om wetgeving of certificaten. Het gaat om verantwoordelijkheid nemen voor de veiligheid en privacy van cliënten, medewerkers en samenwerkingspartners.
In een zorgsector die steeds digitaler wordt, is informatiebeveiliging geen IT-project meer. Het is een bestuursvraagstuk én een essentieel onderdeel van goede zorg.
Zorg Assist Management helpt zorgorganisaties om die verantwoordelijkheid concreet en werkbaar in te vullen, met oog voor kwaliteit, continuïteit en vertrouwen. Neem gerust contact op voor meer informatie.
Wij zijn Zorg Assist Management en ondersteunen zorg- & welzijnsorganisaties bij: aanbesteden, kwaliteit, IGJ inspectierapporten, beleid & strategie, detacheren op management niveau, zorg-administratie & indiceren, externe vertrouwenspersonen en bij het vinden & aanvragen van subsidies. Nieuwsgierig naar ons? Bel of mail ons en wij maken graag een vrijblijvende afspraak, om wederzijds te bespreken wat wij voor elkaar kunnen betekenen: 085 444 4970 / info@zam.nu
Bronnen: IGJ, Rijksoverheid, wetten-overheid
