MINISTER KLINK: informatiebeveiliging ziekenhuizen moet snel beter
Donderdag 13 november 2008, nummer 56
MINISTER KLINK: informatiebeveiliging ziekenhuizen moet snel beter
Het ontbreken van systematisch uitgewerkt informatiebeveiligingsbeleid bij ziekenhuizen moet snel worden verholopen. Dat stelt minister Klink van Volksgezondheid, Welzijn en Sport (VWS) in een brief aan de Tweede Kamer. De bewindsman reageert op het rapport 'Informatiebeveiliging ziekenhuizen voldoet niet aan de norm' van de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP). Dat rapport is gebaseerd op onderzoek bij 20 ziekenhuizen.
De bewindsman is blij met de aandacht van de IGZ en het CBP voor informatiebeveiliging in de zorg.
"De zorg is een zeer informatie intensieve sector. Ook neemt elektronische informatie-uitwisseling in de zorg een grote vlucht. Het gaat daarbij zowel om uitwisseling van patiëntgegevens binnen het ziekenhuis als uitwisseling van patiëntengevens via de huidige lokale en regionale netwerken. De informatiebeveiliging van zowel papieren als elektronische dossiers dient daarbij uiteraard op orde te zijn " , aldus Klink in zijn brief aan de Kamer. Bij onvoldoende planvorming zal de IGZ handhavingsmaatregelen inzetten.
De minister wijst in zijn brief ook op de invoering van het elektronisch patiëntendossier. ,,Het EPD voldoet aan de hoogste normen van veiligheid ", schrijft hij. ,,Gezien de gevoeligheid van de uit te wisselen gegevens zijn vanaf het begin zeer hoge eisen gesteld aan de beveiliging van de gehele EPD-keten." Daarom moeten de ziekenhuizen voordat ze kunnen aansluiten op het EPD aan de volgende voorwaarden zijn voldaan:
1. Beschikken over een gekwalificeerd ziekenhuisinformatiesysteem. Het Nationaal ICT Instituut in de Zorg (Nictiz) verzorgt deze kwalificatie.
2. Het hebben van een GBZ-verklaring. GBZ staat voor goed beheerd zorgsysteem. Voorafgaand aan de aansluiting wordt de veilige werking in technische testen getoetst. Een zorgaanbieder kan alleen toegang krijgen met een persoonlijke UZI-pas op basis van een vermelding in het BIG-register. Bovendien wordt permanent vastgelegd welke arts de gegevens heeft ingezien. DE IGZ en het CBP zijn de toezichthoudende instanties.
Volgens de minister zal invoering van het landelijk elektronisch patiëntendossier gaan bijdragen aan extra aandacht voor informatiebeveiliging en een versnelde opschaling van het niveau van informatiebeveiliging van ziekenhuizen.
Voor de korte termijn hebben de 20 onderzochte ziekenhuizen vorige maand een plan van aanpak ingeleverd bij de IGZ. In dat plan geven ze aan wat ze ondernemen om volledig aan de normen te voldoen en per wanneer dat is gerealiseerd. Alle andere ziekenhuizen is gevraagd uiterlijk 1 februari aanstaande zo'n plan van aanpak te leveren. In 2010 moeten alle ziekenhuizen in ons land een externe audit laten uitvoeren om te bepalen of ze aan de norm voor informatiebeveiliging (NEN7510) voldoen.
Noot aan redacties (