Informatiebeveiliging wordt bij digitale zorg vaak anders benaderd dan bij niet-digitale zorg. Ten onrechte, vind ik.
Al vóór het digitale tijdperk was informatiebeveiliging al geregeld. De enige aanpassing is dat er andere gereedschappen zijn, die een aanpassing vragen van de manier waarop informatiebeveiliging wordt toegepast. De verantwoordelijkheden zijn niet anders, de effecten van slechte informatiebeveiliging zijn niet anders en de vereiste bestuurlijke aansturing is niet anders.
Informatiebeveiliging is een onderdeel van goede zorg
Of het nu gaat om het meten van de temperatuur van een patiënt of het analyseren van het verloop van een gemoedstoestand, de zorg is enorm afhankelijk van gegevens. Zowel van de betrouwbaarheid, van de juistheid als van de beschikbaarheid van de gegevens.
De integriteit van de registratie is belangrijk om garanderen dat temperaturen altijd in dezelfde eenheden worden vergeleken.
De afgifte van medicijn via een infuus werkt alleen als het goed is ingesteld. Het dossier met daarin het voorschrift van de arts moet goed geïnterpreteerd kunnen worden door degene die de infuuspomp instelt, of dat nu een verpleger is of een computer. De tijdigheid van beschikbare informatie is belangrijk, omdat de anesthesist niets heeft aan de zuurstofwaardes van 3 minuten geleden. De juistheid, tijdigheid en integriteit van die gegevens zijn cruciaal voor het verlenen van goede zorg en dienen geborgd te worden middels een informatiebeveiligingsplan.
Informatiebeveiliging is een onderdeel van patiëntveiligheid De apparatuur die gebruikt wordt om zorg te verlenen bepaalt mede de kwaliteit van de zorg die aan de patiënt verleend wordt. Indien die apparatuur niet goed werkt doordat de informatie niet goed verwerkt wordt door die apparatuur leidt dit tot een verkeerde (onveilige) behandeling van de patiënt. Dat kan veroorzaakt worden vanuit geautomatiseerde en niet-geautomatiseerde systemen. Een onduidelijk ingevulde papieren status kan tot interpretatiefouten leiden, die de veiligheid van de patiënt kunnen schaden. Tegenwoordig kunnen de lees- en interpretatiefouten ontstaan bij verkeerd gekoppelde geautomatiseerde systemen. Indien een dergelijke uitwisseling een fout bevat, kunnen bijvoorbeeld de verkeerde pillen via de robot in de distributie gebracht worden. Hierdoor ontstaan risico’s voor de patiëntveiligheid.
Informatiebeveiliging en privacy zijn niet los van elkaar te zien Een patiëntbespreking wordt in het behandelteam gedaan op basis van vertrouwelijkheid. Slechts díe zorgverleners die een zorgrelatie hebben met de patiënt, zijn bij de bespreking aanwezig. Dat zou in de geautomatiseerde situatie niet anders moeten zijn. Slechts met een behandelrelatie mag je toegang hebben tot de gegevens van de patiënt. Zorggegevens die in de context van de zorgrelatie worden gedeeld dient binnen die zorgrelatie te blijven. Immers de kennis van het hebben van een bepaalde aandoening kan heel veel persoonlijk, psychisch en economisch leed met zich meebrengen. Een geconstateerde erfelijke aandoening kan effect hebben op bijvoorbeeld de mogelijkheden van de kinderen en kleinkinderen van de patiënt op het verkrijgen van een hypotheek. Daarom zijn vertrouwelijkheid en de zorg voor veilig gegevensbeheer met elkaar verbonden. We hebben in Nederland en in Europa met elkaar afgesproken, dat we dergelijke informatie niet buiten de zorgrelatie willen delen.
Informatiebeveiliging is een kerntaak van een zorginstelling De impact die zorggegevens kunnen hebben op het leven van mensen en op hun directe omgeving, maken dat gegevensbescherming de grootste zorg vereist. Dat is mede de zorgplicht die een zorgverlener heeft aan zijn patiënten. De juistheid, integriteit en actualiteit van de gegevens die gebruikt worden bepalen de kwaliteit van de zorg. Een diagnose, die gebaseerd is op verkeerde of verouderde gegevens is een verkeerde diagnose. Daardoor kan een behandeling verkeerd worden opgezet met onvoldoende resultaat.
De zorg kent een doorontwikkeld systeem van behandelprotocollen, ontstaan vanuit een overtuiging dat kwalitatief de beste zorg verleend kan worden vanuit zorgvuldig handelen. Informatiebeveiliging moet onderdeel zijn van die behandelprotocollen. Immers in de behandeling wordt op veel plaatsen informatie gedeeld, op informatie vertrouwd en op basis van informatie besloten.
Informatiebeveiliging moet door de RvB geagendeerd zijn Vaak maken de woorden ‘hoge kwaliteit’ onderdeel uit van de missie van een zorginstelling. Die hoge kwaliteit is afhankelijk van de kwaliteit van de gebruikte gegevens. Gegevens zijn daarmee een cruciale asset voor de zorgorganisatie. Het bewaken en beschermen van die assets is een hoofdverantwoordelijkheid van de RvB. De beveiliging van gegevens wordt in veel organisaties te gemakkelijk aan de ICT-afdeling overgelaten, terwijl de bescherming van deze kern-assets prioriteit behoort te zijn van de RvB.
Adviseur informatiebeveiliging zorg bij Redmax
———————————————-
Daan Koot spreekt op de vakbeurs Zorg & ICT. Wil je meer weten hoe Informatiebeveiliging op de agenda van de Raad van Bestuur kan komen? Kom naar de presentatie van Daan Koot op 5 april 16.00 uur in theater 8. Lees meer over de presentatie op de site van Redmax en schrijf je direct gratis in.