Huisartsen, fysiotherapeuten, tandartsen en andere aanbieders horen te voldoen aan de NEN 7510 (Norm voor Informatiebeveiliging in de Zorg) en binnenkort aan de Europese privacyverordening en de NEN 7521 voor veilige uitwisseling van informatie. Dat is niet gemakkelijk. ‘Deze aanbieders gaan geen dure consultants inhuren omdat zij daarvoor te klein zijn. Toch zijn aanbieders in de eerste lijn de grootste groep zorgverleners in Nederland. Het gaat om ruim 30.000 zorgverleners.’
Geld, middelen en energie
Het gevolg is dat een groot aantal praktijken te weinig doet aan informatiebeveiliging. De Vries: ‘Sommige doen wel hun best; andere laten het over aan een leverancier. Bij huisartsen is het nog het meest op orde omdat zij leveranciers de beveiliging laten regelen. Maar wat zij vergeten is dat de zorgverlener volgens de wet altijd zelf verantwoordelijk blijft voor de informatie. Wanneer de leverancier een fout maakt, blijft de zorgaanbieder toch verantwoordelijk.’
Starten met informatiebeveiliging
Om daar verandering in te brengen, heeft Comfort-IA IBindeZorg bedacht. Een online tool waarmee zorgaanbieders zelf hun situatie kunnen beoordelen. ‘Zorgverleners kunnen kennis opdoen en tegelijk aantonen dat zij werken aan informatiebeveiliging. IBindeZorg is een laagdrempelige manier om hiermee te beginnen.’ Als voorbeeld waar het vaak mis gaat, noemt De Vries het ontbreken van een bijgewerkte virusscanner of back-ups. ‘Wanneer back-ups gemaakt worden, liggen deze meestal in de praktijk opgeslagen. Maar als er brand uitbreekt is de organisatie alles kwijt. Dat is niet alleen een probleem op het gebied van informatiebeveiliging, maar ook een gevaar voor de continuïteit van de zorgpraktijk.’ Door samenwerking en uitwisseling van informatie, wordt beveiliging ook steeds belangrijker.
‘Wat aanbieders vaak niet weten is dat de informatie die zij uitwisselen met bijvoorbeeld ziekenhuizen onderwerp hoort te zijn van een bewerkersovereenkomst. Deze overeenkomst regelt wat een externe aanbieder met de gegevens mag doen.’ Ander voorbeeld is de toegang tot patiëntengegevens. In veel praktijken wordt door de zorgverlener alleen een gebruikersnaam en wachtwoord gebruikt, terwijl het College Bescherming Persoonsgegevens om 2-way verificatie vraagt (naast een wachtwoord nog een extra beveiligingscode, bijvoorbeeld een pasje of via SMS).
Strengere controle
‘Het interessante is dat veel mensen vaak wel weten hoe het hoort, maar het niet doen’, vervolgt De Vries. ‘Het CBP en de IGZ gaan wel steeds strenger controleren. We merken dat het CBP en de Inspectie voor de Gezondheidszorg vaak minder streng reageren wanneer zij zien dat praktijken ten minste iets doen aan het verbeteren van de informatiebeveiliging.’