Informatiebeveiliging in de Zorg. Beveiliging van cliënt- en patiëntgegevens in elektronische dossiers

Transcriptie

1 Informatiebeveiliging in de Zorg Beveiliging van cliënt- en patiëntgegevens in elektronische dossiers

2 Informatiebeveiliging in de Zorg Beveiliging van cliënt- en patiëntgegevens in elektronische dossiers Afstudeerscriptie Postgraduate IT Audit Zwolle, 31 maart 2011 Uitgevoerd door Ing. G. (Bert) van den Brink Ing. N.G.A. (Niek) Blumer Onder begeleiding van Dr. A. (Abbas) Shahim RE (VU, Amsterdam) Drs. G.J.A.M.J. (Gert-Jan) Gerrits RE RA (Ernst & Young) Drs. J. (Jasper) de Vries RE (Ernst & Young) In opdracht van Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Informatiebeveiliging in de Zorg 2

3 Voorwoord Deze scriptie is geschreven ter afsluiting van de postdoctorale opleiding IT Audit aan de Vrije Universiteit te Amsterdam. Het schrijven van deze scriptie is uitdagend en zeer leerzaam geweest. Gezien de actualiteit van het onderwerp op dit moment, hebben wij zeker het gevoel dat dit onderzoek een relevante bijdrage aan de publieke discussie tot gevolg heeft. Daarnaast heeft het onderzoek geleid tot brede inzichten op diverse onderwerpen, die van waarde zijn in de uitoefening van ons beroep. Graag willen wij vanaf deze plaats als eerste beide 'thuisfronten' bedanken voor de ruimte die zij hebben gegeven in de afgelopen jaren om de studie te volgen en in het bijzonder de afgelopen periode om deze scriptie te schrijven. Een bijzonder woord van dank gaat uit naar onze begeleider Abbas Shahim en naar onze bedrijfscoaches Gert-Jan Gerrits en Jasper de Vries, voor de begeleiding en de diverse momenten van overleg gedurende de totstandkoming van deze scriptie. Zwolle, 31 maart 2011 Niek Blumer Bert van den Brink Informatiebeveiliging in de Zorg 3

4 Samenvatting Informatiebeveiliging is op dit moment een belangrijk onderwerp in de sector gezondheidszorg. Het beveiligen van vitale informatie in een Elektronisch Patiënten Dossier (EPD) staat met name centraal. De toenemende rol van ICT in de zorg is voor de Inspectie voor de Gezondheidszorg (IGZ) aanleiding geweest om ziekenhuizen te verplichten om in 2010 aantoonbaar te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN Welke aanvullende maatregelen nodig zijn om, en of de aard van de te verlenen zorg invloed heeft op informatiebeveiliging staat in dit onderzoek centraal aan de hand van de volgende hoofdvraag: Wat zijn de meest essentiële verschillen op het gebied van informatiebeveiliging van de elektronische dossiers in de somatische- en psychische zorg en welke maatregelen dienen (nog) genomen te worden om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens daadwerkelijk te waarborgen?. Om een antwoord te geven op deze vraag, is eerst een literatuurstudie uitgevoerd waarbij is gekeken naar wat informatiebeveiliging in de zorg expliciet inhoudt. Daarbij is onderzocht welke gangbare normeringen en standaarden gebruikelijk zijn in de zorg, op welke wijze informatiebeveiliging voor de digitale dossiers in wet- en regelgeving is verankerd en in hoeverre naleving wordt geborgd specifiek in de somatische en psychische zorg. In het tweede deel van het onderzoek zijn de constateringen vanuit de literatuurstudie getoetst in de praktijk door middel van twee casestudies in de sectoren somatische en psychische zorg. Verder is informatie verkregen aan de hand van expertinterviews. Onder informatiebeveiliging in de zorg wordt verstaan, het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. De norm NEN 7510, is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor informatiebeveiliging in de zorg en is gebaseerd op de code voor Informatiebeveiliging (ISO 27002). In het kader van de beveiliging van vitale medische gegevens in een EPD, dient volgens de Wet bescherming persoonsgegevens (Wbp) de zorginstelling passende maatregelen te nemen. De IGZ en het College bescherming persoonsgegevens (Cbp) ziet de NEN 7510 als een gezaghebbende sectorale uitwerking van de Wbp en daarom als dé norm waaraan getoetst dient te worden. De IGZ is de voornaamste toezichthouder, zij verplicht ziekenhuizen te voldoen aan de NEN 7510 en ziet toe op naleving. De beschreven maatregelen in de NEN 7510 zijn best practices. De Nederlandse Vereniging voor Ziekenhuizen (NVZ) heeft op basis van een subset van maatregelen een toetsingskader opgesteld, welke door ziekenhuizen wordt gebruikt als toetsbare norm. Gelet op de privacy is uit het onderzoek gebleken dat de NEN 7510 voor beveiliging van gegevens niet per definitie de Wbp afdekt. Uit het onderzoek blijkt dat in de wet- en regelgeving geen onderscheid wordt gemaakt tussen de somatische en psychische zorg. In de praktijk blijkt wel een verschil te zijn in de manier waarop toezicht wordt uitgevoerd. De IGZ heeft bepaald dat in 2010 alle ziekenhuizen, daarmee niet de geestelijke gezondheidszorg, door middel van een IT audit moeten aantonen dat zij voldoen aan de NEN In de praktijk blijkt dat in de somatische zorg de nadruk ligt op de beschikbaarheid en in de psychische zorg op de vertrouwelijkheid van gegevens. Integriteit is voor beide zorgsoorten van wezenlijk belang. De belangrijkste maatregelen die nog genomen moet worden zijn: - Uitvoeren van privacy audits onder toezicht van het Cbp (College bescherming persoonsgegevens); - Toetsing op basis van de volledige NEN 7510 in plaats van op het NVZ toetsingskader; - De verantwoordelijk voor implementatie beleggen bij de proces verantwoordelijken. Grotere bewustwording en betrokkenheid vanuit de gehele organisatie zijn belangrijke succesfactoren. Informatiebeveiliging in de Zorg 4

5 Inhoudsopgave 1. Introductie Achtergrond Probleemstelling Aanpak Leeswijzer Informatiebeveiliging De definitie Het doel Het proces Standaarden en raamwerken Informatiebeveiliging in de zorg Slotopmerkingen Elektronische dossiers en wetgeving Elektronisch Patiënten Dossier (EPD) Elektronisch Cliënten Dossier (ECD) Wetgeving en toezicht Slotopmerkingen Casestudies Inleiding Bevindingen Aanvullende maatregelen Slotopmerkingen Conclusie Inleiding Beantwoording deelvragen Beantwoording centrale onderzoeksvraag Discussie Reflectie Informatiebeveiliging in de Zorg 5

6 Bronnen Bijlage 1. Gespreksverslagen Bijlage 2. Geraadpleegde documentatie Bijlage 3. Overzicht digitale dossiers Bijlage 4. Gebruikte afkortingen Informatiebeveiliging in de Zorg 6

7 1. Introductie 1.1. Achtergrond Informatiebeveiliging in de zorg is inmiddels geruime tijd een belangrijk onderwerp in de media. Zeker met de komst van het Elektronisch Patiënten Dossier (EPD). Dit is een softwaretoepassing waarin medische gegevens van patiënten of cliënten in digitale vorm worden bewaard en beschikbaar worden gesteld. Het doel van een elektronisch dossier is het huidige of toekomstige zorgproces rondom een patiënt of cliënt te ondersteunen en te verbeteren. In de toekomst wordt het verplicht voor zorginstellingen aantoonbaar te voldoen aan de landelijke norm voor informatiebeveiliging in de zorg (NEN7510). Voor deze zorginstellingen brengt dit belangrijke issues met zich mee. Dossierkeuze Het kiezen van het juiste EPD blijkt voor veel gezondheidszorgorganisaties een lastige opdracht. Veel vragen blijken moeilijk te beantwoorden zoals: - Wat is een goed elektronisch dossier? - Wat past het best bij onze organisatie? - Waar moet het programma aan voldoen? - Welke invloed heeft het soort zorg wat de organisatie verleent? - Wat betekent een nieuw elektronisch dossier voor onze organisatie? - Worden de risico s voldoende beheerst als het gaat om een goede beveiliging van de gegevens van de patiënten en cliënten in deze digitale dossiers? Vooral het laatste aspect is een belangrijk onderwerp van discussie in de media. Verschillen Op dit moment zijn er meerdere digitale dossiers beschikbaar voor diverse zorginstellingen. Het verschil tussen deze dossiers kenmerkt zich inhoudelijk met name door de diversiteit in het verlenen van zorg. Het is aannemelijk dat somatische zorg (lichamelijke gezondheidszorg) andere eisen stelt aan dossiervorming dan psychische zorg (geestelijke gezondheidszorg). Hierdoor worden verschillende benamingen gebruikt voor digitale dossiers. Dit heeft te maken met het feit dat in ziekenhuizen de afnemers van de zorg patiënten worden genoemd. In de verzorging, verpleging en thuiszorg (VV&T) en in de geestelijke gezondheidszorg (ggz) worden de afnemers van zorg cliënten genoemd. In de praktijk betekent dit dat een digitaal dossier zowel een elektronisch patiënten- als cliëntendossier (EPD of ECD) wordt genoemd, terwijl de aard van de dossiers in beide gevallen hetzelfde is. De inhoud van het dossier wordt mede bepaald door de verleende zorgsoort. Nieuwe risico s Binnen de sector gezondheidszorg vindt registratie en verwerking van veel medische gegevens plaats. In het kader van de beveiliging van deze gegevens, moet de registratie en verwerking voldoen aan de Wet bescherming persoonsgegevens (Wbp) en de Wet Geneeskundige Behandel Overeenkomst (WGBO). Vroeger werden deze gegevens hardcopy opgeslagen in een dossier en veilig opgeborgen in een kluis. Als gevolg van de steeds verdere digitalisering, worden deze gegevens tegenwoordig opgeslagen in elektronische dossiers. Door het digitaal opslaan ontstaan er nieuwe risico s ten aanzien van: - Beschikbaarheid; - Integriteit; - Vertrouwelijkheid. Informatiebeveiliging in de Zorg 7

8 Gezien deze problematiek richt het onderzoek zich op de beveiliging van de medische gegevens van patiënten of cliënten in een EPD. Informatiebeveiliging Om de genoemde risico s te verkleinen en grip te houden op de groeiende IT-omgeving, zijn diverse standaarden en normeringen beschikbaar ten aanzien van informatiebeveiliging. Voor de gezondheidzorg is een specifieke norm opgesteld voor informatiebeveiliging, de NEN7510. Momenteel implementeren veel zorginstellingen een informatiebeveiligingsbeleid gebaseerd op deze norm. De vraag is of het voldoen aan de NEN7510 de beveiliging van vitale informatie voldoende waarborgt. Daarnaast is de vraag of algemene eisen voldoende zijn gedetailleerd als het gaat om de verschillende deelsectoren in de gezondheidszorg. Gekeken naar de beschikbaarheid, integriteit en vertrouwelijkheid van patiënt- en cliëntgegevens, is de vraag of de nadruk bij psychische zorg op andere aspecten moet liggen dan bij de somatische zorg. Een antwoord op deze vragen is van belang om uiteindelijk tot een geslaagde beveiliging van vitale informatie van patiënten en cliënten te komen. Hierbij is het doel dat een elektronisch dossier naast het ondersteunen en verbeteren van het huidige of toekomstige zorgproces rondom een patiënt of cliënt ook waarborgen biedt voor een adequate beveiliging van medische gegevens. Het onderzoek Het onderzoek richt zich op de vraag in hoeverre de informatiebeveiliging rondom de elektronische dossiers is geregeld en welke maatregelen nog getroffen dienen te worden om te borgen dat vitale informatie voldoende is beveiligd. Gelet op de aard van de verschillende zorginstellingen, ligt het voor de hand dat er binnen de sector gezondheidszorg verschillen zijn in de eisen die worden gesteld aan digitale dossiervorming. Gelet op verschillen in te verlenen zorg, is het onderzoek beperkt tot de zorg die verleend wordt in een ziekenhuis (somatische zorg) en de zorg die verleend wordt in een zorginstelling in de ggz (psychische zorg). De veronderstelling is namelijk dat in de somatische zorg met name de beschikbaarheid van de gegevens voor medisch specialisten en verpleegkundigen van groot belang is, terwijl in de ggz met name de vertrouwelijkheid een erg belangrijke rol zal hebben. Om deze redenen richt ons onderzoek zich op het volgende: - Wat zijn de verschillen rondom de eisen aan informatiebeveiliging voor het EPD, specifiek kijkend naar de te verlenen zorg in de somatische en psychische zorg; - Hoe vindt verankering plaats van informatiebeveiliging in de zorg in wet- en regelgeving; - Hoe vindt borging van naleving plaats voor het voldoen aan de eisen aan informatiebeveiliging Probleemstelling Gebaseerd op de onderzoeksaanleiding worden de centrale hoofdvraag en de daaraan gerelateerde deelvragen als volgt geformuleerd. Hoofdvraag Wat zijn de meest essentiële verschillen op het gebied van informatiebeveiliging van de elektronische dossiers in de somatische- en psychische zorg en welke maatregelen dienen (nog) genomen te worden om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens daadwerkelijk te waarborgen? Informatiebeveiliging in de Zorg 8

9 Deelvragen - Wat houdt informatiebeveiliging in de zorg in? - Welke gangbare normeringen en standaarden ten aanzien van informatiebeveiliging zijn gebruikelijk in de zorgsector? - Op welke wijze is de informatiebeveiliging voor de elektronische dossiers verankerd in wet- en regelgeving? - In hoeverre wordt naleving van de wettelijk gestelde eisen aan de digitale dossiervorming in de somatische en psychische zorg geborgd? - Welke maatregelen dienen (nog) te worden genomen om de beveiliging van vitale informatie te waarborgen in elektronische dossiers? Informatiebeveiliging in de zorg Normeringen Nog te nemen maatregelen Verankering in wet- en regelgeving Naleving: somatische / psychische zorg Figuur 1. Schematische weergave van het onderzoek Aanpak Onderzoeksontwerp Om uiteindelijk de hoofdvraag te kunnen beantwoorden, is het van belang een goed onderzoeksontwerp te hebben. In dit onderzoeksontwerp is de aanpak van het onderzoek beschreven. Hiervoor zijn drie verschillende methoden gebruikt, te weten: - Literatuuronderzoek; - Expert interviews; - Case studie. De methoden worden nader toegelicht. Informatiebeveiliging in de Zorg 9

