Wijkverpleging voldoet bij eHealth niet aan norm informatiebeveiliging
De Inspectie Gezondheidszorg en Jeugd(IGJ) publiceerde op 13 april 2023 een rapport over de toepassing van eHealth binnen de wijkverpleging. Het rapport heet: “Wijkverpleging zoekt naar zorgvuldige omgang met eHealth”. De IGJ komt met snoeiharde conclusies die ze verpakt in beschaafd geformuleerde adviezen voor verbeterplannen en beleidsveranderingen. Braaf schijft de IGJ dat de onderzochte organisaties allemaal aan de slag zijn gegaan met verbeterplannen om dit op orde te brengen. Het meest schokkend is de conclusie dat geen van de toen onderzochte aanbieders van wijkverplegingszorg voldeed aan de wettelijke norm op het gebied van informatiebeveiliging. Dat is de NEN 7510 norm. Ook ontbrak een recente, onafhankelijke, beoordeling van beleid en maatregelen op het vlak van informatiebeveiliging. Eigenlijk komt het erop neer dat de IGJ een oordeel velt over een groep goedwillende amateurs op ICT-gebied in de zorg.
Wanneer?
Tussen juni 2021 en maart 2023 bezocht de IGJ tien zorgaanbieders in de wijkverpleging. Dit waren zowel kleine aanbieders met een lokale focus (50 tot 250 cliënten), als grote regionale aanbieders (meer dan 1000 cliënten). Ze toetsten of die bij het gebruik van eHealth de randvoorwaarden voor goede en veilige zorg realiseren. Men keek hierbij naar vijf thema’s, die de IGJ heeft staan in het toetsingskader eHealth. Daarbij gaat het om: 1) goed bestuur en verantwoord innoveren. 2) De invoering en het gebruik van eHealth-producten en -diensten. 3) Patiënten-participatie. 4) Samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens. 5) Informatiebeveiliging en continuïteit. Op de eerste vier punten heeft de IGJ al duidelijke kritiek. Zo concludeert men over het bestuur dat de meeste wijkverplegingsorganisaties hun beleid op het gebied van eHealth/zorgtechnologie niet uitgewerkt en vastgelegd hebben. De kern van de kritiek ligt bij de informatiebeveiliging.
Wat is de NEN 7510?
De norm NEN 7510 (afgeleide van ISO 27001) is toegesneden op informatiebeveiliging binnen de gezondheidszorg. Hieronder wordt verstaan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten. Naast het borgen van kwaliteit moeten de informatiebeveiligingsmaatregelen volgens de norm zo zijn ingericht dat ze zijn te controleren. De NEN 7510 kan worden gezien als een kader waarbinnen iedere proceseigenaar relevant geachte informatie voor het proces kan specificeren inclusief bijbehorende maatregelen.
Stand van informatiebeveiliging
De conclusie van de IGJ over de informatiebeveiliging luidt:
- “Geen van de bezochte wijkverplegingszorgaanbieders kon aantonen te voldoen aan de wettelijke norm voor informatiebeveiliging, NEN 7510.
- Een recente onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging ontbrak bij alle aanbieders.
- Bij enkele aanbieders was nog onvoldoende aandacht voor het belang van een goede inschatting van risico’s, de inzet van bijpassende maatregelen en toetsen of deze effectief waren.
- Zorgaanbieders zorgen niet altijd voor duidelijke instructies voor medewerkers hoe om te gaan met tijdelijke / ongeplande ICT-storingen.”
Amateuristisch gedoe
De facto komt het erop neer dat men tot zeer kort geleden binnen de wijkverpleging eHealth-toepassingen implementeert zonder voldoende zicht op en aandacht voor informatiebeveiliging. De kleinschaligheid van de wijkverpleging zal er mede debet aan zijn, maar het borgen van een goed informatieveiligheidsbeleid dient een kerntaak te zijn bij het invoeren van eHealthtoepassingen. De gegevens die men van patiënten opslaat en uitwisselt zijn bijzondere persoonsgegevens. Deze verdienen een grondige en consequente bescherming en geen amateuristisch gedoe. De IGJ houdt er de moed maar in en focust in het rapport vooral op verbetertrajecten.
W.J. Jongejan, 18 april 2023
Afbeelding van Davie Bicker via Pixabay
Recente reacties