Actieplan gelanceerd voor betere beveiliging patiëntengegevens

02 januari 2017 Consultancy.nl

Adviesbureau PBLQ heeft in opdracht van het Ministerie van VWS onderzoek gedaan naar de beveiliging van patiëntgegevens in zorginstellingen. Op basis van het rapport is besloten een speciaal actieplan te ontwikkelen met als doel de kwaliteit van de IT-beveiliging in de zorgketen naar een hoger niveau te tillen. De implementatie zal naar verwachting in het tweede kwartaal van 2017 worden afgetrapt. 

Naar aanleiding van diverse berichten in de media over het onzorgvuldig omgaan met privacygevoelige gegevens van patiënten in de zorg, besloot Minister Schippers van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) in maart vorig jaar een onderzoek naar het fenomeen te laten starten. Belangrijkste doelstelling was om in kaart te brengen op welke wijze zorginstellingen (ziekenhuizen, zelfstandige klinieken en instellingen voor geestelijke gezondheidszorg) omgaan met de beveiliging van hun patiëntgegevens en om manieren te achterhalen hoe hierin verbetering zou kunnen worden aangebracht. 

Om het onderzoek door te voeren schakelde Schippers de hulp in van PBLQ, een advies- en onderzoeksbureau voor de publieke sector. Onder leiding van principal adviseur Theo Hooghiemstra werd tussen juli en november 2016 uitgebreid onderzoek gedaan naar de stand van zaken, waarbij (groeps)interviews met experts uit het werkveld werden gehouden, een enquête werd doorgevoerd en waarbij met betrokkenen een bespreking van de resultaten uit het onderzoek werd gehouden.

IT-landschap in zorg steeds complexer

De onderzoekers concluderen dat het digitale landschap waarbinnen zorgpartijen opereren steeds complexer wordt. Dit komt onder andere door de introductie van allerlei nieuwe ontwikkelingen binnen de sector, zoals eHealth, gezondheidsapps en big data. Maar ook door wijzigingen binnen het zorgdomein zelf, zoals nieuwe manieren van werken of bijvoorbeeld de in 2015 doorgevoerde decentralisaties, hebben de afgelopen periode een grote, veranderende rol in het zorglandschap gespeeld. Met name de laatstgenoemde ontwikkeling heeft een enorme impact op de technische bedrijfsvoering – hierdoor worden steeds meer (digitale) patiëntgegevens verwerkt buiten de kring van rechtstreeks bij de behandeling betrokken personen en instanties. De combinatie van al deze factoren betekent dat risico’s op incidenten met patiëntgegevens toenemen.

Actieplan gelanceerd voor betere beveiliging patientengegevens

Tegelijkertijd heeft de informatiebeveiliging en privacybescherming de afgelopen jaren in de meeste zorginstellingen veel meer aandacht gekregen en is de bewustwording bij instellingen toegenomen. Dit komt deels door wetgeving, zoals de meldplicht datalekken (artikel 34a Wbp) en door de toename van cyberdreigingen, maar ook deels door initiatieven die vanuit de sector afkomstig zijn, zoals de opzet van een Zorg-CERT (Z-CERT) en het uitvoeren van bewustwordingscampagnes. “De wil en het besef dat patiëntgegevens moeten worden beschermd is er bij zorginstellingen; er wordt hard gewerkt aan informatiebeveiliging en privacybescherming”, aldus de auteurs.

Tegen deze achtergrond stellen de onderzoekers dat, hoewel er sprake is van een positieve ontwikkeling rond informatiebeveiliging, incidenten niet te voorkomen zijn. “Waterdichte beveiliging is feitelijk niet mogelijk. Het is echter van belang dat er wordt geleerd en dat de informatiebeveiliging en privacybescherming continu worden verbeterd.” Ook wijzen de adviseurs op de spanningen tussen vertrouwelijkheid en de beschikbaarheid van gegevens. Ook hier is een ideaal nastreven een onmogelijke opgave – het gaat juist om het vinden van het optimum op deelgebieden van de zorg of voor patiënten. 