10 Literatuuronderzoek Om voldoende informatie te verzamelen over informatiebeveiliging specifiek in de sector gezondheidszorg, is een literatuuronderzoek uitgevoerd. Hierbij heeft het onderzoek zich gericht op welke (theoretische) inzichten op dit moment leidend zijn, gelet op de informatiebeveiliging in het algemeen en specifiek in de gezondheidszorg. De verkregen (beschrijvende) documentatie heeft uiteindelijk als uitgangspunt gediend voor het theoretisch kader van dit onderzoek. De literatuurstudie valt grofweg uiteen in twee delen. In het eerste deel komt de theorie over informatiebeveiliging aan de orde en wordt gekeken naar de implementatie en de instandhouding van een beleid in het kader informatiebeveiliging in zowel de somatische- als psychische zorg. Hierbij zijn de volgende aspecten als leidraad gekozen: beschikbaarheid, integriteit en vertrouwelijkheid van (medische) gegevens van patiënten en cliënten. Tevens is gebruikgemaakt van literatuur over informatiebeveiliging in algemene zin, niet specifiek gericht op de gezondheidszorg. Het tweede deel van het literatuuronderzoek is gericht op de wettelijke verankering van informatiebeveiliging in de gezondheidszorg en toetsing op naleving hiervan. De informatie, verzameld in beide delen van het literatuuronderzoek, beslaat gezamenlijk het theoretisch kader en heeft uiteindelijk de basis gevormd voor het verdere onderzoek. Expert interviews Gezien de actualiteit van het onderwerp van dit onderzoek, zijn interviews gehouden met medewerkers van zorginstellingen zowel in somatische als in de psychische zorg, die nauw betrokken zijn bij zowel de ontwikkeling als implementatie van een elektronisch dossier binnen de eigen organisatie. Daarnaast is een bijeenkomst bijgewoond van de Nederlandse Vereniging van Ziekenhuizen in het kader van informatiebeveiliging in de zorg. Verder is gebruik gemaakt van kennis binnen de eigen organisatie, Ernst & Young (Health Care sector). Door middel van de expertinterviews is inzicht verkregen in de diverse invalshoeken van dit onderzoeksonderwerp. Hierbij is achterhaald wat de huidige status is van de informatiebeveiliging in de zorg, gekeken naar de inmiddels operationele elektronische dossiers. Daarnaast is door de interviews geprobeerd te achterhalen welke maatregelen (nog) getroffen moeten worden om de beveiliging van vitale informatie te waarborgen in de elektronische dossiers. De interviews zijn afgenomen bij één ziekenhuis (somatische zorg) en één ggz-instelling (psychische zorg). Gezien het belang van deze onderwerpen voor de organisaties, is het onderzoek wat is verricht bij deze zorginstellingen anoniem in deze scriptie opgenomen. Voor het onderzoek is het niet van belang exact te weten om welke instellingen het gaat, derhalve heeft het onderzoek zich beperkt tot algemene informatie over de aard van de instelling. Casestudies Om de verkregen informatie in de praktijk te toetsen is een tweetal casestudies uitgevoerd. Hierbij is getoetst hoe informatiebeveiliging rondom elektronische dossiers is geregeld. Hierbij zijn de aspecten beschikbaarheid, integriteit en vertrouwelijkheid van de medische gegevens van patiënten en cliënten als leidraad gehanteerd. De casestudies zijn als volgt gedefinieerd: - Somatische zorg, waarbij voor één ziekenhuis is gekeken naar de inrichting van informatiebeveiliging aan de hand van een normenkader. Informatiebeveiliging in de Zorg 10

11 - Psychische zorg, waarbij voor één ggz-instelling is gekeken naar de inrichting informatiebeveiliging aan de hand van een normenkader. De keuze van het normenkader is tijdens de literatuurstudie bepaald. Hierbij is vastgesteld welk normenkader wordt gehanteerd binnen de verschillende zorginstellingen met betrekking tot informatiebeveiliging. Door voor beide zorgsoorten dezelfde opzet van de casestudie te kiezen, kunnen deze met elkaar worden vergeleken. Naast de informatie verkregen uit de casestudies, is gebruik gemaakt van de resultaten uit een benchmarkonderzoek van Ernst & Young. In het verlengde van het literatuuronderzoek heeft dit bijgedragen aan de beantwoording van de probleemstelling Leeswijzer De opbouw van deze scriptie is conform de eerder genoemde vijf deelvragen. In hoofdstuk 2 wordt de achtergrond en de inhoud van informatiebeveiliging beschreven, met een toespitsing op de zorgsector. Daarnaast worden in dit hoofdstuk de meest gangbare standaarden en raamwerken, met betrekking tot informatiebeveiliging in de zorg, uiteengezet. In het daaropvolgende hoofdstuk richt het onderzoek zich op de wijze waarop informatiebeveiliging in digitale dossiers is verankerd in wet- en regelgeving, toegespitst op het EPD. In hoofdstuk 4 worden de uit de literatuurstudie verkregen antwoorden in de praktijk getoetst middels casestudies. Hierbij is getoetst in hoeverre naleving van de wettelijk gestelde eisen in de zorg, specifiek de somatische en psychische zorg, is geborgd en welke verschillen in de praktijk naar voren komen. Daaruit voortvloeiend zal in dit hoofdstuk worden weergegeven welke maatregelen er (nog) genomen dienen te worden om beveiliging van vitale informatie in een digitaal dossier te waarborgen. De scriptie zal worden afgesloten met een conclusie waarin antwoord wordt gegeven op de centrale onderzoeksvraag, met daarbij een reflectie op het onderzoek. In de bijlage van dit document is de literatuurlijst opgenomen met daarin de voor dit onderzoek geraadpleegde literatuur, artikelen en internetsites. Relevante achtergrondinformatie is eveneens in de bijlage opgenomen. Informatiebeveiliging in de Zorg 11

12 2. Informatiebeveiliging Dit hoofdstuk beschrijft het belang van een goede informatievoorziening voor de bedrijfsvoering van organisaties. Het begrip informatiebeveiliging wordt gedefinieerd, in samenhang met de begrippen beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Vervolgens wordt het proces van informatiebeveiliging beschreven en worden belangrijke standaarden op dit gebied behandeld De definitie In de literatuur worden verschillende definities voor het begrip informatiebeveiliging gehanteerd. In de code voor informatiebeveiliging [ISO/IEC 27002:2005] is het begrip als volgt omschreven: Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, waarde heeft voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatie komt in veel vormen voor. Het kan afgedrukt of beschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd passend beveiligd te zijn Het doel Informatievoorziening is van essentieel belang voor de continuïteit van de bedrijfsvoering van een organisatie. Een betrouwbare en veilige informatieverwerking is in dit perspectief een pre. Daarbij dient in acht te worden genomen, dat een ongestoorde informatieverwerking de efficiëntie en doelmatigheid van de bedrijfsvoering verhoogt. Voor tal van organisaties is het verwerken van informatie zelfs het belangrijkste proces. Steeds vaker wordt informatie daarom na arbeid, natuur en kapitaal benoemd tot vierde productiefactor [Dondorp, 2008]. Alle informatiesystemen samen vormen de informatievoorziening van een organisatie. Een informatiesysteem is het geheel van mensen, middelen, procedures en regels binnen een organisatie [Looijen, 2004]. Waarbij onder middelen ook de apparatuur en programmatuur moet worden verstaan. Organisaties maken in toenemende mate gebruik van informatiesystemen voor het ondersteunen en besturen van hun bedrijfsprocessen. De complexiteit van informatiesystemen, de veelheid aan gegevens en informatie, de technologische mogelijkheden, de veelheid aan koppelingen met de buitenwereld en de toenemende professionalisering van de computercriminaliteit, vragen om een afgewogen set van maatregelen om een continu beheersbare situatie te verkrijgen. Beheersbaar in de zin dat organisaties op ieder moment over betrouwbare gegevens kunnen beschikken en dat tegelijkertijd gevoelige (veelal vertrouwelijke) informatie niet in handen van onbevoegden terecht komt. Doordat gegevens nodig zijn voor het juist functioneren van diverse processen binnen een organisatie, hebben gegevens een bepaalde waarde. Deze waarde hangt volgens Overbeek [Overbeek, 2006] af van: - De onmisbaarheid van gegevens voor diverse processen. De mate waarin een proces afhankelijk is van de gegevens heeft invloed op de waarde van deze gegevens; - Het belang van het proces voor de organisatie. Des te belangrijker het proces, des te meer waarde de gegevens hebben die voor dit proces noodzakelijk zijn; - De herstelbaarheid van gegevens. De mate waarin ontbrekende, incomplete, of onjuiste gegevens gereproduceerd, respectievelijk hersteld, kunnen worden. Informatiebeveiliging in de Zorg 12

