Ziekenhuizen hebben het niveau van informatiebeveiliging verbeterd ten opzichte van 2007. Dat blijkt uit vervolgonderzoek van de Inspectie voor de Gezondheidszorg (IGZ). Het Rode Kruis Ziekenhuis in Beverwijk riskeert een aanwijzing van minister Ab Klink van VWS door niet te voldoen aan het verzoek van de IGZ om een plan van aanpak voor verbetering van de informatiebeveiliging in te leveren.
Bijstellen of aanvullen
In 2007 hebben de IGZ en het College Beveiliging persoonsgegevens (CPB) twintig ziekenhuizen onderzocht. Naar aanleiding van dat onderzoek heeft de IGZ de 72 niet onderzochte ziekenhuizen naar een plan gevraagd om de informatiebeveiliging op orde te brengen. Twintig ziekenhuizen moeten hun plan nog bijstellen of aanvullen.
Last onder dwangsom
Vijf van de twintig ziekenhuizen die in 2007 zijn onderzocht, handelden in strijd met de Wet bescherming persoonsgegevens (Wbp). Veelal ontbrak de risicoanalyse waaruit moet blijken waar het ziekenhuis de grootste risico’s loopt op het gebied van informatiebeveiliging. Het CPB heeft op 2 juni 2009 een last onder dwangsom opgelegd aan vier van hen, te weten de Ommelander Ziekenhuisgroep in Winschoten, het MC Lelystad, het Medisch Spectrum Twente in Enschede en het Rijnland Ziekenhuis in Leiderdorp. Voor 1 september hebben zij een rapportage moeten inleveren die het CPB nog moet beoordelen.
Aanwijzing door Klink
De overige 72 ziekenhuizen hebben, op het Rode Kruis Ziekenhuis na, een plan van aanpak bij de inspectie ingeleverd. De IGZ heeft twintig van deze plannen als onvoldoende gekwalificeerd. De betreffende ziekenhuizen moeten een aanvullend plan van aanpak inleveren. Het Rode Kruis Ziekenhuis heeft tot 1 oktober 2009 de tijd om een plan van aanpak in te dienen. Doet het ziekenhuis dit niet, dan zal de IGZ minister Ab Klink van VWS vragen om een aanwijzing door te geven. Een woordvoerster van het ziekenhuis geeft aan vlak na de zomer contact te hebben gehad met de inspectie over het verlate plan. Het ziekenhuis heeft hiervoor zijn excuses aangeboden en gegarandeerd dat het plan voor 1 oktober komt. Het ‘dreigement’ van de IGZ noemt de woordvoerster daarom onnodig.
Lees het volledige rapport van de IGZ.
