Exclusief toegankelijk Registreer voor toegang tot Zorgvisie.nl Lees meer

De juiste balans tussen veiligheid en beschikbaarheid

In het Albert Schweitzer ziekenhuis in Dordrecht hebben ze al in 2006 een risicoanalyse verricht op het gebied van informatiebeveiliging. Vervolgens zijn ze aan de slag gegaan.

“Technisch is het niet zo moeilijk om alle privacygevoelige informatie achter slot en grendel op te bergen. Maar wanneer je een patiënt behandelt, moet diezelfde informatie juist beschikbaar zijn. Dat is in een notendop het probleem van informatiebeveiliging in een ziekenhuis”, zegt Peter Ernest, hoofd Strategisch Informatie & Technologie Beleid van het Albert Schweitzer ziekenhuis in Dordrecht. Dit ziekenhuis heeft in de afgelopen jaren veel ervaring opgedaan met informatiebeveiliging.

“Informatiebeveiliging is een belangrijk onderwerp, dat bij ons tot op het hoogste niveau is belegd. Een van de leden van de raad van bestuur heeft dit onderwerp expliciet als verantwoordelijkheid. Bovendien hebben we twee jaar geleden intern een informatiebeveiligingsorganisatie opgericht. Dat is volgens mij kenmerkend voor hoe we met dit onderwerp omgaan.”

Sogeti

Bij het Dordtse ziekenhuis heeft deze aandacht in 2006 een sterke impuls gekregen, vertelt Ernest. “In dat jaar hebben we in samenwerking met Sogeti aan de hand van checklists een risicoanalyse gedaan. Die analyse is in feite de nulmeting geworden voor ons huidige beveiligingsbeleid. Naar aanleiding daarvan hebben we een aantal verbeteringen doorgevoerd. Vervolgens hebben we een beleidsdocument geschreven over informatiebeveiliging. Daarna zijn we aan de slag gegaan om dit beleid te borgen in de organisatie.”

Uitdiensttreding

Informatiebeveiliging is niet alleen een ict-vraagstuk, vindt Ernest. “Het gaat net zo goed over fysieke beveiliging en bijvoorbeeld de veiligheid van personeel.” Daarom zijn ook deze onderwerpen in de nulmeting meegenomen. De analyse leverde volgens Ernest veel zaken op die verbeterd konden worden. “We hebben naar aanleiding van de nulmeting bijvoorbeeld in de procedure opgenomen dat medewerkers bij indiensttreding een geheimhoudingsverklaring moeten tekenen. En bij uitdiensttreding moet er gecontroleerd worden of alle spullen netjes zijn ingeleverd. Ook hebben we gekeken naar de beveiliging van fysieke ruimtes en naar de techniek, variërend van het gebruik van virusscanners op computers tot het sluiten van poorten op servers.”

Praktisch is de veiligheid onder meer getoetst door middel van een ethische hack. Ict-specialisten hebben in opdracht van het ziekenhuis van buitenaf geprobeerd in te breken in de computersystemen. “Gelukkig bleken we voor buitenstaanders helemaal dicht getimmerd te zijn”, zegt Ernest. “Maar een hackpoging van binnenuit leverde wel verbeterpunten op. We kwamen daarbij voor de hand liggende dingen tegen, zoals medewerkers die wachtwoorden delen. Zoiets maakt informatiebeveiliging heel kwetsbaar.”

Bewustwording

Hieruit blijkt volgens Ernest ook dat met techniek niet alles op te lossen is. “Het gaat voor een belangrijk deel over bewustwording. Iedere medewerker draagt een pasje, dus is het logisch dat je iemand aanspreekt die zonder pasje een ruimte wil binnengaan waar hij niets te zoeken heeft.” Het ziekenhuis heeft intern een bewustwordingscampagne gevoerd. Door middel van nieuwsbrieven zijn medewerkers geïnformeerd over het belang van informatieveiligheid en kregen ze tips over wat ze daar zelf aan kunnen bijdragen. En projectleiders krijgen een checklist mee, zodat ze vanaf de start van een project al rekening kunnen houden met de veiligheidseisen. Daar moeten ze bovendien standaard in hun projectplan aandacht aan besteden.

Na de nulmeting en de acties die daaruit voortvloeiden is het ziekenhuis aan de slag gegaan om informatieveiligheid tot een permanent punt van aandacht te maken. Ernest: “Je moet het beleid borgen in de organisatie, want morgen kunnen er nieuwe regels zijn waar je aan moet voldoen of nieuwe risico’s waarop je moet anticiperen.”

Security officer

Het thema veiligheid is bij verschillende medewerkers van het ziekenhuis ondergebracht. Ernest bewaakt als security officer dat het veiligheidsbeleid aan de normen voldoet en aangepast is aan de eisen van de tijd. Verder hebben de meeste afdelingen een functionaris die over informatiebeveiliging gaat en relevante ontwikkelingen op de eigen afdeling signaleert. Uiteindelijk zullen de doelstellingen over informatieveiligheid opgenomen worden in de planning en controlcyclus.

