‘Maatregelen informatiebeveiliging moeten in verhouding zijn met risico’s’

Omdat medische gegevens altijd vertrouwelijk zijn, loopt de gezondheidszorg voorop met ketenbrede data security. Exemplarisch daarvoor is ziekenhuis Nij Smellinghe in Drachten. Een aantal jaren geleden was Nij Smellinghe het eerste ziekenhuis met een ISO 27001-certificering voor informatiebeveiliging en momenteel wordt er, samen met Kiwa, gewerkt aan een assurancetraject in het kader van de NVZ Routekaart. We spraken hierover met Eric Annema, information security officer bij Nij Smellinghe.

Bij het optimaliseren van de gezondheidszorg is goede informatie cruciaal. Informatie over patiënten, hun aandoeningen en hun medisch verleden helpt zorgverleners bij het verlenen van zo goed mogelijke zorg. Data en data-driven toepassingen spelen daarbij een belangrijke rol. Zeker als het gaat om slimme e-healthoplossingen voor zorg-op-afstand, digitale patiëntendossiers en persoonlijke gezondheidsomgevingen waar de consument zorggegevens kan inzien, beheren en delen.

Veiligheidslek

Die digitalisering levert prachtige mogelijkheden op, maar zorgt ook voor risico’s. Informatie is immers nergens privacygevoeliger dan in de zorg, waardoor een veiligheidslek in deze sector extra pijnlijk is. ‘Enkele jaren geleden was er een incident bij een ander ziekenhuis waarbij vertrouwelijke medische informatie van een bekende Nederlander op straat kwam te liggen’, vertelt Eric Annema. ‘Naar aanleiding daarvan hebben ziekenhuisorganisaties NVZ en NFU met de Autoriteit Persoonsgegevens (AP) afgesproken te zorgen voor een implementatietraject dat leden ondersteunt bij de praktische invoering van essentiële eisen uit de NEN 7510, de kwaliteitsnorm voor informatiebeveiliging in de zorgsector. Een prima zaak, zolang de maatregelen maar in verhouding zijn met de risico’s.’

Assurancerapport

Onderdeel van deze NVZ Routekaart Informatiebeveiliging is de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers. ‘In die richtlijn zijn een aantal eisen uit de NEN 7510 verder uitgewerkt en concreter gemaakt. Zo wil men voorkomen dat elk ziekenhuis de norm zelf gaat interpreteren en wordt er door een stukje zelfregulering voor gezorgd dat het toezichtkader van de AP, dat is gebaseerd op onder meer de AVG en de NEN 7510, op een uniforme manier wordt ingevuld.’ In het kader van de gedragslijn moeten ziekenhuizen volgens Annema aan twee zaken voldoen: ‘Voor 11 januari 2021 moet er een self-assessment, een nulmeting, gereed zijn en uiterlijk in mei 2021 moet er een door een RE-geregistreerde IT-auditor een assurancerapport te worden opgemaakt.’

Eén aanspreekpunt

Nij Smellinghe besloot het traject rondom de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers te combineren met certificeren tegen de kwaliteitsnorm ISO 9001 en de vernieuwde norm NEN 7510 voor informatiebeveiliging in de zorg. ‘In plaats van voor verlenging van ons ISO 27001-certificaat gaan we voor NEN 7510-certificering. De overlap met de ISO 27001 is immers erg groot en bovendien sluit de NEN 7510 inhoudelijk natuurlijk perfect aan bij de NVZ Routekaart Informatiebeveiliging.’ Door certificering tegen zowel de ISO 9001 en de NEN 7510 als het assurancetraject rond de NVZ Routekaart te beleggen bij Kiwa, profiteert Nij Smellinghe van één aanspreekpunt en Kiwa’s uitgebreide ervaring als het gaat om kwaliteitskeurmerken in de zorgsector.

Expert in certificering zorgkwaliteit

Kiwa kan zorgorganisaties helpen te voldoen aan hun compliance-behoeftes. Of het daarbij nu gaat om certificering tegen normen als NEN 7510, het behalen van de MedMij-kwaliteitsverklaring of het behalen en behouden van subsidies in het kader van de Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional (VIPP). Kiwa is een van ’s wereld grootste organisaties op het gebied van testen, inspectie en certificering en biedt een groot aantal services op het gebied van certificering, inspectie, tests, training en consultancy. Kiwa’s expertise als opleider en certificeerder in de zorgsector en als specialist op het gebied van informatiebeveiliging ontmoeten elkaar in uitgebreide dienstverlening rondom data security in de gezondheidszorg.