Die ziekenhuizen moeten volwassen worden, aldus de Inspectie Gezondheidszorg en Jeugd (hierna: IGJ). En op welke gebied dan? Op het gebied van informatiebeveiliging en crisisbestendigheid.
Onlangs publiceerde het IGJ hierover een factsheet over ICT-storingen in ziekenhuizen. De IGJ heeft hierin een overzicht gemaakt van oorzaken van grote ICT-storingen bij Nederlandse ziekenhuizen vanaf 2018. Het doel van de factsheet is om de lessen voor bestuurders en ICT-managers van de ziekenhuizen op een rij te zetten en verdere aanbevelingen te doen.
De IGJ ziet een aantal trends die zich regelmatig voordoen bij deze verstoringen: (1) veel storingen werden veroorzaakt of begonnen bij een technisch onderdeel in de ICT-infrastructuur dat het niet doet, kapot gaat of uitvalt, (2) worden storingen vaak groter door knelpunten in de beheerorganisatie en (3) werden storingen veroorzaakt door onvoldoende zorgvuldige beheerprocedures.
De IGJ somt zowel ‘te leren lessen’ als ‘extra aanbevelingen’ op voor de ziekenhuizen. De te leren lessen richten zich vooral op het verbeteren van de beheer- en crisisorganisatie en oefenen van oplossen van ICT-verstoringen (crisisoefening).
De extra aanbevelingen die de IGJ vervolgens doet, bevatten een tweetal zeer interessante en impactvolle uitspraken:
– Voldoe uiterlijk in 2023 aantoonbaar aan de wettelijke norm NEN 7510 over informatiebeveiliging.
– Voldoe ook aan de gedragslijn toegangsbeveiliging digitale patiëntendossiers 2.0 en de norm NEN- en ISO 22301.[1]
Het gaat hier uiteraard om aanbevelingen, maar uitspraken van de IGJ moeten niet lichtzinnig worden opgevat. Eind 2021 merkte het IGJ al op dat bij de meeste ziekenhuizen de informatiebeveiliging niet op orde was en dat de ziekenhuizen niet (aantoonbaar) aan de NEN7510 voldeden. Toen werd al de oproep gedaan door de IGJ om dit te verbeteren. In de tussentijd is er blijkbaar onvoldoende veranderd, waardoor de IGJ nu met een jaartal komt waarin de ziekenhuizen aantoonbaar aan de NEN7510 zouden moeten voldoen.
Het woord ‘aantoonbaar’ in de aanbeveling lijkt bij deze oproep te duiden op de verwachting van de IGJ dat ziekenhuizen een certificaat halen, of op een andere manier kunnen bewijzen dat ze voldoen aan de norm.
Tegelijkertijd doet de IGJ ook de aanbeveling aan de gedragslijn toegangsbeveiliging digitale patiëntendossiers 2.0 en de NEN- en ISO 22301 te voldoen.
De eerste is een gedragslijn die tot doel heeft de ziekenhuizen te ondersteunen bij de praktische implementatie van de normeisen rondom privacy en informatiebeveiliging van digitale patiëntdossiers (persoonlijke gezondheidsinformatie) op basis van NEN 7510.[2]
De tweede, de NEN- en ISO22301, is een norm die zich richt op bedrijfscontinuïteit. Deze norm vraagt organisaties een proces en maatregelen te ontwikkelen die de impact van een (ICT-) verstoring zo klein mogelijk kunnen houden en de dienstverlening zo snel mogelijk weer op normaal (acceptabel) niveau terug kunnen brengen. Een uitstekende aanbeveling van de IGJ, aangezien deze norm de ziekenhuizen verder zou helpen om in crisissituaties de impact van een crisis te beperken.
Bij deze aanbeveling wordt het woord ‘aantoonbaar’ niet gebruikt. De IGJ ziet het wellicht niet als een ‘must’ maar meer als een ‘nice to have’. Deze gedragslijn en norm bouwen dan ook vooral voort op de basis van de NEN7510.
Het wordt interessant om te zien of de ziekenhuizen ook daadwerkelijk in staat zijn om op deze korte termijn aantoonbaar aan de NEN7510 te gaan voldoen. De AVG vroeg echter al sinds 2018 om ‘passende beveiliging’, waarbij in de praktijk vaak al werd verwezen naar de NEN7510 als de norm waar zorgverleners die persoonlijke gezondheidsinformatie verwerken aan moeten voldoen. Mijn verwachting (en wellicht ook hoop) is daarom dat de ziekenhuizen wel een bepaalde basis aan informatiebeveiligingsmaatregelen hebben. Zo niet, dan worden de aanbevelingen van de IGJ nog een hele opgave.
Natuurlijk is VKA uitstekend in staat om ziekenhuizen te ondersteunen in het voldoen aan de aanbevelingen van de IGJ. Wij hebben ruime ervaring met NEN5710 implementaties en certificeringstrajecten en bedrijfscontinuïteit (ISO 22301). Neem dan met mij (Floris Baauw) contact op voor meer informatie!
[1] ICT-storingen in ziekenhuizen: lessen voor bestuurders en ICT-managers (Inspectie Gezondheidszorg en Jeugd)
[2] Toegangsbeveiliging digitale patiëntdossiers (https://nvz-ziekenhuizen.nl/toegangsbeveiliging-digitale-patientdossiers)