Inspectie voor de Gezondheidszorg
Ziekenhuizen verbeteren informatiebeveiliging
Persbericht, 17 september 2009
Ziekenhuizen hebben het niveau van informatiebeveiliging beter op
orde. Dat constateert de IGZ in een vervolgonderzoek. In 2007
onderzochten de IGZ en het College Beveiliging persoonsgevens (CPB)
twintig ziekenhuizen. Naar aanleiding van dat onderzoek vroeg IGZ aan
alle niet onderzochte ziekenhuizen een plan om de
informatiebeveiliging op orde te brengen. Nog twintig ziekenhuizen
moeten hun plan bijstellen of aanvullen.
Bij vijf ziekenhuizen die in 2007 specifiek werden onderzocht waren de
tekortkomingen, na toezending van de plannen van aanpak, nog zodanig
dat zij handelden in strijd met de Wet bescherming persoonsgegevens
(Wbp). Het betrof vooral het ontbreken van een risicoanalyse waaruit
moet blijken waar het ziekenhuis de grootste risico's loopt op het
gebied van informatiebeveiliging. Eén ziekenhuis nam alsnog voldoende
maatregelen. Aan vier ziekenhuizen, de Ommelander Ziekenhuis Groep te
Winschoten, het MC/Lelystad, het Medisch Spectrum Twente te Enschede
en het Rijnland Ziekenhuis te Leiderdorp legde het CBP uiteindelijk op
2 juni 2009 een last onder dwangsom op. Deze vier ziekenhuizen hebben
voor 1 september 2009 duidelijk moeten maken dat de tekortkomingen
zijn opgelost. Het CBP beoordeelt momenteel de rapportages van deze
ziekenhuizen.
Van de 72 ziekenhuizen die in 2007 niet specifiek zijn onderzocht,
hebben alle, op één na, uiteindelijk een plan van aanpak aan de
inspectie toegestuurd. Die plannen geven het vertrouwen dat
ziekenhuizen het serieus voorhebben met de beveiliging van de
informatie. Twintig van deze plannen van aanpak zijn door de IGZ als
'onvoldoende' beoordeeld. De IGZ heeft deze ziekenhuizen gevraagd om
een aanvullend plan van aanpak.
Het Rode Kruis Ziekenhuis in Beverwijk stuurde helemaal geen plan van
aanpak en moet dat voor 1 oktober 2009 alsnog doen. Als zij daarbij in
gebreke blijft verzoekt de IGZ de minister om een aanwijzing te geven.
Ga hier naar het rapport