Informatiebeveiliging van zorginstellingen kan beter
Zorginstellingen hebben nog een lange weg te gaan als het gaat om volwassen informatiebeveiliging. Het beleid omtrent informatiebeveiliging is nog te vaak niet de kerntaak van bestuurders of directie, het beleid kan beter, en ook in de operationele aanpak van privacy- en cybersecurity is nog ruimte voor verbetering. Dit blijkt uit een onderzoek van BDO onder meer dan 50 zorginstellingen.
Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling. Om inzicht te krijgen in hoe zorginstellingen omgaan met verschillende strategische-, tactische- en operationele aspecten van informatiebeveiliging deed het accountants- en adviesbureau onderzoek onder 55 organisaties. Respondenten van alle segmenten binnen de zorgmarkt zijn meegenomen van zowel kleine als grote instellingen.
Beleid
Uit het onderzoek blijkt dat de verantwoordelijkheid voor informatiebeveiliging op verschillende niveaus is belegd in de organisatie: 49% bij het hoogste orgaan, directie of raad van bestuur, en in 44% van de gevallen bij de IT-verantwoordelijke. Opvallend volgens BDO, omdat de norm voor ICT-beveiliging in de zorg (de zogenoemde NEN 7510) heel duidelijk is; de directie is niet alleen op papier verantwoordelijk, maar moet ook het beleid actief monitoren, aanscherpen en goedkeuren.
Ook op het gebied van informatiebeveiligingsbeleid is er volgens de onderzoekers ruimte voor verbetering. Slechts 44% van de respondenten geeft aan dat er een helder geïmplementeerd beleid is voor alle medewerkers en relevante derden. 15% van de ondervraagden zegt daarmee bezig te zijn.
18% van de onderzoekspopulatie heeft in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten, veroorzaakt door iemand van buitenaf maar ook door een medewerker, hetzij per ongeluk, hetzij met opzet. Wanneer incidenten naar boven komen drijven, dan is dat in 70% van de gevallen te danken aan een melding van een medewerker. 30% wordt door routinechecks achterhaald.
Cybersecurity
In het rapport keken de onderzoekers van BDO ook naar de dreiging van cybercrime en hoe zorginstellingen hiermee omgaan. Hieruit blijkt dat “slechts” 7% van de onderzochte organisaties te maken heeft gehad met een cybersecurityincident – “een relatief lage score”, aldus Frank van der Lee, partner bij BDO. Toch staan de risico’s en de impact daarvan hoog op het netvlies: alle organisaties hebben minimaal vijf of meer maatregelen geïmplementeerd om cybersecurityincidenten te voorkomen. Een overzicht: