Onzorgvuldige behandeling van vertrouwelijke patiënteninformatie is geen incident, maar een structureel probleem in ziekenhuizen. Dit stelt senior security consultant Gerard Bongers van beveiligingsbedrijf Securitas. Uit recent onderzoek van Securitas blijkt dat het beschermen van patiëntengegevens slechts bij zes procent van de ondervraagde zorginstellingen prioriteit heeft.
Incident
Bongers reageert met zijn kritiek op een incident in het Medisch Centrum Alkmaar (MCA) waar een journalist die zich telefonisch voordeed als fysiotherapeut zonder problemen MRI-onderzoeksgegevens van AZ-doelman Joey Didulica toegestuurd kreeg. Als voorbeeld van een onzorgvuldige omgang met persoonsgevoelige informatie noemt Bongers dat de gewoonte om patiëntengegevens al op een computer klaar te zetten in een behandelkamer voordat de arts aanwezig is. Ook liggen patiëntendossiers niet zelden bij de balie van de polikliniek, terwijl deze niet te allen tijde bezet is. Bovendien zijn ruimtes als het archief niet altijd voorzien van vergrendeling. Dit is ook niet vreemd gezien de aard van het werk in de zorg, maar het is wel een kwalijke zaak aangezien er in de dossiers gevoelige en persoonlijke informatie in staat.
Makkelijk
Irma Meinema, privacy specialist van risk- en businessconsultant Protiviti herkent het probleem. Zij wijt het ondermeer aan onderbezetting en bezuinigingen. Doordat de aandacht en energie van het personeel verdeeld moet worden, is er te weinig oog voor de beveiliging van patiëntengegevens. Niet alleen de medische gegevens zijn hierdoor onbeschermd, ook persoonlijke informatie als het thuisadres en het Burgerservicenummer. Zo is het ziekenhuis een plek geworden om op relatief gemakkelijke wijze aan persoonsgegevens te komen.
Norm
Het probleem is volgens veiligheidsdeskundigen al lange tijd bekend in de zorg. Vorig jaar bleek uit onderzoek dat nog geen kwart van de ziekenhuizen en zorginstellingen de NEN-norm voor informatiebeveiliging in de zorgsector. De NEN-norm is in 2004 opgesteld om bewustzijn te creëren in de zorgsector betreffende informatiebeveiliging en om toepassing van de norm hanteerbaar te maken. Zorginstellingen en ziekenhuizen zijn sinds dit jaar verplicht om aan de standaard te voldoen en hierover te rapporteren. Het incident rond de AZ-doelnman maakt volgens insiders duidelijk dat er nog veel te verbeteren is.
Voorbeeld
Ziekenhuizen en zorginstellingen kunnen volgens deskundigen een voorbeeld nemen aan het bedrijfsleven. Hier wordt een quickscan gebruikt om te toetsen in hoeverre de organisatie voldoet aan de geldende richtlijnen en wat er nog moet gebeuren om de punten die hier niet aan voldoen aan te pakken. Een andere maatregel kan het aanstellen van een tijdelijke security information officer zijn.