SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Risicobewustzijn bij veel ziekenhuizen onder de maat
Een jaar geleden constateerden het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) dat het risicobewustzijn bij veel ziekenhuizen nog onder de maat is. Dit naar aanleiding van een onderzoek bij twintig ziekenhuizen waarbij is gekeken naar hoe medewerkers omgaan met de verwerking van gevoelige persoonsgegevens. Bij vijftien van de twintig onderzochte ziekenhuizen was er nog niet in voldoende mate sprake van een passend beveiligingsniveau. Bij vijf ziekenhuizen was er zelfs sprake van een onvoldoende passend beveiligingsniveau. Vier ziekenhuizen kregen van het CBP bovendien een last onder dwangsom opgelegd.
Onjuist of slordig gebruik van gegevens
Onjuiste invoer, miscommunicatie tussen verschillende programma’s en gebruik van verouderde coderingstabellen kunnen immers leiden tot onjuiste gegevens over bloedgroepen en allergieën, met alle gevolgen van dien. Uitval van systemen door stroomstoringen bijvoorbeeld kan leiden tot het verlies van gegevens en uitval van operatieprogramma’s. En als er slordig wordt omgesprongen met inloggegevens door personeel of een systeem niet voldoende is beveiligd liggen privacygevoelige gegevens voor het oprapen. Volgens Jacob Kohnstamm, voorzitter van het CPB, is het aannemelijk dat het merendeel van de ziekenhuizen hun zaken nog niet op orde heeft. ‘Omdat het onmogelijk was om alle ziekenhuizen te beoordelen, hebben wij voor ons onderzoek destijds twintig willekeurige ziekenhuizen bezocht. De onderzochte ziekenhuizen liepen vrijwel allemaal achter op het gebied van informatiebeveiliging. Hoewel niet wetenschappelijk bewezen, is er reden genoeg om te veronderstellen dat ook de meeste andere ziekenhuizen hun informatiebeveiliging niet op orde hebben.’
Geen goede risicoanalyse
Het CBP legde vier ziekenhuizen een last onder dwangsom op, omdat hun niveau van beveiliging niet voldoet aan de daarvoor geldende norm en zij onvoldoende vaart maken met het verbeteren van de informatiebeveiliging. ‘Zij hadden nog altijd geen risicoanalyse laten maken en weten dus ook niet welke gevaren zij lopen op het gebied van informatiebeveiliging. Dit kan ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patiënten. Bovendien hadden zij binnen hun organisatie ook nog geen informatiebeveiligingsfunctionaris aangesteld of een portefeuillehouder informatiebeveiliging binnen de Raad van Bestuur aangewezen.’ Het niet beschikken over een goede risicoanalyse is volgens de CBP-voorzitter voor veel ziekenhuizen de achilleshiel op het gebied van informatiebeveiliging. ‘Als je niet weet waar je risico’s loopt, is het ook onmogelijk om hiervoor beleid uit te stippelen. Wanneer er een deskundige wordt ingehuurd, kan er binnen anderhalve maand een risicoanalyse worden ontwikkeld.’
Bewustwordingsproces
Het Rijnlandziekenhuis, met locaties in Leiderdorp en Alphen aan den Rijn, was een van de instellingen die een last onder dwangsom kreeg opgelegd. Volgens woordvoerder Paul van Roermund staat informatiebeveiliging hoog op de agenda. ‘Het was dan ook geen kwestie van het ontbreken van een risicoanalyse. De risicoanalyse werd onvoldoende actueel geacht en moest dus worden geactualiseerd. Dat gebeurt nu.’ Van Roermund noemt de beveiliging van de patiëntgegevens een omvangrijke klus, die heel belangrijk is. ‘Om het personeel bewust te maken van de risico’s van hun handelen hebben we al een tijd geleden een bewustwordingsproces in gang gezet. De afhankelijkheid van ict in zorgprocessen neemt namelijk steeds verder toe. Het gebruik van digitale dossiers bijvoorbeeld vraagt om een andere manier van beveiliging dan het gebruik van papieren dossiers. Alleen al omdat ze voor meerdere mensen toegankelijk kunnen zijn. Een ander voorbeeld van een actie in het kader van de informatiebeveiliging is het in gebruik nemen van twee geografisch gescheiden datacenters. Hier worden alle data van het ziekenhuis in opgeslagen waardoor de continuïteit is geborgd. Dus in geval van brand of een andere calamiteit op een van de locaties, zijn de gegevens toch beschikbaar.’ CBP-voorzitter Kohnstamm benadrukt dat het niet moeilijk is voor ziekenhuizen en zorginstellingen om te voldoen aan de eisen van de NEN 7510. ‘Het belangrijkste is dat zij er aandacht aan willen besteden en geld en menskracht voor vrijmaken. Jammer genoeg wordt informatiebeveiliging nu nog vaak van het prioriteitenlijstje gehaald, maar ik verwacht dat het in de komende jaren steeds hoger op de agenda komt te staan.’
