Informatiebeveiliging ziekenhuizen moet snel beter
Het ontbreken van systematisch uitgewerkt informatiebeveiligingsbeleid bij ziekenhuizen moet snel worden verholpen, stelt minister Klink.
In een brief aan de Tweede Kamer reageert de bewindsman op het rapport 'Informatiebeveiliging ziekenhuizen voldoet niet aan de norm' van de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP). Dat rapport is gebaseerd op onderzoek bij 20 ziekenhuizen.
Informatie-intensieve sector
De bewindsman is blij met de aandacht van de IGZ en het CBP voor informatiebeveiliging in de zorg. 'De zorg is een zeer informatie-intensieve sector. Ook neemt elektronische informatie-uitwisseling in de zorg een grote vlucht. Het gaat daarbij zowel om uitwisseling van patiëntgegevens binnen het ziekenhuis als uitwisseling van patiëntengevens via de huidige lokale en regionale netwerken. De informatiebeveiliging van papieren en elektronische dossiers dient daarbij uiteraard op orde te zijn', aldus Klink in zijn brief aan de Kamer. Bij onvoldoende planvorming zal de IGZ handhavingsmaatregelen inzetten.
Elektronisch patiëntendossier
De minister wijst in zijn brief ook op de invoering van het elektronisch patiëntendossier (EPD). 'Het EPD voldoet aan de hoogste normen van veiligheid', schrijft Klink. 'Gezien de gevoeligheid van de uit te wisselen gegevens zijn vanaf het begin zeer hoge eisen gesteld aan de beveiliging van de gehele EPD-keten.' Daarom moeten ziekenhuizen voldoen aan een aantal voorwaarden voordat ze kunnen aansluiten op het EPD:
Beschikken over een gekwalificeerd ziekenhuisinformatiesysteem.
Het Nationaal ICT Instituut in de Zorg (Nictiz) verzorgt deze kwalificatie.Het hebben van een GBZ-verklaring (GBZ staat voor goed beheerd zorgsysteem).
Voorafgaand aan de aansluiting wordt de veilige werking in technische testen getoetst. Een zorgaanbieder kan alleen toegang krijgen met een persoonlijke UZI-pas op basis van een vermelding in het BIG-register. Bovendien wordt permanent vastgelegd welke arts de gegevens heeft ingezien. De IGZ en het CBP zijn de toezichthoudende instanties.
Volgens de minister zal invoering van het landelijk elektronisch patiëntendossier gaan bijdragen aan extra aandacht voor informatiebeveiliging en een versnelde opschaling van het niveau van informatiebeveiliging van ziekenhuizen.
Plan van aanpak
Voor de korte termijn hebben de 20 onderzochte ziekenhuizen vorige maand een plan van aanpak ingeleverd bij de IGZ. In dat plan geven ze aan wat ze ondernemen om volledig aan de normen te voldoen en per wanneer dat is gerealiseerd. Alle andere ziekenhuizen is gevraagd uiterlijk 1 februari aanstaande zo'n plan van aanpak te leveren.
In 2010 moeten alle ziekenhuizen in ons land een externe audit laten uitvoeren om te bepalen of ze aan de norm voor informatiebeveiliging (NEN7510) voldoen.