Inspectie voor de Gezondheidszorg
Informatiebeveiliging ziekenhuizen voldoet niet aan de norm
Toezichthouders CBP en IGZ wijzen op risico's voor zorg en privacy
In een vandaag gepubliceerd onderzoek naar de informatiebeveiliging in
ziekenhuizen concluderen het College bescherming persoonsgegevens
(CBP) en de Inspectie voor de Gezondheidszorg (IGZ) dat geen van de
twintig onderzochte ziekenhuizen aan de norm voor
informatiebeveiliging voldoet. Zo wordt informatiebeveiliging niet
systematisch geregeld, is de verantwoordelijkheid voor de beveiliging
onvoldoende ingebed in de organisatie en is de toegang tot
patiëntgegevens onvoldoende afgeschermd. Dit kan ernstige gevolgen
hebben voor de kwaliteit van de zorg en de privacy van patiënten.
De ziekenhuizen moeten een plan van aanpak opstellen waaruit blijkt
hoe en op welke termijn zij wel aan de norm gaan voldoen. Als de
inhoud van de plannen van aanpak daartoe aanleiding geeft, zal
handhavend worden opgetreden.
Het CBP en de IGZ concluderen in hun onderzoek dat in ziekenhuizen
maar zeer beperkt bewustzijn is van de risico´s van onvoldoende
informatiebeveiliging. Het merendeel van de ziekenhuizen neemt dan ook
te weinig maatregelen om de informatiebeveiliging zeker te stellen.
Door patiëntgegevens onvoldoende te beveiligen, ontstaan aanzienlijke
risico's voor de zorg aan en de privacy van de patiënt. Zo kan
onzorgvuldig omgaan met inloggegevens ertoe leiden dat
ongeautoriseerde medewerkers toegang hebben tot privacygevoelige
gegevens van patiënten.
Het onderzoeksrapport bevat een praktijkvoorbeeld waarbij meerdere
medewerkers die geen behandelrelatie hadden met een patiënt, te weten
de voorzitter van de Raad van Bestuur van het ziekenhuis, zich toegang
hadden verschaft tot zijn elektronisch medisch dossier.
Informatiebeveiliging in de zorg betreft zowel het toezichtsdomein van
het College bescherming persoonsgegevens (CBP) als de Inspectie voor
de Gezondheidszorg (IGZ). Om die reden hebben de toezichthouders het
onderzoek gezamenlijk uitgevoerd op grond van het
samenwerkingsprotocol tussen het CBP en de IGZ. Voor het onderzoek is
gebruik gemaakt van de NEN 7510-norm die in 2004 is vastgesteld voor
informatiebeveiliging in de zorgsector.
Ga hier naar het rapport 'Informatiebeveiliging in ziekenhuizen
voldoet niet aan de norm'.