Waarschijnlijk zal NEN7510, de veldnorm voor informatiebeveiliging in de zorg, binnenkort een wettelijke status krijgen. De beveiliging van patiëntgegevens moet immers altijd geborgd zijn en hier kan niet op worden afgedongen.
In het kader van hun toezichthoudende taak hebben eerder de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP) een steekproef gedaan bij enkele zorginstellingen. En in 2010 zijn alle ziekenhuizen door de IGZ verplicht geweest een externe audit informatiebeveiliging uit te laten voeren op normelementen en de risicoanalyse. Het toetsingscriteria was een baseline op dertig van de 133 normelementen en een vereiste maturity-score van twee op de schaal van één tot en met vier. Na een terugrapportage op individueel niveau van de bevindingen en een landelijke rapportage, heeft deze toets geen vervolg meer gekregen.
Huidige situatie
De toezichthouders hebben zich de laatste drie jaar terughoudend opgesteld en ook binnen kwaliteitssystemen in de zorg wordt slechts een deel van de normen voor informatiebeveiliging getoetst. Wel is, naar aanleiding van de toetsing in 2010, afgesproken dat zorgaanbieders actief verder zullen gaan met de implementatie van NEN7510.
Veel zorgaanbieders zijn al vergevorderd met de implementatie van NEN7510 en hebben een volwaardige risicoanalyse, een iso (information security officer) aangesteld, een information security management system (isms) opgezet en middels interne controlewerkzaamheden aangetoond dat beheermaatregelen zijn geborgd. Maar zorgaanbieders die zich op het gebied van informatiebeveiliging minder hebben ingespannen komen hier nog mee weg, tenminste voor zover zich geen calamiteiten hebben voorgedaan.
Nieuwe situatie
De Europese Algemene Verordening Bescherming Persoonsgegevens is mogelijk al per 2015 van kracht en verplicht zorgaanbieders onder meer om een ‘functionaris gegevensbescherming’ aan te stellen en datalekken te melden. Verder spreekt deze verordening van zeer hoge boetes. Er wordt een beperkte tijd gegeven om de genoemde maatregelen te implementeren.
Vanwege de vele ict-ontwikkelingen in de zorg in de komende jaren, zoals op gebied van gegevensuitwisseling, epd/ecd, domotica en e-health, heeft de Minister van VWS informatiebeveiliging hoog op de agenda staan. NEN7510 is de veldnorm voor informatiebeveiliging in de zorg en staat in de nieuwe ‘Algemene Maatregel van Bestuur bij wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens’, zodat deze in de nabije toekomst wet gaat worden. Het tijdstip van inwerkingtreding van deze AMvB, op grond van artikel 26 Wbp, is gekoppeld aan de inwerkingtreden van de Wet cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken 33 509).
Deze AMvB gaat véél verder dan de Europese regelgeving want het bevat de volledige NEN7510 en is hiermee voor veel zorgaanbieders niet mogelijk deze op korte termijn volledig te implementeren. Samen met intensivering van toezicht en sanctionering, zal dit voor sommige zorgaanbieders en andere verwerkers van patiëntgegevens, aanleiding zijn om informatiebeveiliging nog dit jaar hoog op de agenda te plaatsen. Ik ben benieuwd naar reacties vanuit het veld.
Een 2 op een schaal van vier is maar een matige voldoende. Beveiliging is lastig en dus wordt gekozen voor security though obscurity waarmee het inderdaad wachten is op de eerste calamiteit. Of de eerste klokkenluider want huidige bewegingen hebben toch veel weg van een Afrikaans rondvaartbedrijf: Bij elk lek iemand in de kano zetten om te hozen. Sorry Chist, maar je hebt de theorie en de praktijk en daar tussen in vaak nog een gapend groot gat.
Christ,
Goed stuk, dank. Ik ben benieuwd naar het volgende:
Je schrijft over de toetsing in 2010. Ik krijg uit je stuk de indruk dat dit als een soort nulmeting / tussenstap is opgestart (want gebaseerd op een subset van de norm), waarbij je aangeeft dat dit geen vervolg heeft gekregen.
Graag je mening over de redenen dat dit vervolg er niet was. Zijn deze redenen nog steeds actueel?
@Michiel. Bij zorginstellingen is veel werk verzet. Dus naar mijn mening hebben toezichthouders vertrouwen in de voortgang van de implementatie van NEN7510 bij de zorginstellingen en eerder was er nog onduidelijkheid over de eisen voor een risicoanalyse. Ook hebben sommige zorginstellingen een functionaris voor gegevensbescherming waarmee de naleving op bescherming van persoonsgegevens is geborgd, zodat toezichthouders zich terughoudend kunnen opstellen.
Christ – er is volgens mij nog heel veel meer werk te verzetten. De toezichthouder wil – opnieuw “volgens mij” – helemaal niet dat zorginstellingen een control-set als doel stellen. In plaats daarvan willen ze dat de organisatie kan aantonen dat ze in een continue verbeterloop zitten. Dat betekent dat ze van binnenuit een continue verbetering beheersen, en dat ze die toepassen op die zaken die voor die zorginstelling van het grootste belang zijn. Puntmetingen zijn dan minder belangrijk. Borging van die verbetering moet centraal staan.
Ik heb daar net een bijdrage over geschreven, zie https://www.computable.nl/artikel/opinie/management/5027710/2379250/zorg-en-financiele-wereld-verschillen-niet-zo-veel.html
Het is inderdaad intussen al een stapje verder: NEN7510 is in 2014 “dwingend voorgeschreven” door de Minister van VWS, voor organisaties die het burgerservicenummer willen gebruiken bij elektronische gegevensuitwisseling (EPD’s).