Laat ik beginnen met een open deur; zorginstellingen hebben als primaire taak het leveren van zorg. Maar we weten ook allemaal dat het leveren van zorg de afgelopen jaren enorm is veranderd. De regeldruk is enorm gegroeid voor de zorginstelling en specialist. Iets waar niemand blij van wordt.

In mei 2018 is de overheid zelfs begonnen met een programma genaamd (Ont)regel de zorg. Om te weten of de regeldruk ook daadwerkelijk aan het verminderen is, wordt de ervaring hierover gemeten bij zorgverleners en patiënten. In September 2019 geeft de minister een update aan de kamer over de resultaten van dit programma. Daarin schrijft hij dat de regeldruk wat is afgenomen, maar dat dit ook een ‘taai vraagstuk’ en meerkoppig monster is. Het feitelijk verminderen van regels geeft nog niet direct het gewenste resultaat. De minister geeft aan dat het begin is gemaakt en er de komende periode het programma zal blijven bestaan in alle zorg sectoren.

De vraag is, valt het voldoen aan de NEN7510 onder deze ‘regeldruk’ beleving? Het antwoord daarop is JA. Bestuurders en zorgverleners vinden informatie-beveiliging een last en zien het zelfs als een belemmering in hun dagelijkse werk. Heel begrijpelijk, want geen enkele zorgverlener zit te wachten op een zinloze informatie beveiliging regel. Toch is het de vraag of het onder controle hebben van informatiebeveiliging moet vallen onder dit gevoel. Zou het niet anders moeten worden gezien?

De NEN7510 schrijft in de nom hierover;

Het handhaven van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie is het overkoepelende doel van informatiebeveiliging. In de zorg is de privacy van cliënten afhankelijk van het handhaven van de vertrouwelijkheid van persoonlijke gezondheidsinformatie. Om deze vertrouwelijkheid te borgen behoren er ook maatregelen te worden genomen voor het handhaven van de integriteit van gegevens.

De veiligheid van cliënten is zelfs afhankelijk van de integriteit van persoonlijke gezondheidsinformatie; onjuiste informatie kan ziekte, letsel of zelfs de dood als gevolg hebben.

Een hoog beschikbaarheid niveau is ook een eis voor goede zorg, waar behandelingen vaak tijdkritisch zijn. Het niet beschikbaar hebben van informatie kan tot zeer zorgelijke situaties leiden.

Zorgverleners hebben hun hart bij de zorg. Feit is dat ze ook allemaal een intrinsieke motivatie hebben om altijd goede zorg te verlenen. Met dit gegeven is het raar dat het voldoen aan de NEN7510 wordt gezien als regeldruk. Het beveiligen van patiënt informatie is cruciaal voor het verlenen van goede zorg. Iedere zorgverlener vindt het vervelend als de privacy van de patiënt niet is geborgd, de zorgverlener niet kan vertrouwen dat de informatie juist is of dat het systeem plat ligt en er dus niet gewerkt kan worden. Het beveiligen van informatie is niet alleen een IT feestje. Uiteraard moet je er als zorgverlener op kunnen vertrouwen dat de IT’ers de techniek onder controle hebben. Helaas is dat vaak niet het geval.

Feiten 2019

In 2019 zijn er bij de Autoriteit Persoonsgegevens (AP) 26956 datalekken gemeld. Het grootste aantal datalek meldingen binnen de zorgsector is afkomstig van ziekenhuizen (25%), apotheken (20%) en stichtingen die bevolkingsonderzoek uitvoeren (9%). Bijzonder ook te vermelden is dat 67% van de gemelde datalekken gaat over dat persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger.

En dan die olifant…

Veel zorginstellingen weten best wel dat ze moeten voldoen aan de NEN7510. Echter wat ze niet weten of beseffen is dat in de wet; Besluit elektronische gegevensverwerking door zorgaanbieders staat dat een zorgaanbieder dit moet kunnen aantonen door een onafhankelijk audit rapport.


Citaat artikel 3.4.a: een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld audit-rapport;

Directie en RvB weten best wel dat ze we eraan moeten voldoen, maar zien dit als ‘die olifant’ in de bestuur kamer. Ook denken bestuurders vaak ‘dat ze wel veilig zijn…‘ Als je nooit geconfronteerd bent geweest met een aanval ben je geneigd te denken dat de kans maar klein is. We hebben vanuit de techniek toch maatregelen genomen, we hebben awareness sessies gedaan bij het personeel. Maar het werkelijk voldoen aan de NEN7510 is er niet. En dat geeft een organisatorische, bestuurlijke maar met name maatschappelijke risico’s met zich mee. Immers patiënten, maar ook ouders van kinderen hebben bijna een blind vertrouwen in de zorgverlener. Het aantoonbaar voldoen blijft ‘hangen’ bij de directie en raad van bestuur. We hebben wel wat, maar ook weer niet. Certificeren zien we niet zitten, want dat is niet nodig. Nog meer last en druk voor de organisatie. En dat is jammer, maar ook zorgelijk. Het Haga incident is daarvan een voorbeeld en kon worden voorkomen door een goed ISMS. Geen onzin maatregelen maar geplaatst in de juiste context en eigen risico’s. Een NEN7510 certificering gaat ook in op de NEN7512 (gegevens uitwisseling) en NEN7513 (logging). Het is gezien het blinde vertrouwen van de patiënt dus eigenlijk ethisch niet juist dat de boel nog niet aantoonbaar op orde is. Het zal jou maar moeten gebeuren dat criminelen met jouw gegevens aan de haal gaan…. <identiteitsfraude>

Op het moment dat het een keer echt goed fout gaat, dan ben je uiteraard verplicht om dit te melden aan de AP. Zij zullen vervolgens onderzoek doen en kijken of er aantoonbaar wordt voldaan aan de NEN7510. De AP werkt daarbij samen met IGJ. Het hebben van een onpartijdige audit door een partij die aantoonbaar daarvoor de juiste competenties heeft is dan cruciaal. Want een NEN7510 audit uitgevoerd door een partij die niet kan aantonen dat ze de juiste competenties hebben is een zinloos auditrapport. Om dit in te vullen kom je dan al snel terecht bij een certificerende instantie die door de Raad voor Accreditatie is beoordeeld en geaccrediteerd op de NEN7510. DigiTrust is zowel voor de Zorg als de ICT dienstverleners geaccrediteerd om dit soort audits te doen.

Ik hoop oprecht dat er snel een kentering komt bij alle zorgaanbieders. Het hebben van een NEN7510 certificering geeft rust en vertrouwen. maar is gewoon een ‘licence to operate’ voor een zorgaanbieder. Directie en RvB moeten gaan beseffen dat het borgen van patiënt gegevens op vertrouwelijkheid, integriteit en beschikbaarheid een randvoorwaarde is voor het leveren van goede zorg en geen ‘dat doen we nog wel een keer…’

DigiTrust audit en certificeert Zorgaanbieders onder accreditatie op de NEN7510 en ISO27001.

*** DigiTrust draagt bij aan een veilige digitale wereld***