De informatiebeveiliging van ziekenhuizen moet beter, zo stelt de Inspectie Gezondheidszorg en Jeugd (IGJ). Uit inspectiebezoeken blijkt onder andere dat de informatiebeveiliging bij de meeste ziekenhuizen nog niet op orde is. Die ziekenhuizen voldeden nog niet aan de NEN7510 norm. Naar aanleiding van de bezoeken zijn de betreffende ziekenhuizen wel direct gestart met het doorvoeren van verbeteringen.
De IGJ heeft haar bevindingen, samen met aanbevelingen en handvatten voor de verbetering van de informatiebeveiliging van ziekenhuizen en zorginstellingen, samengevat in de factsheet (pdf) 'Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren'.
Informatiebeveiliging verbeteren
De IGJ pleit dan ook voor een IT-governance norm. Die is er op dit moment nog niet. Een dergelijke norm kan helpen de informatiebeveiliging op peil te brengen zodat ook een verdere professionaliseringsslag op het gebied van digitale zorg gemaakt kan worden. De norm beschrijft onder andere hoe de zorgorganisatie ingericht kan worden voor de strategische beheersing van e-health.
Op dit moment moeten ziekenhuizen vaak zelf bedenken hoe IT-governance veilig en goed regelen. Wanneer deze ziekenhuizen gebruik kunnen maken van een norm, dan komt dit de kwaliteit en veiligheid van de digitale zorg ten goede. De inspectie roept de koepels in de ziekenhuiszorg daarom op hiermee aan de slag te gaan. Ook moedigt zij ziekenhuizen die vooroplopen aan hun ervaringen met andere te delen.
Goede voorbeelden en oproep
Van de door de IGJ bezochte ziekenhuizen hadden er drie een NEN7510 certificaat; MUMC+, AUMC en UMCG. Dit is weliswaar nog niet verplicht, maar het is wel een extra prikkel om de informatiebeveiliging goed te organiseren. Acht ziekenhuizen hebben na het bezoek van de inspectie een certificaat behaald (Antonius Zorggroep, HagaZiekenhuis, Meander Medisch Centrum, Medisch Spectrum Twente, OLVG, Oogziekenhuis, Ziekenhuis Rivierenland, IJsselland Ziekenhuis). Enkele andere ziekenhuizen werken er momenteel nog aan.
De inspectiebezoeken brachten ook andere goede voorbeelden aan het licht van maatregelen die ziekenhuizen nemen om de informatiebeveiliging goed op orde te krijgen. Zo hebben meerdere ziekenhuizen voor het voorkómen van grootschalige storingen technische maatregelen getroffen, zoals diverse rekencentra en noodstroomvoorzieningen. Daarnaast zijn organisatorische maatregelen genomen om storingen te voorkomen of de impact ervan te beperken, zoals calamiteitendraaiboeken. Deze maatregelen worden ook regelmatig getest. Sommige ziekenhuizen hebben voor noodsituaties toegang tot een ‘alleen-lezen’ EPD geregeld, zodat cruciale gegevens toch beschikbaar zijn.
De inspectie roept ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. Zeker in een tijd dat de druk op de sector hoog is, kan uitval van een ziekenhuis door bijvoorbeeld gijzelsoftware ernstige gevolgen hebben voor de zorg.