Namen van patiënten staan op whiteboards, afdrukken van labuitslagen liggen op de printer, papieren dossiers raken zoek – het gebeurt nog elke dag. Organisaties in de gezondheidszorg beschikken over een enorme hoeveelheid vertrouwelijke gegevens van cliënten. Noodzakelijk, maar niet zonder bijbehorende verplichtingen. Maar hoe zit dat met HKZ, Wbp en NEN7510?
Verantwoorde en veilige zorg, op papier én digitaal
Elke zorgorganisatie heeft de verplichting om te zorgen dat persoonlijke gegevens niet in verkeerde handen kunnen vallen. Deze verplichtingen zijn te vatten onder de noemer informatiebeveiliging.
In andere woorden: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden.
Informatiebeveiliging is geen optioneel project voor de ICT afdeling, maar een kernwaarde voor de gehele organisatie. Het gaat namelijk niet alleen om techniek, maar vooral om cultuur en processen rondom informatievoorziening in de hele organisatie.
Het is een kwestie van bewustzijn, gedrag en verantwoordelijkheid. De meeste incidenten waarbij gevoelige informatie op straat komt te liggen, worden namelijk veroorzaakt door menselijke fouten. Mensen, ook die bij ketenpartners en leveranciers, zijn de zwakste schakel in de keten. Denk aan papieren dossiers die op een bureau blijven liggen, medewerkers die medische gegevens doormailen, artsen die röntgenfoto’s via DropBox doorsturen naar hun privé iPad, sleutels van archiefkasten die aan een haakje naast de deur hangen en nog veel meer.
Certificaat, wet en norm: HKZ, Wbp en NEN7510:2011
Het onderwerp informatiebeveiliging heeft weliswaar een overlap met het Privacyreglement en de HKZ certificering, maar is nadrukkelijk niet hetzelfde. De HKZ norm raakt aan informatiebeveiliging (bij de punten 4.2, 7.5 en 9.4) maar heeft een brede focus op kwaliteit en geen specifieke verdieping in de informatiebeveiliging. Met een HKZ certificaat wordt dus nog niet aan de wettelijke plicht voldaan.
De verplichting om de vertrouwelijkheid van informatie te bewaken is vastgelegd in de Wet Bescherming Persoonsgegevens (Wbp). Artikel 13 van die wet verplicht elke organisatie om ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen’. Maar wat is passend?
Om binnen de zorg invulling te geven aan de wet is de norm NEN7510:2011 opgesteld. De norm zelf is niet verplicht, maar de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP) gebruiken uitsluitend deze norm als instrument om te toetsen of een organisatie voldoet.
Eigen informatiebeveiligingsbeleid
Invoering van alle maatregelen NEN7510:2011 is niet noodzakelijk, zolang de doelstellingen uit de norm gehaald worden en aantoonbaar is dat er goed beheer wordt gevoerd. Dit betekent dat een zorgorganisatie zélf moet bepalen wat een passend beveiligingsniveau is. Elke zorgorganisatie heeft daarom een informatiebeveiligingsbeleid nodig. Daarin is uitgewerkt welke plichten voor deze organisatie gelden maar ook welke ambities de organisatie op beveiligingsgebied heeft.
Honderd procent beveiliging is theoretisch niet mogelijk. Ook het streven daarnaar is praktisch niet haalbaar door de exponentieel groeiende kosten. Het minimum niveau wordt bepaald door de wetgever. Elke organisatie moet zelf een maximum niveau bepalen en zich bewust zijn en blijven van het overblijvende risico.
Er moet een evenwicht worden gevonden tussen wat de organisatie moet, wil en kan. Daarnaast moet het document beschrijven hoe het beleid praktisch wordt toegepast, hoe risico’s worden beheerst en hoe de naleving is geborgd. Met dat beleid in de hand kan een actieplan worden opgesteld om aan de slag te gaan.
Van plan naar resultaat
Het beoogde resultaat van het actieplan is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid (is veiligheid) van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Daarbij wordt voldaan aan de resultaten zoals beschreven in de NEN7510:2011, zodat de organisatie werkt conform art. 13 van de Wpb. Uiteindelijk moet integrale informatiebeveiliging leiden tot een verhoging van de kwaliteit van de zorg.
Het kan zijn dat er aanpassingen nodig zijn in processen en systemen voor het opslaan en gebruiken van informatie. Als u toch aanpassing of vervanging overweegt, bijvoorbeeld in het kader van digitalisering, kan zo’n actieplan samen op gaan. Ook is gelijktijdig de digitale duurzaamheid te organiseren, zodat niet alleen wordt voldaan aan de archiefwet, maar ook het digitaal raadplegen van gearchiveerde dossiers mogelijk wordt.
Hoe dan ook is het geen eenmalige actie die volledig kan worden uitbesteed. Het vereist betrokkenheid van management en medewerkers, die onder begeleiding beginnen maar het daarna zelfstandig moeten blijven doen. Veiligheid moet een in de organisatie verankerde kernwaarde worden en niet worden gezien als noodzakelijk kwaad of kostenpost.
NB: Als u de norm NEN7510:2011 wilt inzien kunt u deze bestellen via NEN. De norm is zowel digitaal als op papier beschikbaar. De NEN verkoopt ook een bijbehorend praktijkboek.
Gerelateerde artikelen:
