Lang niet alle ziekenhuizen houden zich aan de wettelijke norm voor informatiebeveiliging. Ze doen ook te weinig om ict-storingen te voorkomen. De Inspectie Gezondheidszorg en Jeugd stelt daar nu een deadline voor in. Uiterlijk eind 2023 moeten alle ziekenhuizen aan de norm NEN 7510 voldoen die geldt voor zorginstellingen.
De inspectie heeft hiertoe besloten na enquêtes onder veertien ziekenhuizen die slachtoffer werden van een grote ict-storing. Onlangs nog ging het mis bij Maastricht UMC+. Op donderdag 8 september viel bijna het hele ziekenhuis stil. Afspraken moesten worden afgezegd.
Bij twaalf van de veertien storingen hadden de technische problemen flinke gevolgen voor de zorg. Volgens de rapportages van de ziekenhuizen liep geen enkele patiënt aantoonbaar gezondheidsschade op door de storing. De inspectie heeft daar ook geen aanwijzingen voor.
Dat neemt niet weg dat de gevolgen voor de patiënten groot waren. Zo konden de zorgverleners niet meer bij het elektronisch patiëntendossier. En bij tien storingen moest de spoedeisende hulp dicht. Ook stelden tien ziekenhuizen operaties uit. De instellingen betrokken de patiënten zelf niet bij de evaluatie van de storing. Dat kan wat betreft de inspectie beter, omdat de ziekenhuizen ook van hen kunnen leren. Volgens de Inspectie kunnen ziekenhuizen ook meer doen om bij een ict-storing de impact voor patiënten te verkleinen.
Oefenen noodzaak
Uit de eigen onderzoeken van de ziekenhuizen komen vijf lessen voor bestuurders en ict-managers naar voren. Zo is het belangrijk dat ziekenhuizen oefenen voor verschillende soorten crises. Alle ziekenhuizen waren het erover eens dat dit moet gebeuren. De organisaties die dat hadden gedaan gaven aan daarvan te hebben geprofiteerd. En die het niet of te weinig hadden gedaan ervoeren er de negatieve gevolgen van.
Vanaf 2018 heeft de IGJ aan veertien ziekenhuizen vragen gesteld na een grote ict-storing. Het ging meestal om storingen die enkele uren tot een dag duurden. De directe oorzaak was vaak dat een technisch ict-onderdeel zoals netwerk, opslag of bekabeling kapot ging. Dit had dan onverwacht grote gevolgen. Meestal viel de toegang tot het elektronisch patiëntendossier (epd) weg. Daarna sloot het ziekenhuis de spoedeisende hulp en stelde poliklinische afspraken en operaties uit.