aanpak van de inventarisatie, vervolgens de bevindingen en tot slot de conclusies.

Transcriptie

1 Informatiebeveiliging bij Verpleeg- en Verzorgingshuizen en Thuiszorg Een inventarisatie van de stand van zaken René van der Stel bc. (Harteveld Groep, rstel at harteveld.nl) Ir. Sander Nieuwenhuis (Harteveld Groep, s.nieuwenhuis at harteveld.nl) Met medewerking van drs. Rob Asrafali (rob.asrafali at google.com) 19 oktober 2011 (versie 1.00) 1. Algemeen Informatiebeveiliging is een bedrijfsactiviteit waarmee iedere organisatie, groot of klein mee te maken heeft. Helaas is het zo dat er geen allesomvattende informatiebeveiligingsoplossing bestaat. De steeds veranderende omstandigheden in de wereld zorgen ervoor dat wat gisteren goed was, morgen achterhaald is. Om te onderzoeken hoe organisaties zich hier tegen wapenen en wat de huidige stand van zaken is, onderzoeken wij regelmatig bepaalde branches of ontwikkelingen op het gebied van informatiebeveiliging. In deze paper willen we onze bevindingen uiteenzetten over de zorgsector in het algemeen en de verpleeg- en verzorgingshuizen en thuiszorg (VVT) sector in het bijzonder. We hebben voor deze sector gekozen omdat de informatievoorziening en automatisering binnen de VVT sector sterk in ontwikkeling zijn, waarbij het gaat om veel privacygevoelige gegevens. We schetsen in deze paper eerst de ontwikkelingen in de zorg over de afgelopen drie jaren op hoofdlijnen om vervolgens in te gaan op de VVT sector. We benoemen de aanpak van de inventarisatie, vervolgens de bevindingen en tot slot de conclusies. 2. Informatiebeveiliging binnen de zorg Informatiebeveiliging binnen de zorgsector heeft de afgelopen jaren niet stil gestaan. Hiervoor zijn twee ontwikkelingen grotendeels verantwoordelijk: 1. De eerste ontwikkeling is dat ziekenhuizen door de Inspectie voor de Gezondheidzorg (IGZ) verplicht worden gesteld te werken volgens de NEN7510 normering. 2. De tweede belangrijke ontwikkeling heeft betrekking op het Elektronisch Patiënten Dossier (EPD): voor een aansluiting moet voldaan worden aan de eisen voor een Goed Beheerd Zorgsysteem van het Nictiz i. De verwachting is dat beide ontwikkelingen zullen worden voortgezet, ondanks het afschieten van het EPD door de Eerste Kamer in april Niet in de laatste plaats gevoed door de voortdurende maatschappelijke discussie over privacy. Sterker: de digitalisering van medische gegevens lijkt alleen maar te verbreden. Zorginstellingen in hun volledige pluriformiteit zijn bezig met of bereiden zich voor op de overgang van het papieren cliënt dossier naar het Elektronisch Cliënten Dossier (ECD). Wat wel is veranderd, is de drijfveer voor informatiebeveiliging. Door het wegvallen van het juridisch kader voor een landelijk EPD is het niet langer zo dat uitsluitend informatiebeveiliging wordt uitgevoerd omdat het moet van de wet, maar omdat de bedrijfsvoering een sterkere drijfveer wordt. Bijvoorbeeld vanwege een betrouwbare en tijdige informatievoorziening om verkeerde diagnoses te voorkomen. 2.1 Ziekenhuizen en NEN7510 Het College Bescherming Persoonsgegevens (CBP) heeft in samenwerking met de IGZ in 2008 een twintigtal ziekenhuizen onderzocht ii. Uit die inspectie kwam naar voren dat de ziekenhuizen hun informatiebeveiliging onvoldoende hadden geborgd. De IGZ heeft vervolgens de NEN7510 norm voor informatiebeveiliging verplicht gesteld aan ziekenhuizen, inclusief de bijbehorende audits. Ziekenhuizen moesten in 2010 aantonen dat zij voldeden aan de zogenaamde NVZstartnormen iii. Vervolgens hebben de Informatiebeveiliging bij Zorginstellingen René van der Stel en Sander Nieuwenhuis Pagina 1 van 6

