De gezondheidszorg heeft een grote hoeveelheid persoonlijke informatie van cliënten tot haar beschikking. Dit is nodig voor de uitvoering van haar taken, maar schept verplichtingen om te voorkomen dat deze gegevens in verkeerde handen vallen.
Deze verplichtingen zijn te vatten onder de noemer informatiebeveiliging. Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Het onderwerp heeft een overlap met het Privacyreglement en de KHZ certificering, maar is niet hetzelfde.
Zulke beveiliging is niet alleen een technische kwestie, maar vooral één van bewustzijn, gedrag, verantwoordelijkheid, beleid en regelmatige toetsing. Daarnaast heeft informatiebeveiliging niet alleen betrekking op de organisatie zelf, maar ook op ketenpartners en leveranciers. Beveiliging is immers zo sterk als de zwakste schakel.
100 procent beveiliging is theoretisch niet mogelijk en ook het streven daarnaar is praktisch niet haalbaar door de exponentieel groeiende kosten. Elke organisatie moet zelf een maximum niveau bepalen en zich bewust zijn en blijven van het overblijvende risico. Het minimum niveau wordt bepaald door de wetgever.
Wetgeving en normstelling
Informatiebeveiliging is een wettelijke plicht. In het geval van de gezondheidszorg gaat het om de Wet Bescherming Persoonsgegevens (Wbp). Artikel 13 van de Wet bescherming persoonsgegeven (Wbp) verplicht een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen’.
Op basis van die wet is de norm NEN7510:2011 voor informatiebeveiliging binnen de zorgsector opgesteld. Deze norm zelf is niet verplicht, maar een uitwerking van de Wbp. Voldoet een zorginstelling aan de NEN7510:2011, dan wordt voldaan aan artikel 13 Wbp, zo is te stellen. Hoewel de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP) stellen dat ook op andere wijze aangetoond mag worden dat informatiebeveiliging in orde is, toetsen zij uitsluitend aan de NEN7510:2011.
De NEN7510:2011 geeft een kader en geen concrete(re) invulling van de termen ‘passende maatregelen’ en ‘verantwoorde zorg’. Invoering van alle maatregelen NEN7510:2011 is niet noodzakelijk, zolang de doelstellingen uit de norm gehaald worden en aantoonbaar is dat er goed beheer wordt gevoerd. Dit betekent dat een zorgorganisatie zelf mag (en moet) bepalen wat een passend beveiligingsniveau is. Dit onderstreept de noodzaak voor een op de organisatie toegespitst informatiebeveiligingsbeleid.
De gezondheidszorg worden diverse organisaties jaarlijks HKZ gecertificeerd volgens de landelijke normen (kwaliteitseisen) opgesteld door de stichting Harmonisatie Kwaliteitsbeoordeling in de Zorg (HKZ). De HKZ norm raakt ook informatiebeveiliging (bij de punten 4.2, 7.5 en 9.4) maar heeft een brede kwaliteitsfocus en geen verdieping in de informatiebeveiliging. Omdat HKZ en NEN deze lacune onderkenden fuseren zij als organisatie formeel per 1 januari 2013. Een geïntegreerde norm komt er echter pas als de branche dat wil.
Acties
De verplichtingen moeten voor elke zorgorganisatie specifiek worden uitgewerkt in een praktisch toepasbaar informatiebeveiligingsbeleid. Bij het maken van dit beleid moet de wetgeving nader worden verkend om te bezien waar de organisatie al dan niet aan voldoet. Daarnaast moet er in het beleid een evenwicht komen in wat de organisatie moet enerzijds en de organisatie wil anderzijds. Het beleid moet niet alleen een excuusdocument zijn, maar ook een kans om de werkwijze ten goede te verbeteren.
Het informatiebeveiligingsbeleid moet daarna worden omgezet in een actieplan. Na een nulmeting moet dit actieplan worden uitgevoerd zodat de risicobeheersing geborgd wordt, zowel in de techniek als in de menselijke kant. Het is duidelijk een verhaal voor de werkwijze in de organisatie, en niet iets voor de ict-afdeling.
Beoogd resultaat
Het beoogde resultaat is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid (is veiligheid) van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Daarbij wordt voldaan aan de resultaten zoals beschreven in de NEN7510:2011, zodat de organisatie werkt conform art. 13 van de Wpb. Uiteindelijk geldt dat integrale informatiebeveiliging moet leiden tot een verhoging van de kwaliteit van de zorg.
De term beschikbaarheid treft ook nog een andere dicipline nl. digitale duurzaamheid. Medische gegevens moeten bij een “bijzondere ziekte” wel over 100 jaar nog beschikbaar zijn. Het is raadzaam dit issue maar direct meenemen in de “beveiliging van gegevens”.
