Voldoen aan de wettelijke norm voor informatiebeveiliging in de zorg – de NEN 7510 – houdt in dat instellingen beschikken over een goed werkend information security management system (ISMS). Bovendien dienen zij ook regelmatig te controleren of gekozen beleid en beheersmaatregelen werken zoals bedoeld. Is dat niet het geval, dan worden organisaties geacht verbeteringen door te voeren en sowieso hun informatiebeveiliging geregeld onafhankelijk te laten beoordelen.

De NEN 7510 is van toepassing op elke zorgaanbieder die gegevens van personen verwerkt in een zorginformatiesysteem. Een NEN 7510-certificaat is niet verplicht, zo lang organisaties maar kunnen aantonen dat zij conform de norm werken. Daarbij ziet de Autoriteit Persoonsgegevens vooral toe op de beveiliging van persoonsgegevens, en de IGJ op de invloed op de kwaliteit van zorg.

Verpleeghuiszorg
Effectieve inzet van e-health in verpleeghuizen kan cliënten meer regie geven op de zorg en behandeling die zij ontvangen. Hiervoor is echter nog wel een professionalisering bij zorgaanbieders nodig, concludeert de IGJ in haar rapport ‘E-health in de verpleeghuiszorg’ (2021), een onderzoek onder tien zorgaanbieders in de verpleeghuissector. Met het betrekken van cliënten en hun naasten en gegevensuitwisseling zitten zorgaanbieders volgens de IGJ op het goede spoor. Wel dienen zij meer aandacht te besteden aan beleid, herhaalbare methodiek en informatiebeveiliging.

Gehandicaptenzorg
Organisaties in de gehandicaptenzorg hebben hun ICT-basis vaak niet genoeg op orde om goed en veilig e-health te bieden, waarbij de verschillen tussen organisaties groot zijn (bron: ‘Gehandicaptenzorg worstelt met digitale vormen van zorg’, onderzoek van de IGJ bij veertien zorgaanbieders tussen 2017 en voorjaar 2023). Naast ECD’s, cliëntenportalen, domotica in de nachtzorg, medicatiedispensers, beeldbellen en digitale zelfhulpmodules signaleerde de IGJ diverse voorbeelden van niet-gekoppelde producten, zoals sociale robots, games en hulpmiddelen om contact tussen cliënten en anderen te stimuleren. Tijdens de bezoeken constateert de IGJ dat de informatiebeveiliging veelal niet op orde is. Ook beschikten de meeste van de bezochte zorgaanbieders niet over een onafhankelijke beoordeling, iets wat zij alle na het bezoek van de inspectie alsnog hebben opgepakt.

Brancheorganisatie ActiZ ondersteunt zorginstellingen

‘Voldoen aan NEN 7510 is het begin van het proces’

Het belang van informatieveiligheid en privacy­bescherming in de zorg neemt sterk toe nu datameer en meer integraal onderdeel worden van debedrijfsvoering. Het valt echter voor zorginstellingen nog niet altijd mee hier in de praktijk handen en voeten aan te geven. Desondanks is de urgentie helder, zeker nu de externe druk toeneemt: ook accountants nemen deze thema’s mee in hun rapportage. “In feite staan informatieveiligheid en privacybescherming in dezelfde rij als kwaliteit en financiën, zaken die continu aandacht vergen.”

Aan het woord is Albert Hilvers, bestuurder Zorggroep Oude en Nieuwe Land (ZONL) en tevens lid van de themacommissie Digitaal Denken en Doen van brancheorganisatie ActiZ. Hij benoemt een aantal factoren die het lastig maken voor organisaties om informatiebeveiliging en privacybescherming op orde te brengen. “Dat begint met de kosten die je moet maken voor een nulmeting, om je systeem op orde te brengen en vooral om specifieke kennis te vergaren over hoe je informatieveiligheid en privacybescherming gaat vormgeven in je organisatie, al dan niet ondersteund door externen”, schetst hij. “Het aanstellen van een security officer en een privacy officer is pas het begin. Vervolgens moet je awareness tot stand brengen in de organisatie. Dat blijkt in de praktijk een van de moeilijkste dingen.”
Zorgorganisaties hebben veel op hun bord liggen en moeten in die veelheid prioriteiten stellen en keuzes maken. “Het urgentiebesef bij bestuurders rond informatieveiligheid en privacybescherming wordt aangewakkerd door incidenten in de praktijk. Misbruik van data, phishing mails die afkomstig lijken van de bestuurder waar mensen op reageren. “Die zijn tegenwoordig zo levensecht, ik heb zelf ook weleens per ongeluk op een verkeerde knop geklikt”, aldus Hilvers. “Je kunt je systeem en kennis op orde hebben, maar de menselijke factor blijft het grootste risico. Informatieveiligheid en privacybescherming zijn dan ook ontzettend serieuze thema’s, die voor een organisatie net zo normaal moeten zijn als kwaliteit en financiële zekerheid.”

Risicodenken
Tegelijkertijd ziet Hilvers ook de externe druk op organisaties toenemen, nu accountants informatieveiligheid en privacybescherming meenemen in hun rapportage. “Dat data van cliënten op straat belanden is niet alleen een moreel risico, maar ook een financieel risico, nog los van de kans dat het je goede naam raakt. Accountants zien informatiebeveiliging daarom als essentieel onderdeel voor de bestaanszekerheid van de organisatie.”Dataveiligheid en privacybescherming gaan hand in hand met het belang van data voor de bedrijfsvoering van zorginstellingen. “Ik werk nu ruim 35 jaar in de zorg en heb data steeds belangrijker zien worden in basisprocessen. We gebruiken data om cliënten te ondersteunen in hun zelfstandigheid in de thuissituatie en in verpleeghuizen en om professionals te ontlasten in hun werk. Maar we zetten data ook steeds meer in om voorspellingen te doen en op basis daarvan ons beleid te bepalen. Data verzamelen en daar conclusies aan verbinden over de richting waarin de organisatie zich moet ontwikkelen op het vlak van bijvoorbeeld financiën of vastgoed”, betoogt Hilvers, die AI noemt als volgende nieuwe technologie. “Momenteel beraadt ActiZ zich op haar standpunt en de ethische thema’s die met AI samenhangen.”

Shocking eenvoudig
Des te belangrijker om als organisatie te blijven werken aan kennis en bewustzijn rond informatieveiligheid en privacybescherming; ontwikkelingen gaan door en ook hackers worden steeds ingenieuzer. Om zorg­instellingen hierin te ondersteunen heeft ActiZ binnen de themacommissie Digitaal Denken en Doen verschillende instrumenten ontwikkeld. Zo wordt met alle ketenpartijen in de verpleeghuiszorg samengewerkt in het programma KIK-V om data te ordenen en het aanleveren van data te vergemakkelijken. Verder is een academie voor bestuurders ontwikkeld, met opleidingen en trainingen. “Je doet kennis op over de inhoud en ziet ethische hackers aan het werk. Zonder meer shocking hoe eenvoudig die systemen binnenkomen”, weet Hilvers, die zelf één van de opleidingen volgde. “Verder bieden we ondersteuning met een routekaart bij het in kaart brengen waar je als organisatie staat en handvatten krijgt om zelf aan de slag te gaan om te voldoen aan wettelijke verplichtingen. Ook kunnen organisaties via ons Z-CERT inschakelen, voor een methodiek die data en internet in de gaten houdt, en waarschuwt bij risico’s. Dit expertisecentrum gebruikt ervaringen van zorginstellingen en betrokken databedrijven om zijn expertise rond veiligheid door te ontwikkelen en gezamenlijk op te treden bij dataproblemen.”
Al met al stelt Hilvers dat de vraag ‘hebben we het voor elkaar?’ niet zo relevant is. “We zullen wel moeten en het als een integraal normaal onderdeel van ons werk moeten gaan zien. Dan komt je prioritering echt wel anders te liggen”, zegt hij. “Bewustwording creëren bij alle medewerkers en bij burgers die gebruikmaken van de zorg over het belang van veilig omgaan met data is essentieel. Ook als je al voldoet aan NEN 7510, moet je daar als bestuurder continu aan blijven werken. Die verantwoordelijkheid heb je.”

Cybersecurity in de praktijk:

De aanpak van IJsselheem

Ouderenzorgorganisatie IJsselheem biedt naast intramurale zorg op zestien locaties ook wijk­verpleging en welzijn (dagbesteding) en hulp aan cliënten bij behandelingen en revalidatie. Cybersecurity is een belangrijk onderwerp. “Als zorginstelling in de VVT beschik je over heel veel medische informatie enbijzondere persoons­gegevens over cliënten en medewerkers, zoals paspoortkopie, adres- en medicatie­gegevens. Daar moeten wij goed voor zorgen”, stelt Jannis Syntychakis, strategisch adviseur ICT bij IJsselheem.

Daarom startte IJsselheem in 2016 met de stap naar de cloud, waarbij een aantal aspecten van informatiebeveiliging extern zijn belegd. In 2021 is het besluit genomen om conform NEN 7510 te gaan werken. Gestart werd met een nulmeting. “We hebben op allerlei niveaus in de organisatie gesprekken gevoerd over de omgang met informatieveiligheid en beleidsdocumenten doorgenomen. Dit met als doel om onze werkwijze op dit punt meer te formaliseren”, aldus Syntychakis. IJsselheem is niet gecertificeerd. “Zolang het niet verplicht is, zien we daar de meerwaarde niet van. Wel laten we ons auditen door een externe auditor en gaan aan de slag met verbeterpunten.”

Verder levert M&I partners, een strategisch adviesbureau voor management en informatie in de overheid en zorg, de Functionaris Gegevens­bescherming. Ook is een deel van de informatiebeveiliging extern belegd doordat IJsselheem in de cloud werkt; leveranciers zijn dan verantwoordelijk voor de beveiliging van de data die in hun cloud staan. Syntychakis: “Wij eisen dat leveranciers NEN 7510-gecertificeerd zijn, een kwaliteitssysteem hebben en voldoende aandacht besteden aan cybersecurity. De oorlog in Oekraïne leidde bijvoorbeeld tot veel cyberaanvallen vanuit Rusland, dan willen we weten hoe leveranciers monitoren én voorkomen dat onze instelling gehackt wordt.”

Niet afleiden
IJsselheem heeft gekozen voor single sign-on: medewerkers hebben één inlog voor alle systemen (ECD’s, HR, planning, medicatie en intranet, etc.). “Naast gebruiksgemak hoef je bij vertrek van medewerkers ook niet allemaal losse gebruiksnamen en wachtwoorden op te zeggen. Account disabling is nu een geautomatiseerd proces”, vertelt Syntychakis, die wijst op de spanning tussen gebruiksgemak en beveiliging. “Je kunt om de veiligheid te waarborgen medewerkers wel elk uur vragen te bevestigen dat zij het zijn die inloggen, maar dat is voor hen niet te doen. Dus kijken we hoe toch multifactorauthenticatie (iemand bij inloggen minimaal twee stappen laten doorlopen, om zijn identiteit te verifiëren, red.) toe te passen is, zonder de medewerker te storen in zijn werk. Want je wilt hen niet afleiden als ze bijvoorbeeld medicatie uitleveren.”

Verder is er binnen IJsselheem continu aandacht voor het gedrag van medewerkers. “In april 2023 is er een cyberincident geweest in een van onze systemen. Dankzij onze procedures en maatregelen hebben we snel en effectief kunnen handelen. Er zijn geen cliënt- en medewerkersgegevens buitgemaakt, maar als gevolg van de hack is cybersecurity nog hoger op de agenda gekomen”, vertelt Syntychakis. “Met steeds oog voor de balans tussen veilig en gebruiksvriendelijk, en tussen veilig en niet te veel geld erin investeren.”

Alert zijn
Zo maakt IJsselheem gebruik van zogeheten pen(etratie)testen om systemen te toetsen op kwetsbaarheden en krijgen medewerkers phishing mails om te zien of ze reageren. “Zo is het incident in april ook ontstaan, met een medewerker die op een link klikte. Door AI en ChatGPT lijken mails zo echt, ik trap er zelf ook weleens in”, zegt Syntychakis. “Je kunt spamfilters echter ook niet te strak afstellen, want dan mis je wellicht belangrijke mails van huisarts of familie. En met 2.700 zorgmedewerkers, die primair voor mensen willen zorgen en minder met IT-systemen hebben, houd je – ondanks alle trainingen en informatievoorziening – altijd mensen die op links klikken.”

 

‘De beveiliging van je systeem vergt continu aanpassing’