13 Naast het belang van gegevens voor het juist functioneren van processen binnen een organisatie, kan er ook een belang op een ander vlak uit voortvloeien [Overbeek, 2006]: - Gegevens kunnen een belang vertegenwoordigen voor anderen, bijvoorbeeld persoonsgegevens; - Gegevens kunnen concurrentiegevoelig zijn. Om informatie te beschermen binnen een organisatie, dienen maatregelen getroffen te worden. Verder dienen medewerkers te weten hoe de organisatie met het beveiligen van informatie omgaat en wat er gedaan moet worden om het proces van informatiebeveiliging te waarborgen. Het inrichten van informatiebeveiliging in een organisatie heeft uiteindelijk tot doel om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen, in overeenstemming met het belang dat de informatievoorziening heeft voor het functioneren van de organisatie. In onderstaande tabel zijn deze kwaliteitsaspecten nader gedefinieerd volgens de code voor informatiebeveiliging [ISO/IEC 27002:2005]. Informatiebeveiliging Kwaliteitsaspect Beschikbaarheid Integriteit Vertrouwelijkheid Definitie Het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Het waarborgen van de juistheid en de volledigheid van informatie en verwerking. Het waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe zijn geautoriseerd. De informatievoorzieningen staan voortdurend bloot aan en zijn vatbaar voor vele verschillende bedreigingen. Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object [Overbeek, 2006]. In welke mate de informatievoorziening gevoelig is voor bedreigingen hangt af van de kwetsbaarheid van de informatievoorziening voor een bepaalde dreiging. Deze gevoeligheid ontstaat doordat één of meer objecten van de informatievoorziening het mogelijk maken dat één of meer bedreigingen leiden tot een negatieve invloed op één van de betrouwbaarheidsaspecten (beschikbaarheid, integriteit en vertrouwelijkheid). Doordat de betrouwbaarheid van de informatievoorziening wordt aangetast kan de organisatie schade ondervinden. De kans op schade, vermenigvuldigd met de omvang van de schade, is het risico dat de organisatie loopt [Dubbelman, 2009]. Het risico dat de organisatie loopt kan wel of niet acceptabel zijn. Door beheersmaatregelen te treffen voor de informatievoorziening kan dit risico worden ingeperkt. Voor het inschatten van risico s die een organisatie loopt, wordt gebruik gemaakt van een risicoanalyse. Bij het implementeren van beheersmaatregelen is het van belang om een goede mix te vinden tussen de mogelijke schade en de kosten voor het implementeren van beheersmaatregelen. Er dient te worden voorkomen dat de kosten van een maatregel hoger zijn dan de financiële schadeverwachting. De beheersmaatregelen kunnen worden onderverdeeld in een drietal categorieën [ISO/IEC 27002:2005]: - Organisatorische maatregelen; hebben betrekking op de organisatie als geheel. Voorbeelden hiervan zijn: functiescheiding of interne controle. Informatiebeveiliging in de Zorg 13

14 - Logische maatregelen; zijn geprogrammeerd in de programmatuur. Voorbeelden hiervan zijn: login- en wachtwoordenauthenticiteit of encryptieprogrammatuur. - Fysieke maatregelen; zijn getroffen voor apparatuur of andere materiële zaken zoals: noodstroomvoorziening, brandblusinstallatie of sloten Het proces Informatiebeveiliging vormt volgens de code voor informatiebeveiliging [ISO/IEC 27002:2005] een cyclisch proces waarin vier fasen kunnen worden onderkend: Plan, do, check en act. Schematisch is dit als volgt weer te geven. Omgeving 1. Beleid en organisatie 6. Evaluatie en audit PLAN 2. Beoordeling risico Omgeving Stakeholders (bijv. toezichthouders) ACT Communicatie DO 5. Bewaking CHECK 3. Maatregelen Informatiebeveiling onder controle Informatiebeveiligingseisen en verwachtingen 4. Implementatie Figuur 2. Proces van informatiebeveiliging Toelichting processtappen Beleid en organisatie Tijdens de stap Beleid & Organisatie wordt het beleid voor informatiebeveiliging opgesteld. Het beleid bestaat uit beleidsuitgangspunten die verder zijn uitgewerkt in relevante beveiligingsrichtlijnen. Het beleid voor informatiebeveiliging van de organisatie heeft als doel de beschikbaarheid, de integriteit en de vertrouwelijkheid van de handmatige en geautomatiseerde gegevensverwerking te waarborgen, in overeenstemming met het belang dat de informatievoorziening heeft voor het functioneren van de organisatie. Beoordeling risico De beveiligingsbehoefte wordt bepaald door de risico s die de organisatie loopt. De beoordeling van beveiligingsrisico s vindt plaats aan de hand van drie aspecten, te weten: - De waarschijnlijkheid van het optreden van een beveiligingsincident; - De schade voor de organisatie die ontstaat als gevolg van het optreden van dat beveiligingsincident; - De kosten van beveiligingsmaatregelen om het risico van het beveiligingsincident tot een aanvaardbaar niveau te reduceren. Informatiebeveiliging in de Zorg 14

15 Het resultaat van de beoordeling bepaalt voor welke beveiligingsrisico s en met welke prioriteit, maatregelen moeten worden getroffen. Maatregelen Vanuit de beoordeling worden maatregelen bepaald. Maatregelen bestaan uit algemene maatregelen (om een minimumniveau te garanderen voor de gehele informatievoorziening) en specifieke maatregelen (afhankelijk van de risicoclassificatie van een specifiek onderdeel van de informatievoorziening). Bij deze maatregelen wordt onderscheid gemaakt in organisatorische, logische en fysieke maatregelen. De reeds getroffen maatregelen worden geëvalueerd, teneinde te bepalen of op onderdelen niet teveel maatregelen (inefficiënt) dan wel te weinig of onjuiste maatregelen (ineffectief) zijn genomen. Implementatie In deze fase wordt het vastgestelde beleid, dat heeft geresulteerd in concrete maatregelen, binnen de organisatie geïmplementeerd. Tijdens het implementeren van deze maatregelen vindt indirect een beoordeling plaats van de haalbaarheid en toereikendheid. Dit kan een wijziging van een bepaalde maatregel tot gevolg hebben. In deze fase blijkt of de praktijk aansluit op de theorie in de voorgaande fasen. De verantwoordelijkheid voor het implementeren van een maatregel ligt bij de leidinggevende die primair verantwoordelijk is voor het proces, waarop deze maatregel van toepassing is. Bewaking Informatiebeveiliging is de verantwoordelijkheid voor het management. Dit houdt ook in dat de bewaking van maatregelen bij leidinggevenden ligt. De leidinggevenden dienen ervoor zorg te dragen dat de in het beleid geformuleerde beleidsuitgangspunten, en daaraan gekoppeld de maatregelen, als integraal onderdeel van hun bedrijfsvoering is meegenomen. Evaluatie en audit Het informatiebeveiligingsbeleid en de beveiligingsmaatregelen worden periodiek geëvalueerd en waar nodig bijgestuurd. Bevindingen en aanbevelingen vanuit de evaluatie en audit worden meegenomen in de processtap Beleid & Organisatie Standaarden en raamwerken Er bestaan diverse standaarden en raamwerken op het gebied van informatiebeveiliging. In deze paragraaf zal een aantal belangrijke standaarden en raamwerken met daarbij de uitgevende organisaties nader worden toegelicht. Dit overzicht dient niet als uitputtend te worden beschouwd, maar geeft in het kader van het onderzoek een beeld van de meest gebruikte standaarden en raamwerken. [PvIB, 2009] Code voor informatiebeveiliging De ISO 27002, bekend als de code voor Informatiebeveiliging, beschrijft normen en maatregelen die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Deze normering is een invulling van de ISO en specificeert de eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS). Informatiebeveiliging in de Zorg 15

