Informatiebeveiliging van zorginstellingen kan beter

10 juni 2015 Consultancy.nl

Zorginstellingen hebben nog een lange weg te gaan als het gaat om volwassen informatiebeveiliging. Het beleid omtrent informatiebeveiliging is nog te vaak niet de kerntaak van bestuurders of directie, het beleid kan beter, en ook in de operationele aanpak van privacy- en cybersecurity is nog ruimte voor verbetering. Dit blijkt uit een onderzoek van BDO onder meer dan 50 zorginstellingen.

Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling. Om inzicht te krijgen in hoe zorginstellingen omgaan met verschillende strategische-, tactische- en operationele aspecten van informatiebeveiliging deed het accountants- en adviesbureau onderzoek onder 55 organisaties. Respondenten van alle segmenten binnen de zorgmarkt zijn meegenomen van zowel kleine als grote instellingen.

De zorgsegmenten die zijn vertegenwoordigd in het onderzoek

Beleid
Uit het onderzoek blijkt dat de verantwoordelijkheid voor informatiebeveiliging op verschillende niveaus is belegd in de organisatie: 49% bij het hoogste orgaan, directie of raad van bestuur, en in 44% van de gevallen bij de IT-verantwoordelijke. Opvallend volgens BDO, omdat de norm voor ICT-beveiliging in de zorg (de zogenoemde NEN 7510) heel duidelijk is; de directie is niet alleen op papier verantwoordelijk, maar moet ook het beleid actief monitoren, aanscherpen en goedkeuren.

IB verantwoordelijkheid

Ook op het gebied van informatiebeveiligingsbeleid is er volgens de onderzoekers ruimte voor verbetering. Slechts 44% van de respondenten geeft aan dat er een helder geïmplementeerd beleid is voor alle medewerkers en relevante derden. 15% van de ondervraagden zegt daarmee bezig te zijn.

Informatiebeveiligingsbeleid aanwezig

18% van de onderzoekspopulatie heeft in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten, veroorzaakt door iemand van buitenaf maar ook door een medewerker, hetzij per ongeluk, hetzij met opzet. Wanneer incidenten naar boven komen drijven, dan is dat in 70% van de gevallen te danken aan een melding van een medewerker. 30% wordt door routinechecks achterhaald.

Manieren waarop privacy-incidenten zijn gedetecteerd

Cybersecurity
In het rapport keken de onderzoekers van BDO ook naar de dreiging van cybercrime en hoe zorginstellingen hiermee omgaan. Hieruit blijkt dat “slechts” 7% van de onderzochte organisaties te maken heeft gehad met een cybersecurityincident – “een relatief lage score”, aldus Frank van der Lee, partner bij BDO. Toch staan de risico’s en de impact daarvan hoog op het netvlies: alle organisaties hebben minimaal vijf of meer maatregelen geïmplementeerd om cybersecurityincidenten te voorkomen. Een overzicht:

Getroffen maatregelen cybersecurity-incidenten


×
×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Connective Payments Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink Mazars McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quantics Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup YNNO Young Advisory Group Zanders Zestgroup