Informatiebeveiliging in een veranderend gezondheidsecosysteem

vr 23 oktober 2020
Informatiebeveiliging in een veranderend gezondheidsecosysteem
Wetgeving
Premium

Al vóór de coronacrisis stond de zorg in Nederland voor enorme uitdagingen: het verbeteren van de leefstijl van de bevolking, het verhogen van de kwaliteit van zorg voor de individuele patiënt, en het doelmatig en toegankelijk houden van de kosten van de zorg per hoofd van de bevolking. Of wat te denken van minder werkdruk en meer werkplezier voor de (toenemend schaarse) zorgprofessionals die een grote rol spelen in het realiseren van de eerste drie doelen. Aan het verwezenlijken van deze doelen kan technologie een belangrijke bijdrage leveren. Technologie die mooie kansen meebrengt, maar ook nieuwe uitdagingen geeft. Koude technologie moet warme zorg gaan ondersteunen.

Demografische, politiek/economische, sociale en technologische ontwikkelingen zorgen voor compleet nieuwe verhoudingen in het zorglandschap, die leiden tot serieuze en soms transformationele vraagstukken. Hoe het zorglandschap er in de toekomst precies uit zal zien en wanneer de veranderingen zullen optreden, is moeilijk te voorspellen. Maar de richting van de veranderingen lijkt helder. 

Wij geloven dat er rekening moet worden gehouden met grote verschuivingen (zie tekening rechterpagina), waarbij de inzet van technologie een cruciale rol speelt in het zorglandschap, en om de kwaliteit en continuïteit van de primaire zorgprocessen te borgen. Consulten zullen meer virtueel worden, wearables zullen input voor gepersonaliseerde zorg verzorgen, de zorgprofessional wordt ondersteund door cognitieve automatisering, robotisering en AI, nieuwe spelers en verdienmodellen vragen om openheid van data en de waarde van deze data moet ook een plek krijgen. Digitalisering is noodzakelijk om de zorg aan te laten sluiten bij de zorgbehoefte, de zorg betaalbaar en toegankelijk te houden, en ook vooral de kwaliteit van zorg te verbeteren.

Steeds complexer regulering
Digitalisering en de bijbehorende steeds complexere, soms conflicterende, wet- en regelgeving, is dan ook bij veel zorgorganisaties een van de belangrijkste strategische aandachtspunten én een randvoorwaarde om te kunnen blijven voortbestaan. Het speelveld van zorginstellingen, medtech-organisaties, ketenpartners en de set van normen, wetten, richtlijnen etc. waar organisaties met een rol in health zich bevinden, is eveneens enorm complex. 

Afhankelijk van de precieze activiteiten van je organisatie is er een scala aan wetten, normen, richtlijnen en vereisten om aan te voldoen: convenant medische technologie, handreiking BEIS, Gedragscode elektronische gegevensuitwisseling in de zorg, NEN 7510, 7512, 7513, ISO 13485, 27001, toetsingskader e-Health, Handreiking ITGCs Horizontaal Toezicht. 

Je zou bijna door het bos de bomen niet meer zien. En in veel van die normen zit ook nog behoorlijk wat overlap, waardoor het soms lastig is om goed vast te stellen waar je bepaalde zaken voor aan het doen bent. Tevens vormt de hoeveelheid en complexiteit een blokkade van nieuwe toetreders en startups tot het zorgecosysteem, die juist voor de verschuivingen moeten zorgen. 

Risicobenadering
In plaats van met de ‘externe’ factoren, is het daarom goed om te starten met de factoren waar we als organisaties (hopelijk) allemaal aan willen voldoen. De goede dingen goed doen: iedereen wil een betrouwbare partner zijn, veilige en verantwoorde omgang met patiënt/cliënt-gegevens waarborgen, en uiteraard voldoen aan wet- en regelgeving. En ook vanuit de strategie van de organisatie zelf werken: welke richting wil de organisatie op, en welke normen passen hierbij.

Uit ‘De gezondheids(zorg) toekomst van Nederland’ door John Luijs, Mathieu van Bergen, Lucien Engelen e.a.

De leefwereld van de zorgorganisaties vraagt om prioriteringen: accepteer risico’s in de systeemwereld van normen en wetten en wees daarover transparant naar stakeholders. Het is soms beter om risico’s te accepteren en hier ook duidelijk over naar de stakeholders te communiceren in plaats van geforceerde oplossingen ‘voor de vorm’ te bedenken voor deze systeemrisico’s.

Focus op juiste zaken
In plaats van een focus op een bepaalde norm, wet of certificering is het daarom veel belangrijker om de eigen doelen passend te maken bij de strategie, goed vast te stellen, en je product en/of dienst daar omheen op te zetten. Er is geen passende oplossing voor alle organisaties en het is niet nodig om op elk vlak een 10 te halen. Als security, privacy en compliance by design worden meegenomen in de ontwikkeling, is het voldoen aan normen veelal uitleggen waarom en hoe bepaalde keuzes binnen de ontwikkeling zijn gemaakt. 

