Ziekenhuizen zijn zich steeds meer bewust van de afhankelijkheid van ICT-systemen, maar minder voorbereid op ICT-uitval.
Informatiebeveiliging is belangrijk, zeker in de zorgsector waar medische en patiëntgegevens worden beheerd en uitgewisseld. De Onderzoeksraad voor de Veiligheid (OVV) constateert in het rapport ‘Patiëntveiligheid bij ICT-uitval in ziekenhuizen’ dat ziekenhuizen zich bewust zijn van de afhankelijkheid van ICT-systemen, maar minder goed zijn voorbereid op uitval. “Informatiebeveiliging is één van de onderwerpen, naast IT-beheer en business continuity management, die op het hoogste bestuursniveau van het ziekenhuis thuishoren,” benadrukt Kars Jansen van NEN op grond van het rapport.
Digitale weerbaarheid
Door de toenemende afhankelijkheid van ICT is het van belang dat de ziekenhuissector de digitale weerbaarheid op orde brengt, benadrukt de OVV. Aanleiding voor het rapport waren meerdere ICT-storingen in verschillende ziekenhuizen. Deze hadden impact op de zorg. Soms klein, zoals laboratoriumuitslagen die telefonisch moesten worden doorgegeven, met een grotere kans op het maken van fouten. In enkele gevallen waren ziekenhuizen gedwongen om behandelingen uit te stellen en een tijdelijke opnamestop door te voeren.
Een van de aanbevelingen is dat ziekenhuizen de risico’s in kaart brengen en moeten evalueren wat is misgegaan. Voor wat betreft de risico’s die samenhangen met informatiebeveiliging, zou de norm NEN 7510 dan het uitgangpunt moeten zijn. Deze norm biedt zorginstellingen een raamwerk voor het opstellen van een geïntegreerd informatiebeveiligingsbeleid.
“Ziekenhuizen zijn wettelijk verplicht om te zorgen voor een adequate beveiliging van informatiesystemen die voor het leveren van patiëntenzorg cruciaal zijn,” stelt Shirin Golyardi van NEN. NEN 7510 biedt een concrete aanpak voor ziekenhuizen om de informatiebeveiligingsrisico’s die uitval van ICT met zich meebrengt voor de zorg aan patiënten, adequaat te beheersen. De richtlijnen en uitgangspunten van NEN 7510 helpen ziekenhuizen daarnaast bij het borgen van adequate veiligheidsmaatregelen en bieden handvatten om de kwetsbaarheid en niet-beschikbaarheid van ICT-systemen te testen.
“Als een ziekenhuis aan de norm voldoet, geeft een onafhankelijke certificatie-instelling een NEN 7510-certificaat af met een geldigheid van drie jaar. NEN beheert een publiek register met de certificaathouders“
Persoonsgegevens
Voor het leveren van goede zorg zijn ziekenhuizen steeds meer afhankelijk van het goed functioneren van de ICT. “Al zeker vijftien jaar wordt ICT steeds relevanter en raken datasystemen steeds meer verbonden. Daar hoort een volwassenheid bij qua informatiebeveiliging,” constateert Jansen. Om zijn punt te benadrukken, maakt hij een vergelijking met de informatiebeveiliging bij banken. “De overheid beschouwt het betalingsverkeer als vitale infrastructuur. De banken handelen daarnaar. Die zien ISO 27001, de internationale norm voor informatiebeveiliging (die als basis geldt voor NEN 7510) als een uitgangsdocument voor het meest basale beveiligingsniveau.”
“Ziekenhuizen moeten zich aan NEN 7510 houden, maar de mate van bewustzijn van de afhankelijkheid van ICT-systemen is kennelijk heel verschillend, concludeert de Onderzoeksraad”, vertelt Golyardi. “Certificatie is niet verplicht en ziekenhuizen hebben daardoor veel speelruimte om te bepalen hoe de implementatie van het wettelijk verplichte managementsysteem voor informatiebeveiliging plaatsvindt. Alle ziekenhuizen geven aan te voldoen aan de NEN 7510 norm, maar lang niet alle ziekenhuizen zijn gecertificeerd. Wat NEN betreft is certificatie een logische laatste stap om de implementatie van informatiebeveiliging op de juiste wijze in een organisatie te borgen.”
Integrale test
Vaak is er een grote afstand tussen ICT en het zorgproces, doordat beide afzonderlijk worden benaderd, constateert Jansen. Hij benadrukt dat het belangrijk is dat deze door middel van een brugfunctie aan elkaar zijn gelinkt. NEN 7510 geeft een kader waarbinnen ziekenhuizen de voor hun proces relevant geachte informatiebeveiliging kunnen specificeren, inclusief de daarbij behorende maatregelen.
Met NEN 7510 worden de risico’s in kaart gebracht. “Vaak ontbreekt het aan een integrale test. Systemen worden vaak afzonderlijk getest, ook qua back-up, maar systemen en applicaties zijn meer en meer ‘connected’. Daar wordt onvoldoende op getest, waardoor het lijkt het of alles werkt. Hierdoor kunnen relatief kleine problemen uitgroeien tot een systeemprobleem, stelt de Onderzoeksraad.”
Informatiebeveiliging in de zorg
NEN is een onafhankelijke stichting die het maken van afspraken tussen marktpartijen faciliteert die worden vastgelegd in normen. NEN certificeert zelf niet. NEN 7510 vormt al sinds 2004 (inmiddels 3de editie) dé standaard voor inrichten en beheren van informatiebeveiliging in de zorg. Hierbij draait het om de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntinformatie. NEN faciliteert de ontwikkeling en beheer van de norm, die dankzij de input van een groot aantal experts in binnen- en buitenlang tot stand is gekomen. De norm bepaalt niet welke maatregelen precies moeten worden genomen, maar beschrijft ‘best practices’ en welke afwegingen moeten worden gemaakt voor het bepalen van de nodige beheersmaatregelen voor de geïdentificeerde risico’s binnen een zorginstelling.
Kijk voor meer informatie over NEN 7510, de bijhorende implementatietools, certificering, evenementen, trainingen en de activiteiten van de normcommissie op: nen.nl/nen7510.
