Salesbusiness 2013 © maxkabakov / fotolia.com
Zorginstellingen maken nog onvoldoende vaart op het gebied van informatiebeveiliging. Hoewel er vooruitgang is geboekt zijn de meeste instellingen nog lang niet klaar voor de introductie van de Europese Privacy-verordening (EPV) in 2018.
Dat concludeert BDO Accountants & Adviseurs op basis van de tweede editie van een onderzoek naar informatiebeveiliging in de zorg. Het eerste onderzoek werd in 2015 gedaan. Blijkens het BDO-onderzoek heeft nog altijd de helft (49 procent) van alle zorginstellingen geen beleid om de privacy van cliënten en patiënten te kunnen garanderen. In 2015 was dit 56 procent. Reden voor BDO om te spreken van “opvallend weinig vooruitgang”.
Net een derde (35 procent) van de instellingen zegt te zijn ingericht conform de belangrijkste richtlijn voor privacy, NEN 7510. Dat is slechts 3 procent meer dan in 2015.
Ook de training en bewustwording laat te wensen over. Maar 27 procent van de zorginstellingen heeft een zogenaamd security training- en awareness-programma uitgerold om medewerkers privacy-bewustzijn bij te brengen, terwijl privacy-incidenten meestal het gevolg zijn van menselijke fouten (circa 70 procent). Dat is een stijging van slechts 5 procent ten opzichte van 2015. Meer dan een kwart (27 procent) van de zorginstellingen heeft inmiddels al eens met een privacy-incident te maken gehad. In 2015 was dit nog 18 procent.
Bestuurlijk bewustzijn
Toch komen uit de analyse ook positieve punten naar voren. Zo is het bestuurlijk bewustzijn flink gegroeid. Zes van de tien instellingen (59 procent) heeft inmiddels de (eind)verantwoordelijkheid voor informatiebeveiliging bij de raad van bestuur belegd in plaats van bij de IT-afdeling. In 2015 was dit met 49 procent nog niet de helft. Daarnaast groeit de kennis van wetgeving en is de certificering van zorginstellingen veel vaker op orde.
Volgens BDO laat het onderzoek zien dat wetgeving zorginstellingen op grote schaal in beweging brengt. Zo zegt maar liefst 92 procent van de instellingen bekend te zijn met de Meldplicht Datalekken en heeft 85 procent maatregelen genomen om daar ook daadwerkelijk aan te voldoen. In 2015, toen de meldplicht nog niet gold, was 38 procent ermee bekend en had 28 procent maatregelen getroffen.
Strengere eisen
Toch is slechts de helft van de respondenten bekend met de Europese Privacyverordening (EPV), die in mei 2018 ingaat. In 2015 was dit 40 procent. “Ondanks de goede stappen die de sector maakt op het gebied van informatiebeveiliging is tien procent een verontrustend kleine vooruitgang voor een verordening die al over anderhalf jaar ingaat,” zegt Chris van den Haak, partner BDO Audit & Assurance en voorzitter van de branchegroep Zorg. “Zorginstellingen beseffen vaak nog onvoldoende dat die EPV fors strengere eisen stelt. Zo moeten organisaties inzichtelijk maken hoe ze aan de wetgeving voldoen.”
Ook de sancties onder de EPV zijn van totaal andere proporties. Boetes bij overtreding kunnen voor grote organisaties oplopen tot 100 miljoen euro of vijf procent van de opbrengsten. BDO roept bestuurders van zorginstellingen dan ook op om informatiebeveiliging hoog op de agenda te plaatsen en te blijven werken aan het privacy-bewustzijn en het gedrag van medewerkers.