Praktische oplossingen

Bij het vaststellen van het beleidsdocument heeft het ziekenhuis veel aandacht besteed aan het dilemma of alles strikt beveiligd moet worden of dat praktische overwegingen de overhand moeten krijgen. “Eigenlijk zou alleen de behandelend arts toegang moeten hebben tot patiëntgegevens”, legt Ernest uit, “maar dat is lastig bij spoedgevallen of wanneer een collega onverwacht even moet meekijken. Wij neigden in eerste instantie wat meer richting praktische oplossingen. Het was lastig om de autorisaties voor iedereen precies op maat te maken. Voor je het weet, bouw je teveel beperkingen in en kunnen medewerkers niet meer goed met het informatiesysteem uit de voeten.”

Met dit vraagstuk worstelen alle ziekenhuizen, weet Ernest. “Maar door vernieuwingen in SAP, het systeem waar wij mee werken, kunnen we straks de toegang tot informatie koppelen aan de status die iemand heeft in het personeelssysteem en aan diens functie en rol in de organisatie. Daarbovenop zullen we waarschijnlijk een soort noodknop aanbrengen. Dan kan in spoedgevallen de beveiliging bewust overruled worden, waarbij dan achteraf gecontroleerd wordt of het rechtmatig was.”

Laks

De Inspectie voor de Gezondheidszorg en het College Bescherming Persoonsgegevens (CBP) constateerden vorig jaar dat ziekenhuizen te laks omgaan met de veiligheid van informatie. Ziekenhuizen zouden nog niet voldoen aan NEN 7510 (norm voor informatiebeveiliging in de zorg) en de Wet bescherming persoonsgegevens. Ernest: “Ook wij hebben de Inspectie en het CBP op bezoek gehad. De twee voornaamste verbeterpunten voor ons zijn dat we het veiligheidsbeleid nog niet geborgd hebben in de planning en controlcyclus en dat we onze autorisaties onvoldoende laten aansluiten bij de behandelrelatie met de patiënt. Dat kan strakker, vindt de inspectie. We waren zoals gezegd zelf ook al tot dit inzicht gekomen, maar je kunt nu eenmaal niet alles tegelijk oplossen.”

Een ander punt is de toegangsbeveiliging tot fysieke ruimtes. “We zijn natuurlijk geen bank, waar slechts een klein gedeelte van het gebouw openbaar toegankelijk is. Patiënten kunnen hier gewoon rondlopen en het is de vraag of je dat moet willen veranderen. Bovendien kan dat in de bestaande bouw ook maar beperkt. In de nieuwbouw op onze locatie Dordwijk houden we hier wel rekening mee. Kantoorfuncties worden daar veel meer geclusterd, zodat het eenvoudiger wordt om alles van fysieke beveiliging te voorzien. Hetzelfde geldt daar voor de ict-voorzieningen.”

EPD

Overigens valt informatiebeveiliging niet samen met het waarborgen van geautoriseerde toegang tot informatie, merkt Ernest op. “Wij praten in het overleg met de raad van bestuur altijd over de BIV-eisen. Het is logisch om met de v van veiligheid te beginnen, maar de beschikbaarheid en integriteit van informatie is evengoed van belang. En deze twee brengen ook de meeste kosten met zich mee. Want waar veiligheid veel met bewustwording te maken heeft, komt bij beschikbaarheid en integriteit veel meer techniek om de hoek kijken. We zijn bijvoorbeeld bezig met de uitrol van het elektronisch patiëntendossier. Artsen zijn straks echt afhankelijk van een goede werking van dat systeem. Daarom moeten we er alles aan doen om dat te garanderen. Single points of failure, zoals een datacentrum, moeten dubbel uitgevoerd worden.”

Maar al is een onderdeel driedubbel uitgevoerd, er blijft altijd een kans dat er alsnog uitval optreedt, relativeert Ernest. “Honderd procent beschikbaarheid is volgens mij niet haalbaar. Je streeft naar 99,9 procent. Elke negen die je daaraan wilt toevoegen, doet de kosten exponentieel toenemen. In de begrotingsbespreking voor 2009 was informatiebeveiliging een van de zwaardere dossiers. Alleen al voor de beschikbaarheid en integriteit van data gaat het om tonnen.”

Geld

Het ziekenhuis zit volgens Ernest nu wel aan de grens van wat er in dit onderwerp geïnvesteerd kan worden. “Het lastige is ook dat je van de kosten niet direct veel terugziet. Vergelijk het met een brandverzekering. Die kost je ook alleen maar geld. Maar, wanneer je huis in brand staat ben je blij dat je die verzekering afgesloten hebt. Bovendien: Als je door het uitvallen van systemen je patiënten naar huis moet sturen, dan ben je nog verder van huis. Veiligheid kost nu eenmaal geld.”

Auteur: Martijn Gort is freelance journalist

Dit artikel verscheen eerder in ICTzorg Magazine, november/december 2008.

Mario Gibbels

Of registreer u om te kunnen reageren.

Zorgvisie is een uitgave van Bohn Stafleu van Loghum, onderdeel van Springer Media B.V.
Voorwaarden