Informatiebeveiliging in de zorg

De overheid vindt informatiebeveiliging in de zorg zo belangrijk dat zij de hiervoor bestaande norm (NEN 7510) gratis beschikbaar stelt. Ook de Autoriteit Persoonsgegevens en de patiëntenorganisaties besteden veel aandacht aan privacybescherming en de beveiliging van persoonsgegevens. Het gaat daarbij niet alleen om het beheer van elektronische patiënten/cliëntendossiers, maar ook om de verspreiding van verslagen van cliëntbesprekingen, de toegang tot computers met vertrouwelijke informatie, etc.

Zorgaanbieders kunnen de informatiebeveiliging niet alleen overlaten aan hun ICT-afdeling, maar moeten er ook op toezien dat hun medewerkers zorgvuldig omgaan met de privacy van hun cliënten, en organisatorische maatregelen nemen om de risico's van datalekken te beperken. Kleine zorgaanbieders kunnen in de meeste gevallen volstaan met een eenmalige of periodieke doorlichting van hun bedrijfsvoering (quick scan). Grotere organisaties doen er goed aan hun managementsysteem uit te breiden naar informatiebeveiliging, en daarbij uit te gaan van NEN 7510. Het Keurmerkinstituut heeft in samenwerking met de ICT-dienstverlener iCare Solutions voor beide varianten een ondersteuningsaanbod ontwikkeld. Ook bieden we een cursus 'Starten met informatiebeveiliging' aan; raadpleeg het overzicht van opleidingen elders op deze site. Zie ook ons onderzoek-aanbod met o.a. Data Protection Impact Analysis (DPIA).

Verklaring na doorlichting (quick scan)

Zorgaanbieders met een eenvoudige organisatie- en ICT-structuur kunnen hun bedrijfsvoering laten doorlichten door het Keurmerkinstituut. Daarbij letten we o.a. op de technische voorzieningen, zoals virusbescherming op computers, wachtwoorden op hard- en software, backup-procedures, toegang tot ruimtes met vertrouwelijke gegevens (sleutelbeheer). Ook de menselijke aspecten van informatiebeveiliging worden beoordeeld; daarbij gaat het om besef van risico's, omgang met wachtwoorden, etcetera.

De tot nu toe uitgevoerde onderzoeken naar informatiebeveiliging in de zorg leverden de volgende kenmerkende verbeterpunten op:

  • de risico's van relevante informatiestromen zijn niet goed in beeld
  • de beveiligingsmaatregelen zijn beperkt tot de ICT-infrastructuur
  • medewerkers nemen papieren cliëntendossiers mee naar huis
  • ex-medewerkers houden na vertrek toegang tot groepsaccounts
  • ICT-leveranciers hebben ongecontroleerd toegang tot hard- en software

Tot zover een kleine selectie uit de aangetroffen tekortkomingen.

Als blijkt dat u de informatiebeveiliging goed op orde hebt, geeft het Keurmerkinstituut een verklaring uit waarop dat is verwoord. Deze verklaring geeft u in de eerste plaats zelf de zekerheid dat de informatiebeveiliging op niveau is, en kan ook worden gebruikt om opdrachtgevers en contractpartners gerust te stellen. Gezien de snelle ontwikkelingen in het werkveld is het aan te raden de verklaring jaarlijks te actualiseren.

Certificaat na audit op basis van NEN 7510

Voor grotere zorgaanbieders is de norm NEN 7510, Informatiebeveiliging in de zorg, meer geschikt. Deze norm is een afgeleide van de internationale norm voor informatiebeveiliging ISO 27001, Information security management. Evenals de HKZ-schema's en NEN-EN 15224 is NEN 7510 op dezelfde leest geschoeid als ISO 9001. Dit betekent dat u doelen moet stellen en risico's beperken. Het management moet het voortouw nemen, middelen beschikbaar stellen, de resultaten op de voet volgen, analyseren en waar nodig bijsturen (pdca-cirkel). De verschillen met ISO 9001, HKZ e.d. zitten in het onderwerp: NEN 7510 gaat niet over de kwaliteit van zorg, maar over informatiestromen, hoe deze door uw organisatie gaan, welke (privacy)risico's ermee gemoeid zijn, en welke maatregelen moeten worden genomen om de risico's te beperken. Het Keurmerkinstituut kan een audit uitvoeren ten behoeve van certificering op NEN 7510, maar het is ook mogelijk te beginnen met een proefaudit of een nulmeting.

Als blijkt dat uw informatiebeveiliging voldoet aan NEN 7510 ontvangt u het bijhorende certificaat. Het certificaat is drie jaar geldig, waarbij jaarlijks een controle wordt uitgevoerd op het blijvend voldoen aan NEN 7510.

Meer informatie, offerte aanvragen

Doordat het ministerie van VWS de rechten heeft afgekocht is NEN 7510 (2011) gratis beschikbaar op www.nen.nl. Dit geldt ook voor de verwante normen NEN 7512 en NEN 7513. U kunt meer informatie of een vrijblijvende offerte aanvragen via 079 363 7000 of zorgwelzijn@keurmerk.nl.