2 ziekenhuizen de opdracht gekregen om de volledige NEN norm te implementeren. Wanneer de jaardocumenten van ziekenhuizen er op nageslagen worden, vallen de hieruit voortvloeiende veranderingen duidelijk op. Bijvoorbeeld in het aanstellen van functionarissen die zich bezig houden met informatiebeveiliging, het uitvoeren van bewustwordingscampagnes en het aangaan van samenwerkingsverbanden. Bij ziekenhuizen lijkt informatiebeveiliging steeds vaker gestructureerd opgepakt te worden. 2.2 EPD en het ECD Mede dankzij de verplichtingen heeft informatiebeveiliging binnen de ziekenhuizen een snelle groei doorgemaakt. Maar zoals gezegd: veel andere zorginstellingen zijn ook bezig met ECD s. En daar horen we weinig over, terwijl ECD s eigenlijk EPD s in het klein zijn. Dus in principe speelt daar ook dezelfde discussie over privacy en informatiebeveiliging. Waarom deze beperkte aandacht? Waarschijnlijk omdat de ECD s zich lokaal afspelen is hier minder aandacht voor. Ook zijn de risico s in absolute zin kleiner, omdat het vaak gaat om (relatief) beperkte verzamelingen van zorggegevens van cliënten. En niet iedere Nederlander heeft er mee te maken, zoals met het EPD wel het geval is. Maar een feit is dat in ECD s privacygevoelige gegevens worden opgeslagen. En die gegevens moeten adequaat worden beveiligd. Niet alleen vanwege de wettelijke verplichtingen (bijvoorbeeld beschreven in de Wet bescherming persoonsgegevens (Wbp)). Een zorginstelling heeft er namelijk zelf ook alle belang bij dat het zorgproces niet verstoord wordt door verkeerde of onvolledige inhoud van ECD s. De transitie van het werken met papieren dossiers naar digitale dossiers zet een veranderingsproces in gang waarbij op zijn minst de gehele beveiliging (opnieuw) onder de loep moet worden genomen. Immers, de hele werkwijze van omgaan met gegevens verandert. Geen klappers meer met papieren, maar toegang via een computer. Dat biedt veel nieuwe mogelijkheden, maar vereist tegelijkertijd een andere benadering. Denk maar aan wie toegang mag krijgen tot de gegevens, hoe de gegevens worrden afgeschermd, hoe de wijzigingen in het dossier worden doorgevoerd (automatisch / handmatig) en hoe die worden gevolgd. Dit zijn slechts enkele wijzigingen in de werksituatie. Daarom moet opnieuw gekeken worden naar de beveiliging. Heeft deze herijking plaatsgevonden? 3. Aanpak Om in kaart te brengen hoe het gesteld is met dit onderbelichte gebied (beveiliging van ECD s) van informatiebeveiliging, hebben wij een inventarisatie uitgevoerd binnen de zorg waar ECD s een grote rol spelen: de Verpleging, Verzorging en Thuiszorg. Hierbij stond de vraag centraal: hoe is het gesteld met informatiebeveiliging binnen de VVT instellingen?. 3.1 Perspectieven Om antwoord op de hoofdvraag te vinden, is er bij de inventarisatie gekeken naar een drietal perspectieven waarop informatiebeveiliging kan worden benaderd. 1. ICT betrouwbaarheid. Door de ICT betrouwbaar in te richten, worden de gegevens die de ICT verwerkt beter beschermd. Is het onderwerp betrouwbare ICT of informatiebeveiliging genoemd in het jaardocument 2. Compliancy. Door te voldoen aan de NEN7510 iv norm voor de zorg, wordt informatiebeveiliging via best practice maatregelen geïmplementeerd. Is de NEN 7510 als doelstelling of implementatienorm genoemd in het jaardocument? 