Zorgaanbieders zijn verplicht om met de NEN 7510 te werken aan hun informatiebeveiliging. Deze norm bepaalt hoe organisaties hun informatiebeveiliging inrichten om cyberrisico’s te verkleinen. De NEN 7510 omvat vereisten over onder meer verantwoordelijkheid en beheer, toegang tot gegevens, het regelmatig controleren van risico’s en het nemen van passende maatregelen. De aanwezigheid van beleid en beheersmaatregelen is niet genoeg. Zorgorganisaties moeten regelmatig met een onafhankelijke toets aantonen dat zij volgens deze norm werken en waar nodig verbeteringen doorvoeren.
Ondermaats
De inspectie peilde bij 87 organisaties van de in circa 150 grotere ggz-organisaties of zij aantoonbaar volgens de NEN 7510 werkten. Het ging hierbij om organisaties – uiteenlopend van forensische en verslavingszorg tot beschermd wonen – met minimaal 50 fte medewerkers waarvan onbekend was in hoeverre zij volgens de norm werken. Uit het onderzoek blijkt dat slechts 6 van de 87 organisaties aantoonbaar aan de wettelijke vereisten voldoet. Bijvoorbeeld door middel van een certificaat.
“Veel andere organisaties gaven aan wel bezig te zijn om aan de norm te voldoen; slechts 40 organisaties hebben daar daadwerkelijk een streefdatum voor”, aldus de IGJ. Twee organisaties voldeden nog niet aan de norm, maar lieten wel een onafhankelijke beoordeling uitvoeren. “Opvallend was dat 14 van de 87 organisaties ook na herhaalde oproepen niet reageerden op de gestelde vragen. Zorgaanbieders hebben een plicht om mee te werken aan ons toezicht door informatie te verstrekken.” De inspectie gaat er daarom vanuit dat deze aanbieders niet volgens de norm werken.
Hacks
De toezichthouder maakt zich zorgen. Behandelaren en andere zorgverleners leggen digitaal gegevens vast over bijvoorbeeld het behandelplan, rapportages of voorgeschreven medicatie. “De kwaliteit van de zorg is steeds meer afhankelijk van de beschikbaarheid van informatie. Het gaat vrijwel altijd om zeer gevoelige persoonsgegevens, bijvoorbeeld over de mentale en fysieke toestand van personen.”
Bovendien bieden ggz-aanbieders steeds meer zorg digitaal aan, bijvoorbeeld via beeldbelgesprekken. “Het belang van goede informatiebeveiliging is groot. Zowel voor de bescherming van de privacy van cliënten en medewerkers, als voor de beschikbaarheid van gegevens om de juiste zorg te kunnen verlenen.” Met de ChipSoft-hack kregen we een ‘voorproefje’ van de ravage van een cybersecurity-hack. De gehackte patiëntgegevens werden uiteindelijk vernietigd. Ook het laboratorium Clinical Diagnostics had zijn data niet goed genoeg beveiligd toen het vorig jaar werd gehackt en de criminelen er met de persoonlijke gegevens van een half miljoen vrouwen vandoor gingen.
Vaart maken
De inspectie verwacht dat alle ggz-organisaties zo snel mogelijk werken volgens de wettelijke norm. De IGJ gaat de aanbieders die nog niet voldoen aan de norm – inclusief de organisaties die niet reageerden – actief volgen. Onder meer door gesprekken te voeren en onafhankelijke beoordelingen en/of verbeterplannen op te vragen. Dit jaar moeten deze organisaties minimaal een onafhankelijke en deskundige beoordeling hebben uitgevoerd.
Het onderzoek naar de informatiebeveiliging in de ggz staat niet op zichzelf. Eerder deed de IGJ al onderzoek naar de stand van zaken bij ziekenhuizen, huisartsenspoedposten, zelfstandige klinieken en organisaties in de ouderenzorg. Binnenkort volgen onderzoeken bij jeugdhulp, laboratoria en eerstelijnszorg.
Stevig signaal
De Nederlandse ggz noemt de bevindingen van de IGJ ‘een stevig signaal dat we heel serieus nemen’. Tegelijkertijd wijst de branchevereniging erop dat instellingen al langere tijd investeren in digitale weerbaarheid. “Onder meer via het CISO netwerk waarin specialisten uit de ggz kennis en ervaringen uitwisselen, en door risico’s beter te analyseren en systemen veiliger in te richten. Ook krijgt informatiebeveiliging steeds vaker een plek aan de bestuurstafel.”
De komende periode ligt de focus op het beter organiseren, vastleggen en aantoonbaar maken van wat er al gebeurt. “Daarom start de Nederlandse ggz een sectorbreed verbetertraject van twee jaar waarin instellingen stap voor stap toewerken naar naleving van de norm. Daar willen we samen de komende twee jaar versneld op doorpakken”, aldus de Nederlandse ggz.
Cyberbeveiligingswet
Binnenkort gaat de Cyberbeveiligingswet in, die geldt voor organisatie met meer dan 50 fte’s of een jaaromzet van meer dan 10 miljoen euro. Volgens de nieuwe Cyberbeveiligingswet zijn zorgbestuurders aansprakelijk voor goede digitale veiligheid. En ook voor een adequate reactie op hacks, zoals de ransomware-aanval. Ggz-aanbieders die aantoonbaar werken volgens NEN 7510 voldoen al voor een belangrijk deel aan die zorgplicht.