16 De International Organization for Standardization (ISO) is een internationale organisatie die normen vaststelt. De organisatie is een samenwerkingsverband van nationale standaardisatieorganisaties in 156 landen. ISO heeft op het gebied van informatietechnologie een samenwerkingsverband met IEC (International Electrotechnical Commission), waaruit onder andere de ISO serie is ontstaan. Naast de ISO zijn er door ISO nog vele andere gedetailleerde (operationele) informatiebeveiligingsstandaarden uitgegeven. [ISO, 2010] NIST SP Een andere relevante en bekende standaard voor informatiebeveiliging is de NIST SP , Recommended Security Controls for Federal Information Systems'. In deze standaard worden minimale beveiligingsmaatregelen opgesomd, benodigd voor het realiseren van een acceptabel niveau van informatiebeveiliging. De National Institute of Standards and Technology (NIST) is een onderdeel van het Amerikaanse Ministerie van Economische Zaken. Bij NIST worden standaarden voor Amerikaanse overheidsinstanties ontwikkeld ter bevordering van de innovatie en industriële concurrentie in de VS. Naast de SP heeft NIST nog vele andere gedetailleerde (operationele) informatiebeveiligings-standaarden uitgegeven. [NIST, 2010] SGOP The Standard of Good Practice (SGOP) is een belangrijke publicatie uit het ISF programma. Deze publicatie biedt gedetailleerde standaarden van geïdentificeerde best practice voor informatiebeveiliging. Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking van en best practices voor informatiebeveiliging. [ISF, 2010] COBIT Eind jaren negentig werd een algemeen raamwerk voor algemene IT-beheersmaatregelen ontwikkeld door ISACA en het IT Governance Institute (ITGI). Dit zijn de Control Objectives for Information and related Technology, oftewel CoBiT. Het CoBiT framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van informatie die noodzakelijk is voor het realiseren van hun doelstellingen. CoBiT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen om aan te tonen dat zij voldoen aan de regelgeving zoals Sarbanes- Oxley (SOx) en COSO (Committee of Sponsoring Organizations of the Treadway Commission). De Information Systems Audit and Control Association (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. ISACA heeft als doel de uitoefening van het audit-vakgebied op hoger niveau te brengen door het verder professionaliseren van het vakgebied en de leden van de vereniging te ondersteunen bij het uitoefenen van hun vak. [ISACA, 2010] Het IT Governance Institute (ITGI) IT Governance Institute (ITGITM) is een non-profit en onafhankelijk onderzoeksinstituut die richtlijnen biedt aan het wereldwijde bedrijfsleven voor de beheersing van IT. [ITGI, 2010] Informatiebeveiliging in de Zorg 16

17 NEN7510 Het NEN heeft in 2004 de Nederlandse norm NEN 7510 Medische informatica - Informatiebeveiliging in de zorg - Algemeen gepubliceerd. Deze norm is gebaseerd op de code voor informatiebeveiliging (gepubliceerd als NEN-ISO/IEC en nu aangeduid als NEN-ISO/IEC en 27002) en toegesneden op de Nederlandse gezondheidssector. In 2005 zijn de Nederlandse normen NEN , en gepubliceerd, een nadere uitwerking van NEN 7510 met een voorschrijvend en toetsbaar karakter voor: - De complexe organisaties in de zorg; - De samenwerkingsverbanden in de zorg; - De solopraktijken in de zorg. Op dit moment wordt de NEN 7510 door het NEN gereviseerd. De klankbordgroep Revisie NEN 7510 en NEN 7511' is in het najaar 2009 voor het eerst bij elkaar gekomen. Naar verwachting wordt de gereviseerde norm medio 2011 gepubliceerd. Aangezien de driedelige norm NEN 7511 samenhangt met NEN 7510 wordt deze norm in de revisie meegenomen. NEN is de afkorting van het Nederlands Normalisatie Instituut [NEN, 2010]. NEN borgt en beheert standaarden, bij NEN worden deze ook vaak normen genoemd om het normerend karakter te benadrukken, vandaar de term Normalisatie. [NEN7510, 2010] 2.5. Informatiebeveiliging in de zorg Doordat primaire zorgprocessen steeds afhankelijker zijn geworden van het gebruik van ICT en hierdoor ook van de kwaliteit van dit ICT gebruik, heeft de Inspectie voor de Gezondheidszorg (IGZ) in het begin van dit millennium de noodzaak gezien om de ICT in de zorg nader te onderzoeken [Overkleeft, 2005]. Aanleiding De IGZ heeft bij een eerste onderzoek van de ICT in de zorg geconstateerd dat ziekenhuizen onvoldoende aandacht schenken aan de risico's die de toepassing van ICT met zich meebrengt. Een van de hoofdoorzaken hiervan is dat informatiebeveiliging nog te veel een zaak is van specialisten, die te weinig aandacht hebben voor het geheel. Daarnaast is het lijnmanagement en zijn de directies te weinig bij het proces van beveiligen van vitale informatie betrokken [Wel, 2006]. Normering De norm NEN 7510 is een door het NEN ontwikkelde norm voor informatiebeveiliging voor de zorgsector in Nederland [NEN, 2010]. De norm is gebaseerd op de code voor informatiebeveiliging (zie ook 2.4). Het doel van de totstandkoming van NEN 7510 was om bewustzijn te creëren in de zorgsector betreffende informatiebeveiliging en om toepassing van de norm beter hanteerbaar te maken. Onder informatiebeveiliging in de zorg wordt hierbij verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. [NEN7510, 2010] Controleerbaarheid Naast het borgen van deze kwaliteitscriteria, vereist de norm ook dat maatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken van adequate informatiebeveiliging. Binnen het kader van de norm moeten zorginstellingen voor het betreffende proces de relevant geachte informatiebeveiliging specificeren, inclusief de daarbij behorende maatregelen. [NEN7510, 2010] Informatiebeveiliging in de Zorg 17

18 Aanvullende normeringen De NEN 7510 wordt aangevuld met de NEN 7511 (zie ook 2.4) en NEN 7512 (gericht op de AORTA, de nationale infrastructuur voor uitwisseling van elektronische gegevens in de zorg). Medio 2010 is een nieuwe norm, de NEN7513, gepubliceerd. Deze norm bevat normeringen met betrekking tot logging: het vastleggen van acties die plaatsvinden in het EPD, zodat achterhaald kan worden wie zich wanneer toegang heeft verschaft tot het dossier en welke mutaties dit tot gevolg heeft gehad. [NEN7510, 2010] [NICTIZ, 2010] Best practices Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan honderd maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de norm kan vaststellen. Er is dus geen sprake van een verplichting, maar het gaat om een keuze, waardoor een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd. [Zijlstra, 2010] Toetsingskader De IGZ heeft bepaald dat in 2010 alle ziekenhuizen in Nederland door middel van een IT audit aangetoond moeten hebben dat zij voldoen aan de NEN De overheid stelt de implementatie van deze norm als voorwaarde om aan te sluiten op het landelijk EPD. Hierop is er door de Nederlandse Vereniging van Ziekenhuizen (NVZ) een toetsingsreglement opgesteld op het gebied van informatiebeveiliging. Dit houdt in een samenstelling van normen uit de NEN 7510 [NVZ, 2010]. Dit reglement heeft als doel de ziekenhuizen in Nederland in staat te stellen aan te kunnen tonen dat zij voldoen aan de eisen die aan informatiebeveiliging worden gesteld Slotopmerkingen In dit hoofdstuk is uiteengezet wat het begrip informatiebeveiliging betekent en is specifiek gekeken naar de betekenis hiervan in de gezondheidszorg. Gezien het belang van informatie binnen de organisatie, gecombineerd met het gebruik van ICT, is het van belang de beschikbaarheid, integriteit en vertrouwelijkheid van deze informatie te borgen. Deze borging wordt gefaciliteerd door een gedegen inrichting van het informatiebeveiligingsbeleid. Vanuit de onderzoeken, verricht naar de mate van borging van de standaard voor informatiebeveiliging (ISO/IEC 27002:2005) binnen zorginstellingen, heeft het NEN de NEN 7510-norm geïntroduceerd, als standaard voor informatiebeveiliging toegesneden op de zorgsector. Deze normering is algemeen geldend voor de sector gezondheidszorg en hierdoor niet specifiek toegespitst op specifieke onderdelen binnen de sector (somatische zorg of psychische zorg). Daarnaast is de norm een best practice, een uitgangspunt voor organisaties om hun eigen beleid op af te stemmen. Dit houdt in dat de norm geen verplichting is, maar bijdraagt aan het nemen van een goede keuze om te komen tot een gedegen inrichting voor informatiebeveiliging. Vanuit het belang van informatiebeveiliging in de gezondheidszorg, richt het onderzoek zich verder op wat dit betekent voor de digitale dossiervorming binnen de verschillende zorgsoorten. Er is hierbij specifiek gekeken naar de digitale dossiers in de sectoren somatische en psychische zorg. Eerst is gekeken naar de definities en de invullingen van digitale dossiers. Vervolgens is onderzocht welke wettelijke kaders van toepassing zijn op deze digitale dossiers en in hoeverre informatiebeveiliging in deze wet- en regelgeving is verankerd. Informatiebeveiliging in de Zorg 18

19 3. Elektronische dossiers en wetgeving In dit hoofdstuk richt het onderzoek zich op de wijze waarop informatiebeveiliging voor elektronische dossiers is verankerd in wet- en regelgeving. De gezondheidszorg is onder te verdelen in verschillende sectoren. Deze sectoren hebben allen een eigen benaming voor een digitaal dossier [Bijlage 3]. Gelet op de onderzoeksvragen, beperkt het onderzoek zich tot het Elektronisch Patiënten Dossier (EPD) en het Elektronisch Cliënten Dossier (ECD). Deze benamingen voor digitale dossiers worden gebruikt binnen de sectoren somatische en psychische zorg Elektronisch Patiënten Dossier (EPD) Somatische zorg Somatisch betekent letterlijk lichamelijk en is het tegenovergestelde van psychisch [VanDale, 2010]. Somatische klachten zijn dus fysieke, lichamelijke klachten. Onder lichamelijke klachten vallen onder meer maag en darmklachten, pijnklachten en neurologische klachten. [Boot, 2005] De behandeling van een patiënt met somatische klachten vindt voornamelijk plaats in een ziekenhuis. Chronisch somatische klachten leiden veelal tot tijdelijke of langdurige zorg en behandeling in een verpleeghuis. Langdurige somatische zorg wordt aangeboden aan bewoners die vanwege chronische lichamelijke aandoeningen niet meer in staat zijn voor zichzelf te zorgen. In een ziekenhuis (somatische zorg) wordt voor een elektronisch dossier de term EPD gebruikt. Digitaal dossier In Nederland wordt hoogwaardige zorg verleend op zowel het somatische als psychische vlak [Westert, 2010]. Hierbij is het ondermeer van belang dat de zorgverlener beschikt over de juiste en betrouwbare (actuele) informatie om de veiligheid van de patiënt te garanderen. Tegenwoordig wordt patiëntinformatie steeds vaker opgeslagen in een EPD. Een EPD vervangt het papieren patiëntendossier en is een softwaretoepassing waarin alle inhoudelijke gegevens van de patiënt worden verzameld, bewaard en beschikbaar gesteld. Een EPD is een van de vele benamingen voor computergestuurde systemen in de gezondheidszorg. De definitie, gebruikt in dit onderzoek, is gebaseerd op de definitie van een patiëntendossier van het Institute of Medicine [Albers, 2008]. Vrij vertaald naar de definitie van het Institute of Medicine luidt de definitie alsvolgt [Dick, 1997]: Een EPD is een patiëntendossier, dat als specifiek computersysteem is ontworpen om zorgverleners te ondersteunen door het verstrekken van toegang tot de volledige en nauwkeurige gegevens van een patiënt, medische waarschuwingen, herinneringen, klinische beslissingsondersteunende systemen, verwijzingen naar medische kennis en andere hulpmiddelen. Schaalgroottes EPD Er zijn verschillende schaalgroottes van het EPD, zoals per afdeling, lokaal, regionaal en landelijk. Hieronder zijn kort de verschillende schaalgroottes weergeven: Informatiebeveiliging in de Zorg 19

