Hoe werken kleine zorgaanbieders aan de informatiebeveiligingsnorm NEN 7510 en wat stimuleert of belemmert hen daarbij? In opdracht van de Inspectie Gezondheidszorg en Jeugd deed ontwerpbureau Ideate hier in 2024 onderzoek naar.
Goede intenties
Uit steekproeven van de IGJ bleek dat kleine zorgaanbieders (< 50 fte) moeite hebben om te voldoen aan de NEN 7510-norm voor informatiebeveiliging. Daarom is hier onderzoek naar gedaan: wat motiveert kleine zorgaanbieders, welke belemmeringen ervaren zij en hoe passen ze de norm toe?
Het blijkt dat kleine zorgaanbieders zich bewust zijn van het belang van informatieveiligheid. Maar in de dagelijkse praktijk botsen goede intenties vaak met regeldruk, personeelstekorten en een gevoel van overbelasting. Op basis van deze inzichten zijn vervolgens concrete gedragsinterventies ontworpen en getest, die aansluiten bij de werkelijkheid van de kleine zorgverleners. Zoals een ‘integrale risicoscan’ en ‘peer reviews’.
Duurzame gedragsverandering
In de onderzoeksrapportage is ook een aanzet gedaan voor een bredere gedragsstrategie waarin de interventies samenhangend worden ingezet en samenwerking tussen partijen centraal staat. Volgens de onderzoekers is dit essentieel om duurzame gedragsverandering mogelijk te maken en informatieveiligheid een haalbaar en vanzelfsprekend onderdeel van het zorgproces te laten worden.
Nieuwe toezichtstrategie
Mede op basis van dit onderzoek werkt de IGJ verder aan de ontwikkeling van een nieuwe toezichtstrategie op het thema ‘informatiebeveiliging voor kleine zorgaanbieders’.
De inzichten uit het rapport heeft de IGJ in juli 2025 gedeeld met het veld.