Ziekenhuizen zijn onvoldoende in staat om privacy van patiënten te waarborgen, blijkt uit het laatste rapport van het College Bescherming Persoonsgegevens (CBP).
Dit heeft alles te maken met de houding van veel zorginstellingen. Zij zien informatiebeveiliging onterecht als een ICT-feestje.
Het CBP-rapport maakt de urgentie van betere gegevensbescherming pijnlijk duidelijk. Negen ziekenhuizen werden door het CBP doorgelicht. Geen van hen had interne beveiliging en de gegevensbescherming ingericht volgens de normen. De negen ziekenhuizen moeten nu met een plan komen om hun gegevensbescherming beter op orde te krijgen, anders zal vanaf september worden ingegrepen. Een wake-up call voor álle zorginstellingen.
Risico’s in het primaire proces
ICT is niet toereikend om informatiebeveiliging waterdicht te maken. Bij benchmarkonderzoek naar de gegevensbescherming bij zorginstellingen zien we dat gemiddeld 8 van de 10 risico’s niet ICT-gerelateerd zijn. Juist in het primaire proces – het invoeren, inzien en wijzigen van patiëntgegevens – kan veel misgaan. In de praktijk zien we dat organisaties bijvoorbeeld wel wachtwoordprocedures hebben, maar geen beleid voor het omgaan met accounts van nieuwe en vertrekkende medewerkers. Je houdt dan bij wijze van spreken de voordeur op slot en de achterdeur wijd open.
Zaak van alle afdelingen
Gebruiken medewerkers te eenvoudige wachtwoorden, dan kan de ICT-afdeling inbouwen dat alleen wachtwoorden van minimaal 8 karakters met cijfers, leestekens en hoofdletters worden geaccepteerd. Maar schrijven medewerkers hun wachtwoord op een papiertje bij de computer, dan kan HR beter in actie komen en een gedragsverandering inzetten. Daarom is het zo belangrijk om verschillende afdelingen bij informatiebeveiliging te betrekken. Ook bij zorginstellingen is dit van belang bij het waarborgen van de privacy van patiëntengegevens. In onze optiek is het een mix van beleid, organisatorische verankering en naleving, gebaseerd op risicomanagement. Dit betekent dat de verantwoordelijkheid voor informatiebeveiliging opgepakt moet worden door meerdere afdelingen, aangestuurd door bijvoorbeeld een risico- of kwaliteitsmanager.
Samen in control
Om samen de informatiebeveiliging onder controle te krijgen, is een nulmeting een goede eerste stap. Daarmee kom je te weten hoe je organisatie er precies voor staat als het gaat om de bescherming van gegevens. Gebruik de uitkomst van dit onderzoek om de belangrijkste risico’s te identificeren en met elkaar te bespreken. Bepaal vervolgens welke risico’s je wilt aanpakken.
Cultuurverandering
Door de uitkomsten van de nulmeting te bespreken en te analyseren, groeit de bewustwording dat informatiebeveiliging impact heeft op de hele bedrijfsorganisatie: mensen, processen, technologie en aansturing. Wie aan één radertje draait, zet alles in beweging. Om ervoor te zorgen dat medewerkers – ook in de zorg – structureel anders met informatiebeveiliging omgaan, is een cultuurverandering nodig. Die begint met het vastleggen van de afspraken, verantwoordelijkheden en werkwijze ten opzichte van de belangrijkste risico’s. Via training en serious games ontdekken medewerkers het belang van goede informatiebeveiliging en de bijbehorende afspraken en aanspreekcultuur. Met dit bewustwordingsproces – bij huidige én nieuwe medewerkers – zal een veilige werkwijze meer beklijven.
Bewustwording
Voorkom met deze bewustwording bij de medewerkers onnodige beveiligingsrisico’s. Dankzij een juiste informatiebeveiliging zal het úw zorginstelling niet overkomen dat patiëntengegevens op straat komen te liggen, patiënten woedend zijn en de reputatie van uw organisatie risico’s loopt.
Rien Bosma en Marcel Winkels
Marcel Winkels (Senior Business Consultant) en Rien Bosma (Consultant) werken beiden bij KPN Consulting. Ze adviseren zorginstellingen over hun informatiebeveiliging en ICT-infrastructuur.