Beste Ron,
Ik vind je artikel eerlijk gezegd een beetje een open deur. Ik vat het als volgt samen: stel beleid op (pak een norm en schrijf het op in een beleidsdocument), en stuur het de organisatie in met een todo lijstje.
Dat is een werkwijze die gedoemd is te mislukken.
Het kernprobleem is dat informatiebeveiliging niet wordt gezien als organisatiecultuur. Zonder het aanpakken van dat culturele aspect, iets wat in geen enkele norm te vinden is, lukt het niet.
Een paar oorzaken:
– Het idee dat informatiebeviliging een kwestie van techiek is; “Kastje kopen”
– Het idee dat je informatiebeveiliging volledig kunt delegeren (aan een CISO) of uitbesteden
– Het onvoldoende vooraf budgetteren van informatiebeveiliging voor in te voeren systemen. Waardoor het er, qua kosten, achteraf niet meer in past.
– Het ontbreken van kennis over de concrete invulling van beviligingsmaatregelen, audit standaards, keten complexiteiten. Dat is helaas ook (nog) niet in de genoemde normen te vinden.
Zoals in de luchtvaart: informatiebeveiliging moet eerst worden gezien als een kernwaarde van de hele onderneming, in plaats van als een noodzakelijk kwaad. Een waarde die door de top gezien gaat worden als een unique selling point (het verkopen van vertrouwen), en niet als kosten. Dat geldt ook voor de publieke sector…
Ik moet me hier even bij mijn voorganger – criticus aanschuiven. Ten tijde van Ab Klink heb ik hem rechtstreeks gewaarschuwd dat de basis van het hele dossier EPD een aantal zeer gevaarlijke scheuren vertoonden.
Ab vond het niet nodig hierop te reageren en we weten wat er gebeurde. Op een politiek volkomen oneigenlijke manier heeft hij getracht zijn zin er door te persen, gelukkig is hem at niet gelukt. Hij heeft de belastingbetaler tot dan toe ruim zeshonderd miljoen gekost en…. dan heb je gelukkig niets.
Deel twee kwam onlangs. Maar nu via een verachtelijke achterdeur namelijk via de verzekeringsmaatschappijen. Artsen moesten tekenen dat zij mee zouden werken aan het door de verzekeringen gedicteerde EPD of anders. Gelukkig heeft een grote groep dit aanhangig gemaakt publicitair. Want…… Juridisch gezien konden zij niet voldoen aan die ‘dwang’ want zij hebben namelijk de schriftelijke toestemming van de patiënt in kwestie nodig.
Velen hebben er bij Schipper al op aan gedrongen te stoppen met het EPD in zijn huidige vorm. Waarom? leest u even mee?
Een verzekeringspasje met een chip met daarop door de patiënt verkozen informatie en foto. Denk hier dan even aan;
– Foto
– NAW gegevens
– ICE
– Verzekeringsnummer
– ISBN
– Huisarts
– Bloedgroep
– medicijn gebruik of allergie
– Specifieke noodzakelijke medische informatie aan patiënt voorbehouden
Kosten, € 0,25 per verzekerde eenmalig. Pasjes worden namelijk door de verzekering gratis aangeboden. Data kan in de vorm van een eenvoudig print screen worden opgeslagen en te allen tijde bij verzekering of in een ziekenhuis worden aangepast.
Alle ziekenposten die u kunt bedenken een eenvoudige kaartlezer. Software verder totaal overbodig want elke pc heeft standaard een programma dat een .gif uit kan lezen. Geef alle mobiele posten een laptop of tablet met een ingebouwde kaartlezer en klaar.
Het zal hier gaan om een fractie van die zeshonderd miljoen en zeer eenvoudig te implementeren.
Dan de ziekenhuizen onderling. Die hebben al contact onderling vaak met een beveiligde verbinding. Maak daar een eenvoudig standaard van zodat data, bij noodzaak, zo van het ene ziekenhuis, na persoonlijke verificatie, aan het ander ter beschikking kan worden gesteld.
Probleem van de verschillen in software per ziekenhuis? Onzin. Data is data en die is te converteren. Een CAT scan en rongen opnamen zijn moeiteloos te digitaliseren.
Voordelen?
– Had allang kunnen zijn geïmplementeerd
– Low cost
– Verificatie van verschillende kanten
– Patiënt regie over eigen data
– Bij echte noodgevallen meteen de juiste data voor handen
en……………..
– Niemand kan verder meer misbruik maken van het systeem.
Immers, wanneer een patiënt zich meld bij dokter of ziekenhuis, kan de receptionist(e) in één oogopslag zien dat die met de juiste patiënt te maken heeft. Zelfs als die buiten bewustzijn is.