3. Bedrijfsvoering. Door de risico s voor de integrale bedrijfsvoering te analyseren worden proportionele beveiligingsmaatregelen genomen. Verbindt de instelling informatiebeveiliging met risico s in de bedrijfsvoering in het jaarverslag? Kort lichten we deze indeling en vragen toe. Qua bewustwording op het gebied van informatiebeveiliging, realiseert men zich vaak als eerste dat ICT betrouwbaar moet zijn ingericht. Eenvoudige maatregelen op het gebied van beschikbaarheid (back-ups) en vertrouwelijkheid (username/password) worden dan vaak ook genomen. Informatiebeveiliging wordt dan veelal gezien door een instelling als een verantwoordelijkheid van de ICT afdeling Informatiebeveiliging bij Zorginstellingen René van der Stel en Sander Nieuwenhuis Pagina 2 van 6

3 Er zijn ook organisaties die zich terdege bewust zijn dat informatiebeveiliging verder strekt dan een ICT verantwoordelijkheid. Vaak wordt dan op basis van een checklist of baseline gewerkt via compliancy (aan de NEN7510 bijvoorbeeld) om informatiebeveiliging verder te borgen. In het derde perspectief integreert een organisatie informatiebeveiliging en bedrijfsvoering op basis van risicomanagement. Vanuit de bedrijfsvoering wordt onder andere beschouwd welke wettelijke verplichtingen er gelden en welke eisen de organisatie moet stellen aan de bedrijfsprocessen. Maatregelen worden getroffen, geëvalueerd en bijgesteld op basis van systematisch uitgevoerde risicoanalyses. Vanuit deze zienswijze op bewustwording en volwassenheid is de inventarisatie dan ook uitgevoerd. Gekeken is in welke mate VVTinstellingen bezig zijn met betrouwbare ICT, compliancy en/of bedrijfsvoering op het gebied van informatiebeveiliging Methode Bij de inventarisatie is gebruik gemaakt van openbare bronnen. Op basis van de ledenlijst van de Actiz zijn zorginstellingen geselecteerd v. Via de website van het CIBG van het Ministerie van Volkgezondheid, Welzijn en Sport zijn de jaardocumenten en jaarrekeningen van 2010 van de VVTinstellingen opgevraagd. De informatie uit deze documenten is aangevuld met de informatie van de websites van de zorginstellingen. De jaarverslagen zijn bekeken en geanalyseerd op de aanwezigheid van opmerkingen over informatiebeveiliging. Hierbij is geïnventariseerd welke van de drie perspectieven zoals genoemd in paragraaf 3.1 aanwezig waren in het jaarverslag. Daarnaast is van de VVT-instellingen een aantal gegevens verzameld, zoals opbrengst (omzet), resultaat (winst), maar ook het aantal locaties, cliënten en personeelsleden. Deze getallen zijn gebruikt om te zien of de wijze waarop een instelling bezig is met informatiebeveiliging afhangt van bijvoorbeeld de grootte of het aantal vestigingen van de zorginstelling. We hebben van ruim 350 instellingen deze gegevens vastgelegd. 4. Resultaten In dit hoofdstuk worden de resultaten van onze inventarisatie gepresenteerd. 4.1 Informatiebeveiliging Zoals in het vorige hoofdstuk aangegeven, is per jaardocument onderzocht wat de instelling rapporteert over informatiebeveiliging: als onderdeel van de ICT, compliancy of bedrijfsvoering. In onderstaand tabel is aangegeven door hoeveel VVT-instellingen deze benadering werd genoemd. Ja Nee ICT 41% 59% Compliancy 24% 76% Bedrijfsvoering 15% 85% Het valt op dat de ICT benadering veruit het vaakst werd genoemd en de NEN7510 door meer dan drie kwart van de instellingen niet wordt genoemd. Slechts 15% legt het verband tussen informatiebeveiliging en de bedrijfsvoering. Onderstaand gaan we nader in op deze uitkomsten. Hiervoor hebben we een eenvoudige score berekend. Per perspectief uit het jaardocument heeft elke instelling een score gekregen. Deze score varieert van 0 (niets genoemd over ICT, compliancy of bedrijfsvoering), 1 (men noemt slechts één benadering), 2 (een combinatie van twee benaderingen), tot 3 (alle drie de perspectieven genoemd). Onderstaande tabel geeft de verdeling van de score weer Verdeling 42% 39% 17% 2% Te zien is dat bijna de helft (42%) van de instellingen geen enkele opmerking in hun jaardocument maakt over informatiebeveiliging. Als ingezoomd wordt op de instellingen die de score 1 hebben behaald (39%), dan is de verdeling in de benadering als in onderstaande tabel: Alleen Alleen Alleen ICT Compliancy BV Verdeling 23% 8% 9% Informatiebeveiliging bij Zorginstellingen René van der Stel en Sander Nieuwenhuis Pagina 3 van 6

4 Hieruit blijkt dat 23% van de instellingen alleen het perspectief ICT noemen, 8% noemt alleen compliancy en 9% noemt alleen bedrijfsvoering vi. De relatief hoge score voor bedrijfsvoering kan verklaard worden doordat veel zorginstellingen voldoen aan het HKZ keurmerk, dat het risico denken vanuit de bedrijfsvoering katalyseert. Als gekeken wordt naar de instellingen die de score 2 hebben behaald (17%), blijken de combinaties van de perspectieven als volgt te scoren. De combinatie van ICT & compliancy komt het vaakst voor met 13%. ICT & bedrijfsvoering minder en compliancy & bedrijfsvoering het minst. Ook hieruit lijkt de benadering van informatiebeveiliging te groeien vanuit ICT via compliancy naar bedrijfsvoering. ICT & ICT & Compliancy Compliancy BV & BV Verdeling 13% 3% 1% Overigens wordt er in bijna elk jaardocument wel iets vermeld over bedrijfsvoering en bedrijfsrisico s, maar de koppeling met informatiebeveiliging ontbreekt in 85% van de gevallen (slechts 15% van de instellingen noemt het perspectief bedrijfsvoering) Statistieken In onderstaande tabel is de score (van 0, 1, 2 of 3 punten) uitgezet tegen de verzamelde statistieken van de instellingen Locaties 4,51 7,57 8,51 62,25 Cliënten Personeel Opbrengst 30M 45 76M 171M Resultaat 556K 914K 1446K 5093K De cijfers in de tabel zijn gemiddelde waarden. Bijvoorbeeld: de organisaties met 0 -score hebben gemiddeld 4,51 locaties. Qua personeel wordt vaak gerekend in termen van FTE s. Het aantal personeelsleden is voor informatiebeveiliging relevanter dan het aantal FTE s, omdat het aantal personeelsleden aangeeft hoeveel mensen er potentieel toegang hebben tot gevoelige gegevens. Vandaar dat we zijn uitgegaan van personeelsleden en niet van FTE s. Naar voren komt dat naarmate de score voor informatiebeveiliging hoger is, elk van de statistieken ook toeneemt. Dus naarmate de instelling groter is, wordt er meer gedaan aan informatiebeveiliging. En dat is ook logisch: er is relatief meer budget beschikbaar. En het belang is groter bij instellingen met meer cliënten, want die beheren een grotere hoeveelheid gegevens. 5. Conclusies en discussie De vraag die we in het begin van deze paper stelden, luidde hoe het is gesteld met informatiebeveiliging binnen de VVT sector?. In dit hoofdstuk worden de conclusies getrokken. 5.1 Volwassenheid We gebruiken een variant van het Capability Maturity Model (CMM) om de conclusies in deze paper te onderbouwen: ons Security Maturity Model (SMM). Hierin hebben we de indeling van het CMM doorvertaald naar volwassenheidsniveaus voor informatiebeveiliging. volwassenheid 1 initial Beveiligingsbewustzijn bij individuen, beveiliging wordt adhoc opgepakt. 2 repeatable Bewustzijn algemeen aanwezig, beveiliging waar opportuun, geen centrale afstemming. 