Aanbevelingen

In het rapport doen de PBLQ adviseurs vijf aanbevelingen die volgens hen de omgang met privacygevoelige gegevens in de zorg zouden kunnen verbeteren. De eerste richt zich op het bevorderen van goed gedrag. Geadviseerd wordt om top-down te beginnen met het geven van het goede voorbeeld door het management en drempels op de werkvloer die informatiebeveiliging en privacybescherming belemmeren te verwijderen. Het tweede leerpunt is dat er meer lessen uit ‘good practices’ te trekken zijn. Tal van deze good practices worden in het rapport onder de loep genomen, waaronder het gebruik van het NFU-normenkader en het handboek NEN 7510.

Het integreren van het proces voor het registreren en afhandelen van datalekken en andere cyberincidenten in de bestaande systematiek voor de afhandeling van (andere) veiligheidsincidenten [veiligheidsincidentmelding- (VIM) / veiligheidsmanagement-systeem (VMS)], is een verder voorbeeld van zo’n good practice waar voorlopers in het veld baat bij hebben en die relatief eenvoudig kan worden overgenomen door andere zorginstellingen. 

Het bundelen van krachten is het vierde advies van de auteurs – “de effectiviteit van informatiebeveiliging en privacybescherming kan worden vergroot door onderling en met andere betrokken organisaties samen te werken”, aldus de onderzoekers. Zoals koepels die in overleg met toezichthouders (AP en de inspectie) en VWS meer sectorale afspraken maken. Hierbij kan ook gedacht worden aan een model bewerkersovereenkomst.

Effectiviteit van privacybeschermingVan de overheid en branche-instellingen wordt ook meer verwacht. Wanneer er nieuwe wet- en regelgeving van kracht wordt, dan dienen VWS, koepels en toezichthouders te faciliteren dat wet- en regelgeving goed begrepen kan worden door mensen die in de zorg werken via praktische handvatten voor de praktijk. Te vaak wordt de transitie van regelgeving en beleid naar de uiteindelijke uitvoering onvoldoende doorgevoerd. Wat hier bijvoorbeeld bij zou kunnen helpen is het presenteren van de regelgeving in sectorale en beroepsgerichte gedragscodes en thematische richtsnoeren.

Tot slot: zorginstellingen wordt geadviseerd om zich zorgvuldig voor te bereiden op de komst van de Algemene Verordening Gegevensbescherming (AVG). Daarbij luidt het advies om de lat voor informatiebeveiliging en privacybescherming hoger te leggen dan de vigerende wet- en regelgeving.

Vervolgstappen

Het rapport van PBLQ is medio december door Schippers met de Tweede Kamer gedeeld. In de begeleidende brief geeft ze aan de aanbevelingen te gaan overnemen en de volgende stappen voor te bereiden. “Gezien het aantal en de diversiteit van de aanbevelingen die PBLQ in het rapport gedaan heeft, is het is noodzakelijk om met alle betrokken partijen de komende periode een ‘Actieplan (informatie)beveiliging patiëntgegevens’ op te zetten. Hierbij zal een belangrijke rol zijn weggelegd voor de koepels van de ziekenhuizen, zelfstandige klinieken, GGZ-instellingen en Patiëntenfederatie, en ook voor VWS en de toezichthouders. Ik zal op korte termijn het initiatief nemen om met de genoemde organisaties te starten met het Actieplan.” 

Het actieplan zal een meerjarig karakter kennen, en als het aan Schippers ligt zal het moeten leiden tot structurele verbeteringen in de dagelijkse werkpraktijk in de genoemde zorginstellingen: in de bestuurskamer en bij de stafdiensten, bij de artsen, bij verpleegkundigen en bij onderzoekers. Volgens de planning wordt het plan in het voorjaar van 2017 opgeleverd, waarna de implementatie direct kan starten.

Nieuws

Meer nieuws over