Norm voor Informatiebeveiliging klaar voor toetsing
In de medische zorg wordt steeds meer gebruik gemaakt van de computer.
Dit leidt tot vragen over de veiligheid van informatie. Niet alleen
dient te worden geregeld wie welke informatie mag gebruiken, zoals is
omschreven in de KNMG Handleiding voor artsen inzake de privacy
wetgeving en het omgaan met patiëntgegevens. Ook het voorkómen van
ongeoorloofd gebruik, en beschadiging of verlies van informatie vergt
maatregelen. Dit is de informatiebescherming.
Het belang van informatiebeveiliging wordt groter bij een toename van
elektronisch verkeer tussen zorgverleners. In de komende jaren wordt
hierin een sterke groei verwacht. Informatiebeveiliging is een
noodzakelijke voorwaarde voor de elektronische communicatie van
gegevens in het kader van zorg voor een patiënt, zowel in de cure als
de care.
Het is van groot belang dat er vertrouwen kan bestaan bij alle
betrokkenen, zowel zorgverleners als management en patiënten, in de
kwaliteit en veiligheid van de informatisering in de zorg. Vertrouwen
door landelijk uniforme normen, die worden gedragen door het veld en
zijn toegepast in de praktijk. De normen voor informatiebeveiliging
hebben tot doel om de kwaliteit van de informatie te waarborgen.
Het belang van informatiebeveiliging wordt alom ingezien. Het bedrijfsleven heeft de relevante wetten en regels in onderlinge samenwerking vertaald naar de algemeen geldende Code voor Informatiebeveiliging, en de overheid past deze norm eveneens toe. Ook is een Europese voornorm voor informatiebeveiliging in de gezondheidszorg, de ENV 12924, tot stand gekomen.
De NEN normcommissie Informatiebeveiliging in de Zorg heeft tot taak landelijk voor all parties concerned normen te ontwikkelen. De normcommissie heeft gemeend dat de toepassing van de norm voor informatiebeveiliging een nadere uitwerking behoeft voor de toepasbaarheid in de praktijk, en heeft bovenstaande normen vertaald naar de specifieke situatie van de Nederlandse gezondheidszorg.
Project IBIZ, een norm voor informatiebeveiliging
De KNMG heeft binnen deze commissie, ook namens de federatiepartners,
het voortouw genomen om op projectmatige wijze een norm voor
informatiebeveiliging op te stellen. Voor artsen worden op hanteerbare
wijze handvatten verschaft voor de omgang met informatie. De KNMG is
van mening dat de implementatie van deze norm in het kwaliteitsbeleid
van de zorginstelling en de zorgverlener past.
Het NEN wil de norm niet passief aanbieden, maar beschouwt het als
haar verantwoordelijkheid het implementeren en het gebruik van de norm
te faciliteren door tegelijkertijd met de norm hulpmiddelen te
ontwikkelen voor het veld (de zogenoemde implementatiekaarten). De
resultaten van het project Informatie Beveiliging In de Zorg (IBIZ),
zowel de conceptnorm als de hulpmiddelen die worden aangereikt voor de
toepassing van deze norm, worden in september 2002 gepubliceerd;
nadere informatie is verkrijgbaar op www.nen.nl. Gedurende een periode
van drie maanden is er voor alle betrokkenen gelegenheid tot het
leveren van commentaar. Na deze periode wordt de norm, na eventuele
aanpassing, door het NEN definitief vastgelegd als NEN norm.
Hoewel deze norm vooralsnog niet verplichtend is, is het verstandig om er rekening mee te houden dat deze norm op termijn wel een meer verplicht karakter kan krijgen. Dit is geadviseerd in het onlangs verschenen advies van de Raad van de Volksgezondheid en Zorg ("E-health in zicht"). Het is van belang om te zorgen dat instellingen en praktijken klaar zijn voor deze ontwikkeling.
Voor wie is de norm van belang?
De Normcommissie heeft de volgende doelgroepen onderscheiden:
patiënten, patiëntenorganisaties, zorgverleners, beroepsorganisaties
van zorgverleners, instellingen, bedrijven, auditors en overheden. Zij
hebben allen te maken met zorg informatieverwerking en het gebruik van
zorginformatie.
De organisaties van patiënten/consumenten en de beroepsorganisaties
van zorgverleners zullen voor hun achterban moeten aangeven onder
welke voorwaarden de privacybescherming en de beveiliging van medische
informatie voldoende zijn gewaarborgd; met name mogen slechts
bevoegden na autorisatie toegang hebben tot de gegevens. Deze
selectieve toegang tot de gegevens is een aspect van
informatiebeveiliging. De norm zal vooral voorwaardenscheppend zijn om
het regelen van deze toegangsbevoegdheid in de praktijk in te kunnen
voeren
Draaiboeken beschikbaar bij voorbeeldorganisaties
Gezien de grote diversiteit binnen de zorgsector in de aard van de
werkzaamheden en in het organisatorisch verband waarin deze
werkzaamheden worden verricht zal toepassing van de norm voor
informatiebeveiliging sterk afhankelijk zijn van het soort instelling
of praktijk waarbinnen zorgverlening wordt verleend. Bij het
ontwikkelen van hulpmiddelen voor implementatie is gekozen om te
werken met voorbeeldorganisaties, zoals de huisartspraktijk, het
algemeen ziekenhuis, de psychiatrische instelling, de thuiszorg, de
praktijk voor fysiotherapie, het (streek) laboratorium en een
regionale samenwerkingsverband. Hiervoor zijn draaiboeken beschikbaar
om te voldoen aan de norm. Men kan dus gebruik maken van kant en
klare hulpmiddelen die specifiek worden gemaakt voor de eigen
voorbeeldorganisatie. Sommige instellingen zijn reeds begonnen met een
systematische invoering van informatiebeveiliging, waarbij ieder zijn
eigen oplossing hanteert. Met de norm en de implementatiekaarten wordt
het mogelijk binnen Nederland op uniforme wijze informatiebeveiliging
in de gezondheidszorg toe te passen.
Om na te gaan of de norm en de beschikbare hulpmiddelen in de praktijk
voldoen worden in 2003 drie proefimplementaties uitgevoerd. Op basis
van de hierbij opgedane ervaringen kunnen norm en hulpmiddelen worden
bijgesteld en zal worden nagegaan welke ondersteuning het veld
verwacht bij deze implementatie en in welke vorm. Voor vragen hierover
neemt u contact op met Peter Ragetlie of Wouter Meijer,
ICT-beleidsmedewerkers KNMG (030-2823792) of raadpleegt u de website
van het NEN (www.nen.nl).