Gedragsverandering
Informatiebeveiliging heeft voor een klein deel met technische ontwikkelingen te maken, maar blijft voor het grootste deel mensenwerk, stelt Kohnstamm, maar ook Marion Borghuis, directeur van de Centrale Huisartsenpost Nijmegen – een van de zorginstellingen die een paar jaar geleden zijn gestart met een pilot. ‘Ik denk dat hooguit tien procent van informatiebeveiliging betrekking heeft op techniek en negentig procent op gedragsverandering. Daarom moet je de organisatie informeren. Dat een keer doen is niet genoeg, om een gedragspatroon te veranderen, moet je het onderwerp continu op de agenda zetten. Bij ons komt het elke vergadering aan de orde. Het maakt deel uit van het bewustwordingsproces. Op een gegeven moment bereik je dat omslagpunt. Dan is het een gewoonte geworden om eerst aan de informatiebeveiliging te denken. Dan moet je weer oppassen dat je niet doorschiet.’ Informatiebeveiliging staat of valt dus met het gedrag van medewerkers. Volgens Kohnstamm is het daarom belangrijk dat ziekenhuizen dat ook wordt gecontroleerd of de medewerkers zich aan de opgestelde gedragscode houden. ‘Bij één van de gecontroleerde ziekenhuizen bleek bijvoorbeeld dat tijdens een opname van de voorzitter van de Raad van Bestuur in zijn eigen ziekenhuis, verschillende medewerkers die hem niet behandelden toch een kijkje gingen nemen in zijn elektronisch medisch dossier. Dat is gewoon schandalig en daar spreekt bovendien weinig vertrouwen uit. Het integriteitsbeleid moet door Raden van Bestuur van ziekenhuizen daarom hoog op de agenda worden geplaatst.’
NEN 7510
Dergelijk voorbeelden kent Borghuis ook wel uit de praktijk. Toch valt het wel mee, misschien ook omdat de ‘snuffelaars’ dankzij de zorg identificatie pas heel snel zijn op te sporen. Zij maakt regelmatig uitdraaien die ze naloopt. ‘Als er iemand misbruikt maakt van persoonlijke gegevens is het wel zaak dat deze op zijn gedrag wordt aangesproken’, aldus de directeur. In 2010 moeten alle ziekenhuizen en zorginstellingen in Nederland door middel van een extern uitgevoerde audit kunnen aantonen dat zij voldoen aan de wettelijke eisen op het gebied van informatiebeveiliging. Toch denkt Wilco Brouwers, senior IT auditor bij BDO Accountants en Adviseurs, dat veel ziekenhuizen en zorginstellingen zich nog onvoldoende bewust zijn van het belang van goede informatiebeveiliging. ‘Een groot aantal ziekenhuizen en zorginstellingen ziet de NEN 7510 nu nog als een van bovenaf opgelegde verplichting, maar informatiebeveiliging zal in de komende jaren een structureel onderdeel van de bedrijfsvoering worden. Dat besef moet nog groeien.’
Gevolgen
Volgens Brouwers kan slechte informatiebeveiliging grote gevolgen hebben voor ziekenhuizen. ‘Ziekenhuizen kunnen niet alleen imagoschade oplopen als bepaalde informatie onbedoeld uitlekt, maar lopen ook het risico dat ze worden geconfronteerd met schadeclaims.’ Voor de invoering van de NEN 7510 is het volgens de senior IT auditor van BDO allereerst belangrijk dat er een professionele organisatie wordt neergezet. ‘Informatiebeveiliging heeft meestal nog geen plaats gekregen in de organisatie en komt vaak bij de ict-afdeling terecht’, legt Brouwers uit. ‘Dat is gevaarlijk, want de ict afdeling mist in veel gevallen de daadkracht om interne problemen binnen een organisatie op te lossen en noodzakelijke wijzigingen door te drukken.’ Een probleem waar diverse instellingen mee kampen is bijvoorbeeld een goede uit dienst procedure. ‘Het gebeurt regelmatig dat medewerkers die uit dienst zijn nog wel een sleutel hebben, of dat hun inlogcodes niet worden verwijderd. Daardoor hebben zij nog altijd toegang tot het gebouw en het netwerk. Wanneer de it-afdeling en hrm-afdeling deze zaken goed op elkaar afstemmen, is dit probleem eenvoudig op te lossen.’ Een ander belangrijk verbeterpunt noemt Brouwers het afschermen van gegevens in systemen, waardoor belangrijke informatie niet meer automatisch voor iedereen beschikbaar is. ‘Voor veel instellingen is het lastig om te bepalen hoe en in welke mate zij als organisatie reeds aan de regels van de NEN 7510 voldoen. Dat weerhoudt veel ziekenhuizen en zorginstellingen er nog van om hiermee actief aan de slag te gaan. Maar met behulp van een goede risicoanalyse en door de juiste prioriteiten te stellen, kan relatief eenvoudig een passend pakket aan maatregelen worden samengesteld om de informatiebeveiliging op een goed niveau te brengen.’
Meer weten?
Op de cursus Inzicht in Informatiebeveiliging leert u hoe u persoonlijke data en vertrouwelijke informatie in uw organisatie beveiligd.