20 Afdelingsniveau Per afdelingsniveau of per huisarts is sprake van eigen dossiervorming van de patiënten met wie een behandelrelatie bestaat, omdat er behoefte is aan specifieke patiëntgegevens. In ziekenhuizen wordt vaak gewerkt met zogenaamde 'Ziekenhuis Informatie Systemen' (ZIS). Binnen ziekenhuizen bestaan verschillende dossiers, doordat verschillende artsen van verschillende afdelingen verschillende informatie nodig hebben. Per afdeling wordt daarom doorgaans een apart dossier bijgehouden van een patiënt. Ook de medisch specialist en de verpleegkundige hebben behoefte aan andere informatie. Er is daarnaast steeds meer sprake van gegevensuitwisseling tussen afdelingen binnen ziekenhuizen, via het ZIS. Deze vorm van EPD wordt wel afdeling EPD genoemd. Lokaal Bij een lokaal EPD werken meerdere artsen binnen een zorginstelling in hetzelfde dossier van een patiënt. In ziekenhuizen wordt veelal een generiek EPD voor de patiënt aangemaakt met daarin gegevens, zoals naam, adres en medicatie. Daarnaast werken de verschillende specialisten vaak nog steeds met een dossier dat enkel door de specialist wordt gebruikt. Regionaal Een Regionaal EPD ontstaat wanneer verschillende zorginstellingen met elkaar samenwerken. Regionaal betekent niet, zoals de naam doet vermoeden, dat de zorginstellingen uit een bepaalde regio komen, maar dat dit in principe een netwerk is van zorginstellingen die met elkaar samenwerken. Landelijk In veel regio s in Nederland wisselen zorgverleners al langere tijd elektronisch gegevens met elkaar uit. De laatste jaren is het EPD veel in het nieuws geweest door het implementeren van het landelijk EPD. Door de invoering van een landelijk EPD wordt ook de uitwisseling van gegevens in heel Nederland mogelijk. Speciaal voor de zorg is een landelijke infrastructuur ontwikkeld voor informatie-uitwisseling in de zorg. Het EPD voorziet in het landelijk schakelpunt (LSP) waarmee zorgverleners veilig onderling elektronisch medische gegevens uitwisselen. Dit geeft aan dat patiëntgegevens dus niet worden opgeslagen in een landelijke database oftewel een opzichzelfstaand systeem. Via het LSP kan een zorgverlener na toestemming van de patiënt medische gegevens over de patiënt opvragen bij een andere zorgverlener. Dit gebeurt in het kader van een behandelrelatie en kan alleen als de zorgverlener is geautoriseerd met een persoonlijke pas. De medische gegevens blijven opgeslagen bij de zorgverleners waar de cliënt is ingeschreven. [AORTA, 2010] Generaties EPD s Naast verschillende schaalgroottes zijn er ook verschillende generaties EPD s. De zorg kent slechts één EPD generatie model, deze stamt uit 1998 en is opgesteld door de Gartner-analist dr. Thomas Handler. Onderzoeksbureau Gartner onderscheidt vijf generaties EPD-systemen die beginnen met eenvoudige systemen voor inzage van patiëntengegevens tot complete geïntegreerde systemen voor alle zorgprocessen. [Ouvry, 2005] Informatiebeveiliging in de Zorg 20

21 Figuur 3. Generaties EPD's Het model definieert de vijf EPD generaties als volgt: 1e generatie EPD: De kijkdoos Dossiers zijn kijkdozen waarin informatie uit verschillende bronnen kan worden ingezien, zoals data uit laboratoria en röntgenfoto s. Het EPD is niets meer dan een plek waar dat soort gegevens per patiënt worden verzameld en kunnen worden geraadpleegd. Er is alleen sprake van eenrichtingsverkeer: van gegevensbank naar arts. 2e generatie EPD: De documenteerder Naast een kijkdoos is het 2e generatie EPD ook een dossier waar de arts of patiënt (maar meestal alleen de arts) ook informatie aan toevoegt, zoals over de medische handelingen die bij een patiënt worden verricht. In dit geval is het EPD een plaats waar zowel data wordt verzameld als waar wordt gedocumenteerd. De meeste EPD s in Nederland zijn nog 1e of 2e generatie EPD s. 3e generatie EPD: De Helper Deze generatie EPD s gaat de arts meer ondersteunen bij diens werkzaamheden. Zij kunnen het proces dat de patiënt doorloopt stap voor stap volgen. Ze worden ook wel multidisciplinaire EPD s genoemd, omdat er informatie vanuit verschillende stappen en daarmee disciplines in het dossier terug te vinden is. Zorgverleners worden met deze EPD s bovendien geholpen om medische standaarden toe te passen. 3e generatie EPD s beginnen nu in Nederland hun intrede te doen. 4e generatie EPD: De collega De vierde generatie EPD s kan gezien worden als een collega: deze EPD s kunnen medische kennis koppelen aan het specifieke ziektebeeld van een patiënt. Op deze manier adviseren deze EPD s per patiënt over bijvoorbeeld medicijngebruik en gewenste (be)handelingen. Deze EPD s worden ook wel disease management systemen genoemd. Deze systemen maken het zelfs mogelijk dat een nieuwe beroepsgroep, soms wel nurse practitioners genoemd, een deel van de taken van de arts of specialist Informatiebeveiliging in de Zorg 21

22 overneemt doordat zij bij zowel diagnose als behandeling gecoacht worden door het EPD. Ook de eerste 4e generatie EPD s doen hun intrede, maar nog op zeer kleine schaal. 5e generatie EPD: De mentor Deze EPD s bestaan nog niet, maar zouden in staat moeten zijn om rekening te houden met zowel de specifieke situatie van een patiënt als met de ervaring en kennis van de hulpverlener die het EPD inziet. Op basis hiervan kunnen deze EPD s artsen en patiënten, nog beter dan 4e generatie systemen, helpen beslissingen te nemen over behandelingen Elektronisch Cliënten Dossier (ECD) Psychische zorg Geestelijke gezondheidszorg is de zorg voor mensen met een psychische stoornis. Onder psychische stoornissen vallen onder meer schizofrenie, angststoornissen, dementie, verstandelijke handicap, ADHD en depressie. [Boot, 2005] Binnen de ggz kan een patiënt geholpen worden door een ggz-instelling of een vrij gevestigde psychiater of psychotherapeut. De ggz richt zich hoofdzakelijk op vier zaken: - Het voorkomen van psychische aandoeningen; - Het behandelen en genezen van psychische aandoeningen; - Het zo goed mogelijk laten deelnemen van mensen met een chronische psychische aandoening aan de samenleving; - Het bieden van (ongevraagde) hulp aan mensen die ernstig verward en/of verslaafd zijn en die uit zichzelf geen hulp zoeken. Een belangrijke functie van de ggz is de acute of spoedeisende hulp, ook wel crisisopvang genoemd. Digitaal dossier In de ggz spreekt men doorgaans over cliënten in plaats van patiënten. Om die reden wordt een digitaal dossier binnen de ggz vaak een Elektronisch Cliënten Dossier genoemd. Het ECD is veel meer dan een digitale vorm van het cliëntendossier. Het ECD zorgt voor een infrastructuur van informatie binnen de zorgorganisatie. Het is de bedoeling dat het ECD de werkprocessen bij ggz-instellingen effectief ondersteunt. Op deze wijze draagt een goed ingericht digitaal dossier bij aan de kwaliteit en efficiency van de verleende zorg. GGZ Nederland (koepelorganisatie) streeft ernaar de toegevoegde waarde van het ECD voor ggzinstellingen op een hoger niveau te krijgen. Dit doet zij door middel van de ontwikkeling van het Referentiemodel voor een EPD in de ggz (REPD) [GGZ, 2008]. Hierbij is gekozen voor de term EPD omdat dit beter aansluit bij de ontwikkelingen van elektronische dossiers in de andere sectoren binnen de gezondheidszorg. Het Referentiemodel bevat een beschrijving van de zorgprocessen binnen de ggz en een profiel van de daarbij horende ICT-ondersteuning. Samenhang Naast de verschillen tussen somatische en psychische zorg, is er wel degelijk samenhang tussen beide zorgsoorten. In het verleden heeft de IGZ onderzoek verricht waaruit als voornaamste conclusie naar voren kwam dat er meer aandacht nodig is voor somatische zorg in psychiatrie [VWS, 1999]. Uit Informatiebeveiliging in de Zorg 22