3 defined Beveiliging wordt centraal gestuurd en in afstemming geïmplementeerd. niveaus 4 managed Kwaliteit van beveiliging lokaal gemeten en bijgestuurd waar nodig. De niveaus houden het volgende in: 5 optimizing Kwaliteit beveiliging gerelateerd aan bedrijfsdoelen en bijgestuurd via risico s. 1. Initial. Individuen binnen de organisatie lossen voorkomende problemen op het gebied van informatiebeveiliging ad-hoc op. 2. Repeatable. Op enkele plekken in de organisatie wordt informatiebeveiliging procesmatig opgepakt. Er is geen centrale afstemming. 3. Defined. Er is sprake van centrale afstemming op het gebied van informatiebeveiliging. Informatiebeveiliging bij Zorginstellingen René van der Stel en Sander Nieuwenhuis Pagina 4 van 6

5 4. Managed. Centrale sturing is aanwezig, maar informatiebeveiliging wordt lokaal bijgestuurd (suboptimalisatie). 5. Optimizing. De inrichting van informatiebeveiliging wordt centraal bijgestuurd op basis van risico s. De scores uit paragraaf 4.2 laten zich op de volgende wijze koppelen met deze volwassenheidsniveaus. Instellingen met een score 0 zitten op volwassenheidsniveau 1. Instellingen die in ieder geval NEN7510 compliancy noemen, zitten op volwassenheidniveau 3, omdat hiervoor enige vorm van centrale sturing nodig is. De instellingen die alle drie de invalshoeken noemen zitten op volwassenheidniveau 4 of 5, omdat men hier informatiebeveiliging relateert aan de bedrijfsvoering. De overige instellingen zitten op niveau 2, omdat ze (volgens het SMM) slechts enkele aspecten hebben geborgd. Dat leidt tot de volgende verdeling: /5 Verdeling 42% 34% 22% 2% Uit deze getallen kan geconcludeerd worden dat (42+34=) 76% van de instellingen nog op een onvolwassen niveau zitten op het gebied van informatiebeveiliging. 5.2 Bewustwording Bewustwording laat zich lastiger kwantificeren dan het vorige begrip volwassenheid. Absolute oordelen over de mate van bewustwording binnen de VVT sector kunnen we niet geven. Wel viel een tweetal zaken op. Het format van de jaardocumenten, zoals te vinden op de website van het CIBG, houdt expliciet rekening met informatiebeveiliging. In het hoofdstuk Algemeen kwaliteitsbeleid wordt gevraagd te rapporteren over kwaliteit van informatie en registratie, gegevensbeveiliging. Uit onze inventarisatie blijkt dat 42% van de instellingen geen enkele melding maakt over informatiebeveiliging, en dat 14% van de instellingen alleen iets melden over ICT. Dit betekent dat 56% van de instellingen geen bewuste melding maakt over informatiebeveiliging. Bij instellingen die wel iets melden, kwamen we regelmatig misvattingen tegen. Ter illustratie een aantal voorbeelden: wij voldoen aan de NEN7510, omdat onze ICT leverancier voldoet aan de NEN7510 we hebben de verantwoordelijkheden van informatiebeveiliging uitbesteed door de ICT uit te besteden we hebben een privacyreglement, dus we voldoen aan de Wbp Qua bewustwording kan nog het nodige worden verbeterd, zeker gelet op de impact die het invoeren van ECD s met zich meebrengt voor een organisatie. 6. Discussie & aanbevelingen Met deze inventarisatie wilden we nagaan hoe het is gesteld met informatiebeveiliging binnen de VVT-sector. En daaruit blijkt dat een groot deel van de instellingen informatiebeveiliging nog niet bewust onder de aandacht heeft. Wij zijn van mening dat een benadering zoals die voor de ziekenhuisinstellingen is gehanteerd voor verbetering kan zorgen. Dat betekent het verplicht stellen van het voldoen aan een standaard (zoals de NEN7510, of een selectie daaruit) Het onderzoek We hebben uitsluitend gebruik gemaakt van openbare bronnen. De jaardocumenten, jaarrekeningen en de websites waren de voornaamste bronnen. Indien een VVTinstelling niets vermeldt over informatiebeveiliging, dan kan de organisatie