Wet informatiebeveiliging vanaf 2023 verplicht voor ziekenhuizen

NEN 7510 is vanaf 2023 verplicht voor ziekenhuizen. Uit een onderzoek van IGJ blijkt dat lang niet alle ziekenhuizen voldoen aan de norm.

CAN - Wet informatiebeveiliging ziekenhuizen
Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens@certificeringsadvies.nl

Uit een onderzoek van Inspectie Gezondheidszorg en Jeugd (IGJ) blijkt dat ziekenhuizen te weinig doen aan het voorkomen van ICT-storingen. Om die reden gaat de overheidsinstantie ziekenhuizen verplichten om uiterlijk in 2023 te voldoen aan de wettelijke normen voor informatiebeveiliging. De inspectie laat weten dat momenteel nog lang niet alle ziekenhuizen voldoen aan de norm.

Onderzoek IGJ

IGJ heeft onderzoek gedaan bij 14 ziekenhuizen waar in de afgelopen vier jaar een grote ICT-storing is geweest. Bij 12 van deze ziekenhuizen hadden deze storingen flinke gevolgen voor de zorg. Concrete voorbeelden van die problemen zijn dat de spoedeisende hulp tijdelijk werd gesloten, patiëntendossiers niet meer beschikbaar waren en uitstel van operaties. Echter blijkt gelukkig dat geen van de patiënten hierdoor aantoonbare gezondheidsschade heeft opgelopen. IGJ adviseert ziekenhuizen wel om patiënten beter te betrekken bij de evaluaties om hiervan te leren.

Ook is er onderzocht welke conclusies de ziekenhuizen zelf hebben getrokken naar aanleiding van de technische problemen. De meest voorkomende conclusie: de digitale infrastructuur moet verbeterd worden. In sommige gevallen speelde achterstallig onderhoud van deze infrastructuur een rol. Een ander groot verbeterpunt voor ziekenhuizen is om meer te oefenen op problematische situaties.

Wet informatiebeveiliging

Hoewel IGJ het in dit geval heeft over incidenten met een technische oorzaak, is het ook geen verrassing dat ziekenhuizen een groot doelwit zijn van cybercriminaliteit. Volgens Cyberveilig Nederland en het Nederlands Cyber Security Centrum (NCSC) gaat het in de meeste cyberincidenten om ransomware. Bewustzijn en gedrag van medewerkers binnen de organisatie is daar een minstens zo belangrijke factor in als techniek.

Om toekomstige problemen bij ziekenhuizen te voorkomen draagt de inspectie ziekenhuizen op om uiterlijk in 2023 te voldoen aan dé norm voor informatiebeveiliging in de zorg: NEN 7510. Een belangrijk advies dat ze daarbij geven is om evaluaties van opgetreden storingen te delen met andere ziekenhuizen om op die manier van elkaar te leren.

Wat houdt NEN 7510 in?

NEN 7510 is een Nederlandse norm gericht op informatiebeveiliging binnen de zorgsector, die richtlijnen geeft voor waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie. Om te voldoen aan NEN 7510 kun je de stappen volgen die staan beschreven in het artikel: ‘ICT-dienstverlener met (potentiële) klanten in de zorg? Zo ga je om met de vraag naar NEN 7510 certificering! [Stappenplan]’.

De essentie van NEN 7510 bestaat eruit dat je informatiebeveiligingsrisico’s weet te beheersen. Die risico’s kun je als volgt bepalen:

  • Stel vast welke bedreigingen en kwetsbaarheden zijn binnen de organisatie;
  • Bepaal wat de mogelijke gevolgen zijn;
  • Bepaal per bedreiging en kwetsbaarheid hoe waarschijnlijk deze tot een incident leidt.

Aan de hand hiervan bepaal je of de risico’s aanvaardbaar zijn, of dat er beheersmaatregelen moeten worden getroffen om de kans en/of impact van het risico te verlagen. Met die beheersmaatregelen ga je vervolgens aan de slag. Denk daarbij bijvoorbeeld aan het opstellen van een informatiebeveiligingsbeleid, het beheren van bedrijfsmiddelen, (fysieke) beveiliging van de werklocatie en het inrichten van een proces voor informatiebeveiligingsincidenten.

Starten met NEN 7510

Het volledig implementeren van de norm kan een forse investering van tijd en geld zijn. Voor veel organisaties daarom een reden om dit voor zich uit te schuiven. Toch kan het anders: overweeg de norm in stukjes te hakken en te beginnen met de meest essentiële zaken.

Heb je er behoefte aan om eens te sparren of wil je direct aan de slag? Neem dan gerust contact met ons op of vraag een offerte aan.

New call-to-action

Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens@certificeringsadvies.nl

Download NEN 7510 informatiegids

Aan de slag met NEN 7510? Download vrijblijvend de handige NEN 7510 informatiegids. Met daarin:

  • Uitleg over de norm
  • Antwoord op al je vragen
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields