Het belang van informatiebeveiliging in de zorg
Informatie en communicatie zijn in de zorg van levensbelang. Zorgaanbieders en patiënten gebruiken steeds vaker elektronische middelen om met elkaar te communiceren en informatie te delen. Hierbij kan worden gedacht aan e-health oplossingen waarbij patiënten via een portaal inzage krijgen in hun medisch dossier of aan online consults. Ook de opkomst van consumenten e-health (apps voor de smartphone en wearables) zal in de komende jaren een enorme vlucht nemen. Daarnaast gaan partners in de keten steeds intensiever samenwerken c.q. gegevens uitwisselen. Dit betreft samenwerking tussen zorginstellingen onderling, maar ook gemeenten, ambulancediensten en verzekeraars maken onderdeel uit van dit ecosysteem. Het belang van adequate informatiebeveiliging dient in het licht van deze ontwikkelingen, de toenemende regelgeving en het belang van de patiënt hoge prioriteit te hebben binnen zorginstellingen.
Belang
“Het leveren van goede en veilige zorg is niet mogelijk zonder effectieve informatievoorziening”, stelt Edwin Jonkers, senior consultant Zorg bij SLTN Inter Access. “Medische gegevens van patiënten, informatie-uitwisseling in de keten en toenemend gebruik van ICT hulpmiddelen, al dan niet via Internet, stellen hoge eisen aan informatievoorziening in zorginstellingen en de beveiliging daarvan”.
Met regelmaat komen zorginstellingen in het nieuws, omdat er problemen zijn met de informatiebeveiliging. Dit is vooral schadelijk voor de betrokken patiënten, maar ook voor de betreffende zorginstelling. Edwin: “Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en is daarmee een onderwerp dat niet alleen de ICT afdeling raakt, maar ook zorgverleners, bestuurders en directie van zorginstellingen. Immers, patiënten en cliënten moeten erop kunnen vertrouwen dat hun persoonsgegevens veilig zijn bij de zorginstelling en zorgverleners moeten er op kunnen vertrouwen dat de patiëntinformatie altijd aanwezig en correct is”.
Wet- en regelgeving
Informatiebeveiliging heeft ook vanuit de wetgever een hoge prioriteit. De belangrijkste wet- en regelgeving op het gebied van informatiebeveiliging in de zorg betreft de Wet bescherming Persoonsgegevens (WbP) en de NEN7510 norm. De WbP regelt de omgang met persoonsgegevens in Nederland. Het College Bescherming Persoonsgegevens (CBP) ziet toe op de naleving van deze wet.
De NEN7510 als norm voor informatiebeveiliging is een uitwerking van de WbP en wordt door de minister als dwingend voorgeschreven. De Inspectie voor de Gezondheidszorg heeft deze norm in haar toezicht opgenomen.
Daarnaast zijn er vanuit de Europese Unie nieuwe regels ter bescherming van persoonsgegevens, die ook hun impact zullen hebben op de zorg. De Algemene Verordening Gegevensbescherming (AVG) vereist onder andere een meldplicht voor datalekken en het aanstellen van een privacy functionaris. De sancties zijn bijzonder zwaar: het CBP krijgt de bevoegdheid om boetes op te leggen tot maximaal 100 miljoen euro of vijf procent van de jaaromzet van de organisatie.
Risico’s
Zorginstellingen en patiënten gaan steeds meer voordelen ervaren van het delen van informatie ten behoeve van de gezondheidszorg. Een even groot aantal zorgleveranciers en patiënten maakt zich veel zorgen over het delen van persoonsgegevens zonder toestemming. Vandaar dat er in Amsterdam een initiatief is gestart voor een nieuw elektronisch patiënten dossier, zodat de patiënt altijd toestemming moet geven. “Hiermee is in elk geval een stap gezet aan de privacy kant”, stelt Alain Rees, manager Cyber Security bij SLTN Inter Access. “Als er met meerdere partijen gegevens gedeeld worden, zullen de risico’s vermenigvuldigen. De keten wordt langer, waardoor er meer (zwakke) schakels in de keten zitten.”
Een andere trend in de zorg is het aan elkaar koppelen van apparaten, Internet of Things. Ook dat kan er voor zorgen dat de gezondheidszorg beter wordt. De arts kan bijna live zien hoe het gaat met de bloeddruk, hartslag etc. van de patiënt. In plaats van bij een consult achteraf de gegevens uit te lezen. Alain: “Wanneer je meer apparaten aan het internet gaat koppelen, worden de risico’s steeds groter. Er ligt een taak voor degene die er verantwoordelijk voor is dat persoonsgegevens niet op straat komen te liggen. Die persoon moet er voor zorgen dat er maatregelen genomen worden die dit voorkomen. En de gebruikers van het systeem mogen hier geen last aan ondervinden. Als dat wel het geval is wordt de securitymaatregel automatisch zelf het risico. Mensen zijn creatief genoeg om dan andere manieren te vinden om gegevens te delen, zoals whatsapp, dropbox, enz. waardoor er weer risico’s op het lekken van data ontstaan.
Een groot risico vandaag is dat te veel bedrijven zich gaan richten op de boetes die ze opgelegd kunnen krijgen door de wetgever vanaf 1 januari. Daar zou het niet om moeten gaan. Het zou moeten gaan om betere zorg, door gebruik te maken van innovaties die veiligheid van persoonsgegevens al in het ontwerp hebben meegenomen.”
Tot slot
Informatiebeveiliging is voor iedere zorginstelling een complex dossier dat vele facetten kent. Het is niet zozeer een resultaat als wel een continu proces. De belangrijkste eerste stap in dit proces is de bewustwording van medewerkers op alle niveaus en door de hele organisatie heen. Pas daarna is het zinvol om te starten met het identificeren en kwalificeren van risico’s en het selecteren en implementeren van de maatregelen die men wil treffen.