Essentieel in de zorg is informatiebeveiliging

Het OLVG ziekenhuis in Amsterdam heeft dit jaar een gigantische boete van maar liefst 440.000 euro gekregen. De reden hiervoor? De beveiliging van medische dossiers bleek bij het ziekenhuis ruim onvoldoende. Om die reden zijn zij dan ook zwaar gestraft. Naast het ontbreken van tweefactor authenticatie bleek ook dat de controle op wie er inlogde niet genoeg te zijn. Dit recente voorbeeld laat nog maar eens zien hoe belangrijk het wel niet is dat zorginstellingen genoeg aandacht besteden aan privacy en beveiliging van gevoelige systemen. Hoe dit verbeterd kan worden is bijvoorbeeld NEN 7510.

Het probleem

Medische informatie is bij voorbaat al informatie die veel gevoelige en persoonlijke informatie bevat. Hier onzorgvuldig mee omgaan kan dan ook grote impact ophebben, zoals het OLVG ziekenhuis dit heeft ervaren. Ook het HagaZiekenhuis in Den Haag heeft enkele jaren terug een vergelijkbare boete gekregen omdat ook zij patiëntgegevens onvoldoende beveiligden. Het is dus een zeer relevant probleem, en toekomstige boetes en straffen lijken dan ook onoverkomelijk. Naast dat dit een ziekenhuis enorm veel kost, de boete zijn immers niet niks, heeft dit vanzelfsprekend ook grote gevolgen voor de reputatie van een ziekenhuis wat op het boetelijstje komt.

Certificering

Hoe kan het management van een ziekenhuis dit soort grote crisissen voorkomen? Certificeringen zijn hiervoor bij uitstek geschikt. Het behalen van certificaten met betrekking tot privacy management als NEN 7510 en ISO 27701 dragen hier in grote mate aan bij. De certificeringen zijn er op gericht om processen te verbeteren en ontwikkelen die bijdragen aan een werkomgeving waarbij patiëntengegevens op een veiligere manier worden gebruikt en verwerkt.

Wetgeving

Tot slot zijn er diverse wetten en gedragscodes die moeten bijdragen aan een betere bescherming van patiëntengegevens. Zo zijn ziekenhuizen en zorgverleners sinds vier jaar verplicht om patiënten te informeren over het delen van dossiers en hebben patiënten recent het recht gekregen om ten allen tijden hun elektronische dossier te mogen inzien. Dit alles met als doel om de patiënt te informeren over wat er gebeurt met zijn gegevens en daarnaast risico’s te verminderen.

Tot slot, blijven de risico’s van medische dossiers nooit 100% uitgesloten. Zelfs als de informatiebeveiliging van een ziekenhuis compleet op orde is, is een risico als gevolg van mensenwerk of negatieve invloeden van buitenaf nooit uit te sluiten.