Bijna alle ziekenhuizen voldoen in 2023 aantoonbaar aan de wettelijk verplichte norm op het gebied van informatiebeveiliging, de NEN 7510. Dat stelt de Inspectie Gezondheidszorg en Jeugd (IGJ) na een recente rondgang langs de ziekenhuizen. Daarmee hebben ze een flinke inhaalslag gemaakt. In 2022 voldeden van de 77 ziekenhuizen er 54 nog niet aan de norm. Inmiddels zijn er nog zeven ziekenhuizen over, die nog stappen moeten zetten om aan de norm te voldoen. De inspectie verwacht dat dit in 2024 ook gaat lukken.
Ziekenhuizen hebben dus een stevige inhaalslag omtrent informatiebeveiliging gemaakt. Belangrijk, want cybersecurity is in de bestuurskamers een steeds belangrijker thema. Zorgaanbieders zijn namelijk steeds afhankelijker van ICT. En een hack, een aanval met gijzelsoftware of andere verstoringen, kunnen grote gevolgen hebben voor de kwaliteit van zorg. Zorgorganisaties moeten daarom hun informatiebeveiliging op orde hebben en voortdurend scherp blijven, omdat er steeds nieuwe dreigingen ontstaan. Denk bijvoorbeeld aan hackers die bij hun aanvallen steeds vaker kunstmatige intelligentie inzetten.
Wettelijk verplichte norm NEN 7510
De wettelijk verplichte NEN 7510 stelt eisen aan alle zorgaanbieders die werken met digitale systemen. De inspectie houdt hier toezicht op en heeft onlangs vastgesteld dat 91% van de ziekenhuizen inmiddels aan die norm voldoet. In de zorgsector is de NEN 7510 feitelijk dé norm voor informatiebeveiliging.
Vaak wordt deze NEN 7510-certificering ook gevraagd aan toeleveranciers die data verwerken. Zeker wanneer een EPD, een elektronisch patiëntendossier, wordt toegepast is een NEN 7510-certificering vereist. De IGJ gebruikt deze certificering als meetinstrument voor de informatiebeveiliging van ziekenhuizen. NEN-normen en certificatieschema’s, ten behoeve van de elektronische gegevensuitwisseling in de zorg (EGIZ), zijn belangrijk om dit proces genormeerd te laten verlopen.
Inhaalslag informatiebeveiliging
Ziekenhuizen hebben volgens IGJ wat betreft NEN 7510 dus een goede inhaalslag gemaakt op het gebied van informatiebeveiliging over 2023. Zeven ziekenhuizen hebben iets meer tijd nodig. Voor de kwaliteit van zorg en patiëntveiligheid is het belangrijk dat zij dat zo snel mogelijk in orde maken. Daarom heeft de IGJ met de betrokken besturen concrete afspraken gemaakt. Bijvoorbeeld over het laten uitvoeren van de nodige onafhankelijke beoordelingen. De inspectie houdt hierover contact met de ziekenhuizen en heeft er vertrouwen in dat ook zij volgend jaar aantoonbaar voldoen aan de eisen.