nog steeds informatiebeveiliging hebben geborgd. We hebben de organisaties niet direct benaderd voor terugkoppeling of feedback, aangezien we een statistisch onderzoek hebben gedaan en geen instelling bij naam noemen Verplicht stellen van NEN7510 Het verplichten van deze norm en het verplicht verantwoorden in de jaarverslagen, zoals dat gebeurde voor ziekenhuizen, hebben bijgedragen aan een blijvende aandacht voor informatiebeveiliging. Waarom zou dat niet ook doorgevoerd kunnen worden voor de overige zorginstellingen? Informatiebeveiliging bij Zorginstellingen René van der Stel en Sander Nieuwenhuis Pagina 5 van 6

6 Zijn de onderdelen van de bedrijfsvoering van een kleine VVT-instelling waar informatiebeveiliging betrekking op heeft dermate gering dat het verplicht stellen van een norm een onevenredige last tot gevolg zou hebben? Of ontbreekt de kennis om een dergelijke norm evenredig naar de omvang van de instelling toe te passen? Een meer systematisch onderzoek zou nodig zijn om daarop een onderbouwd antwoord te kunnen geven. 6.3 Wijze van borgen NEN7510 Ten aanzien van de wijze waarop de instellingen de informatiebeveiliging oppakken zien we de bottom-up benadering meer gebruikt worden dan de top-down benadering (het perspectief op informatiebeveiliging via ICT komt veel vaker voor dan het perspectief bedrijfsvoering of compliancy). We verwachten dat met intrede van de ECD s de bewustwording voor informatiebeveiliging bij het management zal toenemen. En dit zal de al gehanteerde bottom-up benadering goed kunnen aanvullen. We pleiten bij deze gecombineerde aanpak wel voor een gefaseerde aanpak zoals dat is gedaan bij ziekenhuizen in de vorm van de NVZstartnormen. Alleen al om de werkdruk beheersbaar te houden. 7. Tot slot Vanuit onze interesse en nieuwsgierigheid in informatiebeveiliging binnen de zorg hebben we de inventarisatie uitgevoerd. De uitkomsten willen we graag delen en bediscussiëren met de belanghebbende: medewerkers van instellingen, de brancheorganisatie en vakgenoten. Zolang verwezen wordt naar dit artikel en de auteurs, mag de inhoud van dit artikel vrij worden gebruikt De auteurs Sander Nieuwenhuis en René van der Stel zijn als security specialist werkzaam bij de Harteveld Groep. De Harteveld Groep is een onafhankelijk adviesbureau voor bedrijfsbesturing, informatievoorziening en ICT. Voor meer informatie kunt u terecht op: of ze zijn te bereiken via Rob Asrafali is econoom en bestuurskundige en heeft een ruime ervaring als zelfstandig consultant in de zorg. Hij is telefonisch te bereiken via Voetnoten: i De Nictiz is het landelijk expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert. ii Zie Onderzoek CBP & IGZ 2008 t.a.v. IB ziekenhuizen. iii Nederlands Vereniging voor Ziekenhuizen heeft een 5-tal categorieën uit de NEN 7510 geselecteerd, de startnormen die in 2010 moesten zijn geïmplementeerd. iv Voor een VVT instelling is de NEN de van toepassing zijnde norm. Zoals in de praktijk gewoon is, wordt in dit document hiervoor de term NEN7510 gehanteerd. v De reden om uit te gaan van deze ledenlijst was, dat het mogelijk was op deze manier de VVT instellingen te selecteren. Ongeveer 73% van alle VVT instellingen zijn aangesloten bij de Actiz, de branchorganisatie voor verpleeg- en verzorgingshuiszorg, thuiszorg, jeugdgezondheid- en kraamzorg. vi Vanwege afronding komt de totaalscore in de uitsplitsing op 23% + 8% + 9% = 40% in plaats van de 39% die genoemd is in de scoretabel bij score 1. Informatiebeveiliging bij Zorginstellingen René van der Stel en Sander Nieuwenhuis Pagina 6 van 6