Informatiebeveiliging van zorginstellingen kan beter

10 juni 2015 Consultancy.nl

Zorginstellingen hebben nog een lange weg te gaan als het gaat om volwassen informatiebeveiliging. Het beleid omtrent informatiebeveiliging is nog te vaak niet de kerntaak van bestuurders of directie, het beleid kan beter, en ook in de operationele aanpak van privacy- en cybersecurity is nog ruimte voor verbetering. Dit blijkt uit een onderzoek van BDO onder meer dan 50 zorginstellingen.

Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling. Om inzicht te krijgen in hoe zorginstellingen omgaan met verschillende strategische-, tactische- en operationele aspecten van informatiebeveiliging deed het accountants- en adviesbureau onderzoek onder 55 organisaties. Respondenten van alle segmenten binnen de zorgmarkt zijn meegenomen van zowel kleine als grote instellingen.

De zorgsegmenten die zijn vertegenwoordigd in het onderzoek

Beleid
Uit het onderzoek blijkt dat de verantwoordelijkheid voor informatiebeveiliging op verschillende niveaus is belegd in de organisatie: 49% bij het hoogste orgaan, directie of raad van bestuur, en in 44% van de gevallen bij de IT-verantwoordelijke. Opvallend volgens BDO, omdat de norm voor ICT-beveiliging in de zorg (de zogenoemde NEN 7510) heel duidelijk is; de directie is niet alleen op papier verantwoordelijk, maar moet ook het beleid actief monitoren, aanscherpen en goedkeuren.

IB verantwoordelijkheid

Ook op het gebied van informatiebeveiligingsbeleid is er volgens de onderzoekers ruimte voor verbetering. Slechts 44% van de respondenten geeft aan dat er een helder geïmplementeerd beleid is voor alle medewerkers en relevante derden. 15% van de ondervraagden zegt daarmee bezig te zijn.

Informatiebeveiligingsbeleid aanwezig

18% van de onderzoekspopulatie heeft in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten, veroorzaakt door iemand van buitenaf maar ook door een medewerker, hetzij per ongeluk, hetzij met opzet. Wanneer incidenten naar boven komen drijven, dan is dat in 70% van de gevallen te danken aan een melding van een medewerker. 30% wordt door routinechecks achterhaald.

Manieren waarop privacy-incidenten zijn gedetecteerd

Cybersecurity
In het rapport keken de onderzoekers van BDO ook naar de dreiging van cybercrime en hoe zorginstellingen hiermee omgaan. Hieruit blijkt dat “slechts” 7% van de onderzochte organisaties te maken heeft gehad met een cybersecurityincident – “een relatief lage score”, aldus Frank van der Lee, partner bij BDO. Toch staan de risico’s en de impact daarvan hoog op het netvlies: alle organisaties hebben minimaal vijf of meer maatregelen geïmplementeerd om cybersecurityincidenten te voorkomen. Een overzicht:

Getroffen maatregelen cybersecurity-incidenten


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners Prowareness PwC Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup