Presentatie norm voor Informatiebeveiliging
Speech van de Directeur-Generaal Volksgezondheid van het ministerie
van VWS, Hans de Goeij, ter gelegenheid van de presentatie van de Norm
voor Informatiebeveiliging op woensdag 20 november 2002 in het
Delftech Business Centre te Delft.
Presentatie norm voor Informatiebeveiliging 1. Presentatie norm voor
Informatiebeveiliging
Speech van de Directeur-Generaal Volksgezondheid van het ministerie van VWS, Hans de Goeij,
ter gelegenheid van de presentatie van de Norm voor Informatiebeveiliging op woensdag 20
november 2002 in het Delftech Business Centre te Delft.
---
Normen en standaarden roepen onwillekeurig bij velen het beeld op van stoffige processen waar
jarenlang over kleine details wordt vergaderd en waar zeer deskundige specialisten langzamer-
hand de realiteit uit het oog dreigen te verliezen. Omdat ik vijf jaar onafhankelijk voorzitter ben
geweest van de Stichting Harmonisatie Kwaliteitsbeoordeling in de Zorgsector (HKZ), velen van u
kennen vast de certificatieschema's, weet ik gelukkig beter. Ik heb daarom ook niet geaarzeld om
op uw uitnodiging in te gaan.
Het is bovendien wel intrigerend om te constateren dat het beveiligen van informatie zo belangrijk
wordt gevonden dat alle belanghebbende partijen bereid zijn om mee te werken aan een formele
praktijkrichtlijn en kennelijk de intentie hebben om die ook te gaan toepassen. U merkt dat ik van
het goede in de mens uit ga.
Het is vooral ook intrigerend omdat ik (en stel dat ik toch kwaad zou willen) wanneer ik een
witte jas aantrek en een stethoscoop uit mijn zak laat bungelen over een uur hier terug kan zijn
met een stapel dossiers uit een willekeurig ziekenhuis. Kennelijk roept het inzetten van ICT om
verbetering van de beveiliging van dossiers maar geeft de huidige papieren praktijk daarvoor dan
géén aanleiding. Maar gaat het daar nu echt om? Gaat het wel over beveiligen? Volgens mij gaat
het ergens anders om, namelijk om de beschikbaarheid van informatie en ik vroeg me dus af of er
sprake is van een paradox.
De beschikbaarheid van informatie is essentieel. Hoeveel specialisten beschikken bij het eerste
bezoek van een patiënt over de relevante informatie? Het is toch nog steeds zo dat het merendeel
van de patiënten de eerste keer te horen krijgt welke onderzoeken nodig zijn en dat een tweede
afspraak nodig is als de uitslagen er zijn. Gelukkig zien we steeds meer voorbeelden waarbij die
onnodige belasting voor arts en patiënt succesvol wordt aangepakt: de patiënt geen overbodig
bezoek en de arts geen overbodige consulten. Het sleutelwoord daarbij is informatie. Zonder in-
formatie geen goede zorg.
Het wetenschappelijk bureau van de KNMP het WINAP heeft onlangs cijfers gepubliceerd
over de trieste gevolgen van medicatie fouten. Uit onderzoek van Beijer en De Blaey blijkt dat
jaarlijks 131.000 mensen als gevolg van geneesmiddelengebruik in het ziekenhuis terechtkomen.
66% van die opnames werd als vermijdbaar bestempeld zeg maar 90.000 opnames waarmee on-
geveer 300 miljoen euro is gemoeid en heel veel niet in geld uit te drukken menselijk leed.
Negentigduizend opnames, dat zijn ongeveer 5 ziekenhuizen van gemiddelde omvang. vol met
mensen die daar liggen terwijl dat niet nodig was. Opnames, die met de inzet van ICT om de
juiste informatie beschikbaar te hebben, vermijdbaar zijn. Dat is waar ik aan wil werken: snel en
doelmatig werken en dus het voorkomen van vermijdbare fouten. Dat is waar in essentie kwali-
teitsbeleid en veiligheidsbeleid op gericht is. Het gaat er om dat de patiënt en de zorg zelf er be-
ter van wordt.
Dat is ook de paradox waar ik tegen aan liep. Waarom is er zoveel aandacht voor het beveiligen
van informatie, terwijl informatie nu juist zo essentieel is voor de juiste zorg? Want van wie is die
informatie eigenlijk en waarom kan die eigenaar, de cliënt, er niet direct zelf bij? Waarom is er
geen norm waarmee de beschikbaarheid van informatie wordt geregeld? Gaandeweg werd me
echter duidelijk dat het hier niet gaat om het beschermen van het uitlekken van informatie, maar
juist om het waarborgen dat informatie die aanwezig is, ook beschikbaar kan worden gemaakt.
Maatregelen gericht op duurzaamheid van digitale media, op het on-line houden van systemen, op
het voorkomen van het onklaar maken van de zo noodzakelijke ICT voorzieningen enzovoort. Ik
had daarmee ook het antwoord op de schijnbare paradox dat een norm voor informatiebeveiliging
2
en de noodzaak van het hebben van informatie haaks op elkaar staan. Ik moet zeggen dat u het
me daarbij niet makkelijker heeft gemaakt. Hoe vaak gaat het bij discussies over informatie niet
over de bescherming van de persoonlijke levenssfeer en over het voorkomen dat onbevoegden
toegang kunnen krijgen tot medische dossiers.
Ik begrijp dat het gaat over een ontwerpnorm en dat er nog veel werk moet worden gedaan. Ik
heb deze norm niet intensief bestudeerd, maar wat ik hiervoor schetste is het beeld dat is blijven
hangen bij het doornemen van het materiaal. Beveiliging van informatie moet leiden tot een gro-
tere beschikbaarheid van informatie. De juiste informatie op de juiste plaats op het juiste tijdstip
bij de juiste personen. Beveiliging moet niet leiden tot het onbereikbaar maken van essentiële in-
formatie. Wanneer de beschikbaarheid van informatie geen probleem meer is, dan wordt het echt
mogelijk om klantvriendelijke en veilige zorg te leveren.
Over die veiligheid had ik het al, maar nog even iets over klantgerichtheid. We leveren zorg vol-
gens een "oud" model. De klant staat daarin niet centraal. Kijk naar de werkplekken voor zorgver-
leners en de opslag van informatie. Dat levert een erg klantonvriendelijk systeem op. Kijk eens
met andere ogen naar de wachtruimten in ziekenhuizen of de balie in de poli waar ten overstaan
van vele wachtenden vertrouwelijke informatie wordt uitgewisseld. En laten we eerlijk zijn. In
veel gevallen kun je niet eens klantvriendelijk zijn omdat de omgeving het onmogelijk maakt. Als
de beschikbaarheid van informatie geen probleem meer is en dus optimaal gebruik wordt gemaakt
van de mogelijkheden van ICT, dan kunt u echt een ander zorgconcept neerzetten. Dan hoeft niet
meer alles op één locatie te worden gebouwd en dan kunt u zelfs de diagnostiek naar de patiënt
brengen in plaats van andersom. De mobiele mammapoli, de mobiele TBC screening in gevange-
nissen en asielzoekerscentra en bijvoorbeeld de ambulance die voor aankomst al vitale gegevens
heeft doorgestuurd naar de spoedeisende hulp, zijn daarvan voorbeelden. Maar ook het e-mail
contact tussen arts en patiënt.
Om voor elkaar te krijgen dat dit ook echt gaat gebeuren, bestaat sinds 1 januari van dit jaar het
NICTIZ. Dat is voor het NEN en de leden van de normcommissies natuurlijk wennen. Er was net
een relatie tot stand gekomen met het CSIZ, het Coördinatiepunt voor de standaardisatie van de
informatievoorziening in de zorg en omdat het CSIZ is opgegaan in het NICTIZ was het nodig om
een nieuwe alliantie aan te gaan. Het was nodig om de regie over de ontwikkeling van normen en
standaarden en de regie over ZorgICT te bundelen. Wij geloven daar in en daarom financieren we
deze activiteiten. Normen en standaarden zijn essentieel voor de totstandkoming van een betaal-
bare ICT infrastructuur die het mogelijk maakt om informatie te ontsluiten. Ik hoor natuurlijk de
roep om wet- regelgeving om de toepassing van normen af te dwingen. Maar als er draagvlak is
voor het ontwikkelen van een norm voor informatiebeveiliging, waarom moet het gebruik ervan
dan worden afgedwongen door wetten en regels. Waarom is professioneel gedrag geen garantie
voor de implementatie van de norm? Ik vind dat een norm voor informatiebeveiliging onderdeel is
van een gecertificeerd kwaliteitssysteem voor zorginstellingen en goed past bij de certificatie-
schema's van HKZ of de NIAZ kwaliteitsborgingsnorm. Ons kwaliteitsbeleid is gericht op het ver-
hogen van de veiligheid van de zorgverlening, op het voorkomen van vermijdbare nadelige gevol-
gen van een noodzakelijke behandeling. Het is onze overtuiging dat dit niet vrijblijvend is, maar
dat bijvoorbeeld externe onafhankelijke certificering van zorgaanbieders daarvoor een noodzakelijk
instrument is. Dat borgen van het kwaliteitssysteem is een uitgangspunt dat al met de Kwaliteits-
wet Zorginstellingen is geregeld.
Dat wil overigens niet zeggen dat ik ervan overtuigd ben dat er geen rol is voor de overheid. Wij
werken hard aan het bevorderen van de toepassing van ZorgICT en doen dat complementair aan
het programma van het NICTIZ. Wij moeten regelen wat het NICTIZ niet kan regelen. Daarbij gaat
het natuurlijk over geld en over wet- en regelgeving. Het punt van het afdwingen van het toepas-
sen van normen en standaarden is daar onderdeel van. Ik weet nog niet welke normen en stan-
daarden bij wet moeten worden afgedwongen en welke door zelfregulering tot toepassing moe-
3
ten leiden. Ik loop daar ook niet op vooruit, maar zeg wel toe hierover via het NICTIZ met u naar
een werkbare oplossing te streven.
Ik constateer overigens dat de financiering van het ontwikkelen van normen in de zorgsector af-
wijkt van andere sectoren. Het leeuwendeel van de kosten wordt door de overheid gesubsidieerd.
Dat is niet gebruikelijk. Ik maak me daarover wel eens zorgen, vooral wanneer mij geluiden berei-
ken dat het deelnemen aan normontwikkeling gebeurt op basis van vrijwilligheid. Ik wil dat met
kracht bestrijden. Het gaat over het nemen van verantwoordelijkheid. Naar mijn mening wordt
deelgenomen op basis van belang. De centrale vraag voor het deelnemen aan normontwikkeling
is of er een belang mee gediend is. Ik heb daarbij geen aarzelingen. Normen voor veilige en be-
trouwbare informatievoorziening zijn professionele hulpmiddelen en de verantwoordelijkheid
daarvoor berust bij de professional. Het bijdragen aan normontwikkeling en ze vervolgens toepas-
sen is integraal onderdeel van het dagelijkse bedrijfsproces. Ik vind dat brancheorganisaties hun
verantwoordelijkheid tonen door deel te nemen aan het proces en daarvoor middelen vrijmaken
om vertegenwoordigers af te vaardigen wanneer deze iets toevoegen aan het doel: betere en vei-
lige zorg. Beroepsbeoefenaren en instellingen dienen met deze normen te werken. De overhead
van professionele organisaties als NEN en NICTIZ neem ik dan graag voor mijn rekening in deze
fase van ontwikkeling Maar ook deze kosten moeten op den duur uit de bedrijfsvoering worden
opgebracht immers, we hebben in Nederland een zorgstelsel waar de uitvoering bij het particulier
initiatief ligt.
Ik sluit af. Ik ben blij dat u ernst maakt met het zekerstellen van de kwaliteit, betrouwbaarheid en
de beschikbaarheid van informatie en spreek mijn waardering uit voor de samenwerking die heeft
geleid tot dit resultaat. Ik vind dat u daarmee verantwoordelijkheid heeft getoond. Er moet echter
nog veel gebeuren en ook daarin moet ieder zijn verantwoordelijkheid nemen en implementeren.
De overheid doet dat door wat van publiek belang is te regelen. U doet dat door zelf verantwoor-
delijkheid te nemen voor de beschikbaarheid van informatie en de norm toe te passen, zodat fou-
ten kunnen worden voorkomen.