Het is verbazingwekkend dat er geen IT consultant in de buurt van de top zit die heel eenvoudig kan roepen, doe eens waar IT voor is bedoeld. Geld besparen door automatiseren. Niet door idiotie uit te vinden.
Got the picture? Mevrouw Schipper?
Het artikel is een opsomming van wat hè normaal gesproken al zou moeten uitvoeren, niets nieuws.
Ik vraag mij altijd af waarom er zoveel weerstand tegen digitale informatie in de zorg is.
Wel eens gekeken naar hoe het nu gaat? 60-70% van de dossiers staat op papier. Dossiers, recepten foto’s en andere zaken worden nog massaal gefaxt, per post verstuurd of gewoon meegegeven.
Patientnamen staan op borden in het ziekenhuis en worden bij verpleegkamers opgeschreven.
Dossiers raken zoek, liggen op balies of worden door personeel mee naar huis genomen of staan in archiefkasten in huisartsen praktijken.
Nog erger is het als delen van papieren informatie zoekraakt of wordt vervreemd.
Dit voldoet allemaal niet aan de normgevend voor digitale informatie, maar daar stoort niemand zich aan. I k durf te stellen dat digitale informatie in ieder geval veiliger is dan de bestaande papieren informatie.
Ten aanzien van het toepassen van pasjes, dat is in de praktijk lastig want je zult die informatie op de pas moeten beveiligen en hei doe je dit nu weer?
Ook een eye opener: röntgen foto’s, output van MRI scans e.d is alleen nog naar digitaal beschikbaar.
@NumoQuest. Informatie van jouw pas wordt “ingelezen” en dus ergens opgeslagen. En dan ook, via de door jou genoemde beveiligde verbinding, verstuurd en dus ook weer elders opgeslagen. Voila, probleem van centrale of decentrale opslag blijft dan dus gewoon bestaan.
Maar ben het wel met je eens dat de markt slimmere en betere oplossingen kan verzinnen dan de overheid. Die moet reguleren en toezien, meer niet. En ook zeer eens met @willem. Lees mijn artikel https://www.computable.nl/artikel/opinie/cloud_computing/4621626/2333364/markt-en-overheid-aan-zet-voor-het-epd.html
Al eens gekeken naar bijvoorbeeld microsoft healthvault? Eerste reactie die ik krijg als ik het op mijn mobieltje laat zien: Wat??? Microsoft met jouw medische informatie, ben je waanzinnig geworden ? Mijn reactie: denk nog eens goed na. Als banken nog niet bestonden en ik zou mijn geld daar gaan stallen zou ik dezelfde reactie krijgen. Toezicht is nog zeker niet compleet, maar (afgezien van het patriot act issue, waarvan mij niet helemaal duidelijk is of dat hier ook van toepassing is) is de richting goed. Kijk eens naar Microsofts ISAE3402 control hierop.
M.a.w. als een bedrijf het doet, en als het goed wordt gereguleerd en gecontroleerd, wat is dan precies het probleem?
@ Michiel
Die informatie is al eenvoudigweg opgeslagen bij arts en hopelijk op een veilige manier natuurlijk bij de verzekeringsmaatschappij. Waar ik op doelde is dat het van de gekken is dat je voor zeer veel belastinggeld niet eens gebruik weet te maken van de bestaande middelen die IT bied.
Er veranderd dus niets aan de wijze waar bestaande data van dit moment al ligt opgeslagen. Misschien is dat nog aan wat beveiligingsverbetering onderhevig. Wat ik maar bedoel te zeggen is dat je eenvoudig met bestaande situaties heel goed uit de voeten kan, zij het soms met wat aanpassingen.
Bovenstaande had allang geïmplementeerd kunnen zijn voor een kwartje. Je pakt meteen enkele problemen aan en je hoeft geen honderden miljoenen uit te geven wielen opnieuw uit te vinden. Eis dat de protocollen van artsen en ziekenhuizen wordt aangepast en laat ze op elkaar aansluiten. oe moeilijk kan dat zijn?
Zou moeten, en “moet leiden tot” en “moet dan worden omgezet”.
Dan als “konklusie”.
“Uiteindelijk geldt dat integrale informatiebeveiliging moet leiden tot een verhoging van de kwaliteit van de zorg.”
De kwliteit van de zorg kan alleen omhoog met personele middelen (verpleging) en zeker niet met ICT of privacybeleid.
Evenmin leidt een betere boekhouding tot een hogere kwaliteit van de zorg.
Werk eens een paar maanden in de zorg dan kom je weer met twee benen op de grond.
Sorry maar over dit soort artikelen windt ik me op.