“Comply or explain” is voor ons een veelgenoemd motto. Wij denken dat organisaties zelf de verantwoordelijkheid hebben om hun niveau van informatiebeveiliging te bepalen, en hier een passende toelichting bij moeten kunnen geven. En dat bijna alle normen en wetten allereerst stellen dat organisaties hier over nagedacht hebben, zelf hebben bepaald wat belangrijk is en daar passende maatregelen bij genomen hebben. Dat het dus allemaal begint bij het bepalen van de (data/IT) strategie, en deze strategie leidend laten zijn voor de keuzes die daaronder liggen. Dat is ook wat alle ‘controlerende’ instanties verwachten, en hetgeen je ‘positie’ naar die instanties beter maakt.

Ofwel: als jij duidelijk hebt nagedacht waarom jouw keuzes adequaat zijn om bepaalde risico’s af te dekken (bijv. wachtwoordlengte 8 i.p.v. 10) en dat voldoende en juist onderbouwd hebt, zal er geen auditor of certificerende instantie zijn, die hier een tekortkoming voor gaat rapporteren.  

Samenwerking met Digital Health team van Deloitte
Privacy en security zijn bij MedicPlanner onderdeel van het ontwikkeltraject, ‘by design’. Voor de aansluiting bij de toepasselijke wet- en regelgeving werkt MedicPlanner vanaf het begin samen met externe experts van het Digital Health team van Deloitte.

Hans Flu: “Voldoen aan wet- en regelgeving is een belangrijk onderdeel van onze visie en strategie. Samen met Deloitte hebben we pragmatisch en duidelijk in kaart gebracht welke wet- en regelgeving relevant is, en hoe MedicPlanner hier invulling aan geeft. Met hun NEN7510 toolkit ondersteunden ze ons om snel en efficiënt processen en beleidsstukken passend te maken. Met workshops en goede templates kunnen we makkelijk onze principes op het gebied van security en privacy op elkaar aansluiten en deze omzetten in stukken die voldoen aan wat wet- en regelgeving van ons vraagt.”

Casus MedicPlanner – Stapsgewijs naar hoger niveau compliance
MedicPlanner faciliteert als online platform volledige digitalisering én centralisering van alle facetten van de planning binnen een zorginstelling. Een afdelingsdienstrooster wordt automatisch gevuld op basis van profiel, competenties en beschikbaarheid van vaste werknemers. Diensten die niet door vaste medewerkers kunnen worden ingevuld, worden automatisch aangeboden aan de externe pool. Deze pool bestaat uit freelance verpleegkundigen en artsen die een profiel hebben aangemaakt inclusief achtergrond, BIG-registratienummer Verklaring Omtrent Gedrag (VOG) en beschikbaarheid. Het is uitermate belangrijk dat er correct met de ‘bijzondere persoonsgegevens’ in MedicPlanner wordt omgegaan door de zorgprofessionals en zorginstellingen. 

De efficiëntie en schaalbaarheid van het platform is ook verweven in de strategie en ontwikkeling ervan. Daarbij kent transparantie over compliance, privacy en security gerelateerde zaken een hoge prioriteit. Daarom zijn tijdens de ontwikkelingsfase van MedicPlanner, in overleg met het Digital Health team van Deloitte, uitgebreide, ingrijpende en blijvende maatregelen genomen op het gebied van informatiebeveiliging, privacy en wet- en regelgeving, interne procesvoering, ontwerp, implementatie, testen en monitoring. 

Hier is gekozen voor de kapstok van de NEN7510/ISO27001, een brede norm met ruimte om veel wet- en regelgeving in één kader te borgen. Per onderwerp is in kaart gebracht welke controles al aanwezig waren, maar nog onvoldoende beschreven waren of nog ingericht moesten worden. Met dit inzicht kon de mate van controle gedurende de ontwikkeling opgeschaald worden, in lijn met het risicoprofiel van de organisatie. Toename van gevoelige data zorgt voor meer risico’s en dus ook voor meer controle. Hierbij worden de juiste controles op het juiste moment ingevoerd: niet te vroeg, maar ook niet te laat. Bij de behoefte uit de markt om het voldoen aan de wet- en regelgeving expliciet te maken, werkt MedicPlanner nu stapsgewijs beleidsstukken uit om ook certificeringen te behalen voor de (platte) organisatie. In overleg met het Digital Health team doet MedicPlanner dit zelf, of krijgt hierbij passende ondersteuning.

NEN7510 in de zorg
De Europese AVG, de Nederlandse uitvoeringswet AVG en de wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verplichten zorginstellingen en andere organisaties die werken met persoonsgegevens te zorgen voor adequate beveiliging, op technisch én organisatorisch vlak. Met het voldoen aan de NEN7510 geeft een organisatie invulling aan deze verplichting. 

De norm bestaat uit twee delen. Het eerste deel - meer strategisch van aard - betreft een managementsysteem voor informatiebeveiliging. Het tweede deel gaat meer in op richtlijnen over hoe men het beste de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens kan beschermen. De invulling van de wet kan per organisatie verschillen. Zo kan de invulling van de norm voor een ziekenhuis er heel anders uitzien dan voor een revalidatiecentrum of app ontwikkelaar.