Wet informatiebeveiliging vanaf 2023 verplicht voor ziekenhuizen

Uit een onderzoek van Inspectie Gezondheidszorg en Jeugd (IGJ) blijkt dat ziekenhuizen te weinig doen aan het voorkomen van ICT-storingen. Om die reden gaat de overheidsinstantie ziekenhuizen verplichten om uiterlijk in 2023 te voldoen aan de wettelijke normen voor informatiebeveiliging. De inspectie laat weten dat momenteel nog lang niet alle ziekenhuizen voldoen aan de norm.

IGJ heeft onderzoek gedaan bij 14 ziekenhuizen waar in de afgelopen vier jaar een grote ICT-storing is geweest. Bij 12 van deze ziekenhuizen hadden deze storingen flinke gevolgen voor de zorg. Concrete voorbeelden van die problemen zijn dat de spoedeisende hulp tijdelijk werd gesloten, patiëntendossiers niet meer beschikbaar waren en uitstel van operaties. Echter blijkt gelukkig dat geen van de patiënten hierdoor aantoonbare gezondheidsschade heeft opgelopen. IGJ adviseert ziekenhuizen wel om patiënten beter te betrekken bij de evaluaties om hiervan te leren.

Ook is er onderzocht welke conclusies de ziekenhuizen zelf hebben getrokken naar aanleiding van de technische problemen. De meest voorkomende conclusie: de digitale infrastructuur moet verbeterd worden. In sommige gevallen speelde achterstallig onderhoud van deze infrastructuur een rol. Een ander groot verbeterpunt voor ziekenhuizen is om meer te oefenen op problematische situaties.

Hoewel IGJ het in dit geval heeft over incidenten met een technische oorzaak, is het ook geen verrassing dat ziekenhuizen een groot doelwit zijn van cybercriminaliteit. Volgens Cyberveilig Nederland en het Nederlands Cyber Security Centrum (NCSC) gaat het in de meeste cyberincidenten om ransomware. Bewustzijn en gedrag van medewerkers binnen de organisatie is daar een minstens zo belangrijke factor in als techniek.

Om toekomstige problemen bij ziekenhuizen te voorkomen draagt de inspectie ziekenhuizen op om uiterlijk in 2023 te voldoen aan dé norm voor informatiebeveiliging in de zorg: NEN 7510. Een belangrijk advies dat ze daarbij geven is om evaluaties van opgetreden storingen te delen met andere ziekenhuizen om op die manier van elkaar te leren.

NEN 7510 is een Nederlandse norm gericht op informatiebeveiliging binnen de zorgsector, die richtlijnen geeft voor waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie. Om te voldoen aan NEN 7510 kun je de stappen volgen die staan beschreven in het artikel: ‘ICT-dienstverlener met (potentiële) klanten in de zorg? Zo ga je om met de vraag naar NEN 7510 certificering! [Stappenplan]’.

De essentie van NEN 7510 bestaat eruit dat je informatiebeveiligingsrisico’s weet te beheersen. Die risico’s kun je als volgt bepalen:

Aan de hand hiervan bepaal je of de risico’s aanvaardbaar zijn, of dat er beheersmaatregelen moeten worden getroffen om de kans en/of impact van het risico te verlagen. Met die beheersmaatregelen ga je vervolgens aan de slag. Denk daarbij bijvoorbeeld aan het opstellen van een informatiebeveiligingsbeleid, het beheren van bedrijfsmiddelen, (fysieke) beveiliging van de werklocatie en het inrichten van een proces voor informatiebeveiligingsincidenten.

Het volledig implementeren van de norm kan een forse investering van tijd en geld zijn. Voor veel organisaties daarom een reden om dit voor zich uit te schuiven. Toch kan het anders: overweeg de norm in stukjes te hakken en te beginnen met de meest essentiële zaken.

Heb je er behoefte aan om eens te sparren of wil je direct aan de slag? Neem dan gerust contact met ons op of vraag een offerte aan.