Ziekenhuizen maken stevige inhaalslag met informatiebeveiliging
Bijna alle ziekenhuizen voldoen in 2023 aantoonbaar aan de NEN 7510. Dit is de wettelijke norm op het gebied van informatiebeveiliging. Alle ziekenhuizen zijn zich bewust van de urgentie. Zij zetten de nodige stappen om risico’s op dit gebied aan te pakken. Enkele ziekenhuizen hebben meer tijd nodig om volledig te voldoen. Het uitgangspunt is dat ook zij zo snel mogelijk werken volgens de norm. Met deze ziekenhuizen heeft de IGJ duidelijke afspraken gemaakt.
Wat is de NEN 7510?
Zorgaanbieders zijn steeds meer afhankelijk van ICT. Een hack, een aanval met gijzelsoftware of andere verstoringen, kan grote gevolgen hebben voor de kwaliteit van zorg. En leiden tot risico’s voor de patiëntveiligheid en toegankelijkheid van de zorg. Daarom is het belangrijk om risico’s bij informatiebeveiliging te herkennen en effectief aan te pakken. De wettelijk verplichte norm NEN 7510 stelt eisen aan alle zorgaanbieders die werken met digitale systemen. De inspectie houdt hier toezicht op.
De norm bestaat uit 2 delen. Het eerste deel betreft het zogeheten information security management system (ISMS). Met dit systeem heeft de zorgaanbieder een doorgaande verbetercyclus op het gebied van informatiebeveiliging georganiseerd. Het tweede deel bevat een reeks beheersmaatregelen. Denk hierbij aan bijvoorbeeld een werkend wachtwoordbeleid.
Alle zorgaanbieders moeten kunnen aantonen dat zij werken volgens de NEN 7510. Dit gebeurt onder andere via een beoordeling door een onafhankelijke deskundige partij. Een andere manier is dat zorgaanbieders zich certificeren voor de NEN 7510. Het is niet verplicht om een certificaat te hebben dat aantoont dat de zorgaanbieder voldoet aan de NEN 7510.
Aantallen ziekenhuizen die wel/niet voldoen aan de norm
| Voldoet niet | Voldoet aantoonbaar | |
|---|---|---|
| Zomer 2022 | 54 | 23 |
| Najaar 2023 (verwachting) | 7 | 70 |
Enkele ziekenhuizen voldoen nog niet aan de NEN 7510
Al enkele jaren vraagt de inspectie ziekenhuizen om aantoonbaar te voldoen aan de norm. Ook vanuit de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Nederlandse Federatie van Universitair Medische Centra (NFU) is er aandacht voor het thema.
De IGJ constateerde in de zomer van 2022 dat veel ziekenhuizen, ondanks deze aandacht en de wettelijke verplichting, nog steeds niet voldeden aan de norm. Van de 77 ziekenhuizen voldeden er 23 aantoonbaar aan de norm. De inspectie heeft de ziekenhuizen daarom gevraagd naar concrete plannen en onafhankelijke beoordelingen.
Waar nodig zijn er afspraken gemaakt om alsnog in 2023 te voldoen aan de norm. Dat gebeurde onder meer via gesprekken met de verantwoordelijke bestuurders. Op basis van de laatste informatie verwacht de inspectie dat 70 ziekenhuizen dit jaar (2023) aan de norm voldoen. 12 ziekenhuizen zullen zich in 2024 ook nog laten certificeren.
Er zijn 7 ziekenhuizen die in 2023 nog niet aantoonbaar volgens de norm werken. Het is belangrijk dat ook zij zo snel mogelijk volledig voldoen aan de norm. De IGJ volgt deze organisaties en maakt aanvullende afspraken om alsnog te voldoen. Het gaat bijvoorbeeld om het laten uitvoeren van onafhankelijke beoordelingen of het delen van kennis en ervaringen met andere ziekenhuizen. De inspectie doet geen uitspraken over welk ziekenhuis op dit moment nog niet voldoet.
Informatiebeveiliging is nooit af
Informatiebeveiliging is nooit ‘af’. Voldoen aan de norm is een belangrijke basis om de risico’s in beeld te krijgen en aan te pakken. Risico’s bij informatiebeveiliging spelen overal in de gezondheidszorg. Zorgaanbieders zijn daarom verplicht aantoonbaar te (blijven) werken volgens de norm NEN 7510. De IGJ blijft ook breder in de zorg toezicht houden op goede informatiebeveiliging.
Vragen, of meer weten?
Voor meer informatie over informatiebeveiliging in de zorg en het toezicht van de IGJ daarop, zie de pagina Vragen over NEN 7510.