23 onderzoek is gebleken dat lichamelijke en psychische ziektes vaak samen voorkomen (co-morbiditeit 1 ) [IGZ, 1999]. Slotopmerking Uit het onderzoek is gebleken dat met de verschillende termen, EPD en ECD, hetzelfde principe van een digitaal dossier wordt bedoeld. Voor het vervolgonderzoek betekent dit dat voor wet- en regelgeving en het toezicht daarop, alleen gekeken wordt naar de toepassing op het EPD Wetgeving en toezicht In deze paragraaf richt het onderzoek zich op de huidige wetgeving die van toepassing is op een EPD. Een goed beheerst proces van uitwisseling en vastlegging van gegevens dient te voldoen aan diverse wet- en regelgeving. Daarbij richt het onderzoek zich op het toezicht dat vanuit diverse autoriteiten is georganiseerd om toe te zien op naleving van verplichtingen zoals gesteld in wet- en regelgeving. Om te komen tot beantwoording van de onderzoeksvraag, is onderzocht in hoeverre de wettelijke kaders van informatiebeveiliging gespiegeld zijn in het toetsingskader (NEN 7510) binnen de zorg. Daarbij is vastgesteld of in deze wet- en regelgeving onderscheid wordt gemaakt tussen de psychische en somatische zorg. Dit laatste is ook in de praktijk middels de casestudies getoetst. Wetgeving Wet bescherming persoonsgegevens (Wbp) De belangrijkste wet- en regelgeving voor het omgaan met persoonsgegevens is vastgelegd in de Wbp [Wbp, 2001]. De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens en is sinds 1 september 2001 van kracht. In deze wet zijn de algemene beginselen voor gegevensverwerking geformuleerd. De Wbp is van toepassing indien er sprake is van een al dan niet geautomatiseerde verwerking van persoonsgegevens. In de Wbp staat een aantal regels met betrekking tot de toelaatbaarheid, het doel en de kwaliteit van gegevensverwerking. Veel normen in de Wbp richten zich op de verantwoordelijke voor de gegevensverwerking. Dit is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van patiëntgegevens is doorgaans de behandelende zorgverlener als verantwoordelijke aangemerkt. In de Wbp staat tevens beschreven dat de verantwoordelijke passende technische en organisatorische maatregelen dient te treffen om persoonsgegevens voldoende te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking [Wbp, 2001]. Dit betekent dat de zorgverlener, in dit onderzoek het ziekenhuis of de ggz-instelling, verantwoordelijk is voor een passende invulling van de wet- en regelgeving opgenomen in de Wbp. Wet geneeskundige behandelingsovereenkomst (WGBO) De WGBO is een Nederlandse wet waarin rechten en plichten van behandelaar en patiënt vastgelegd zijn en is 1 april 1995 in werking getreden. De WGBO is in een aantal opzichten relevant in het kader van het EPD. In deze wet is ondermeer vastgelegd dat zorgverleners in het kader van een behandeling medische 1 Het verschijnsel dat iemand aan meerdere chronische ziektes tegelijk lijdt. Informatiebeveiliging in de Zorg 23

24 gegevens van patiënten mogen uitwisselen met andere zorgverleners die direct bij de behandeling betrokken zijn (art. 457, WGBO). Daarnaast is de hulpverlener op basis van de WGBO verplicht een dossier te onderhouden gedurende een termijn van 15 jaar (art. 454, WGBO) en geeft de WGBO de patiënt recht op geheimhouding en inzage van zijn dossier (art. 454 en 457, WGBO). De wet Beroepen in de individuele Gezondheidszorg [BIG, 1993] heeft als doel om de kwaliteit van de beroepsuitoefening te bevorderen en te bewaken. In de wet BIG is gedefinieerd wie als zorgverlener mag handelen en voorziet verder in de tuchtrechtspraak [Ekker, 2010]. Kwaliteitswet zorginstellingen (KZ) en Wet klachtrecht cliënten zorgsector (WKCZ) De Kwaliteitswet zorginstellingen legt aan zorginstellingen de verplichting op om verantwoorde zorg aan te bieden [KZ, 1996]. Het gebruik van de (landelijke) EPD infrastructuur kan worden beschouwd als onderdeel hiervan. De Wet klachtrecht cliënten zorgsector voorziet in een mogelijkheid voor klachten wegens onheuse behandeling of gebreken in het zorgproces [WKCZ, 1995]. Voorbeelden hiervan zijn: het niet meewerken aan de uitoefening van patiëntenrechten, zoals een verzoek om inzage, en het invoeren van onjuiste of onvolledige gegevens. [Ekker, 2010] Wet gebruik burgerservicenummer in de zorg (Wbsn-z) Het burgerservicenummer (BSN) is een uniek persoonsgebonden nummer. Iedereen die zich bij een gemeente laat inschrijven in de gemeentelijke basisadministratie van persoonsgegevens (GBA) krijgt een burgerservicenummer toegewezen. Alle zorgaanbieders, indicatieorganen en zorgverzekeraars moeten sinds 1 juni 2009 het BSN gebruiken bij het uitwisselen van gegevens over patiënten of cliënten [Wbsn, 2008]. De Wbsn-z dient om straks met één en hetzelfde nummer gegevens over een bepaalde patiënt of cliënt te kunnen koppelen. Dat leidt tot minder fouten bij uitwisseling van gegevens (bijvoorbeeld bij ketenzorg 2 ), minder kans op verwisseling van personen en een betere bescherming tegen fraude. Het BSN is nodig om met een landelijk EPD te kunnen werken [Fact, 2011]. Kaderwet elektronische zorginformatie-uitwisseling (Kaderwet EPD) Dit wetsvoorstel voor de Kaderwet voorziet in verplichtingen voor zorgaanbieders en de beheerder van het Landelijk Schakelpunt (LSP). Het wetsvoorstel is uitgegeven als een gewijzigd voorstel van de Wet gebruik burgerservicenummer in de zorg. De wet is bedoeld om het gebruik van het LSP in goede banen te leiden en een wettelijke basis te geven. [Krabben, 2010] Het verplicht zorgaanbieders aan te sluiten op het Landelijk EPD. Tot het inwerking treden van de kaderwet, is deelname van zorgaanbieders vrijwillig. In het wetvoorstel is bepaald dat het Nationaal ICT Instituut in de zorg (Nictiz) zorgt voor de inrichting en het beheer van het LSP. De wet voorziet in voorschriften ten aanzien van: - het gebruik van het BSN en het vaststellen van de identiteit van de patiënt; 2 Zorgverlening waarbij de achtereenvolgende onderdelen van de zorg goed op elkaar aansluiten en afgestemd zijn. Informatiebeveiliging in de Zorg 24

25 - het aansluiten op het LSP, het vastleggen en verwerken van gegevens en het verschaffen van informatie aan de patiënt; - de verwerking van persoonsgegevens in zorginformatiesystemen die, anders dan via het LSP, op elkaar zijn aangesloten of waarvan meer dan één zorgaanbieder gebruik kan maken; - de nadere invulling bij algemene maatregel van bestuur van de gelding van de Kaderwet, de reikwijdte van de logging, de beveiliging van persoonsgegevens en het verschaffen van inzage aan de patiënt; - het gebruik van de Sectorale Berichtenvoorziening in de Zorg (SBV-Z); - het verstrekken van inlichtingen en gegevens aan toezichthouders; Voor zorgverzekeraars is een toegangsverbod opgenomen in de kaderwet. Om te voorkomen dat de patiëntgegevens gebruikt worden voor risicoselectie. [Ekker, 2010] Het wetsvoorstel [WEPD, 2009] is op 19 februari 2009 aangenomen door de Tweede Kamer. De Eerste Kamercommissie voor VWS heeft op 25 januari 2011 het eindverslag uitgebracht. De plenaire behandeling van het voorstel heeft plaatsgevonden op 15 maart Tijdens deze behandeling is het wetsvoorstel door de Eerste Kamer niet in de huidige vorm aangenomen. Kritiek op de werkbaarheid en de privacy 3 is voor de Eerst Kamer voornamelijk de aanleiding geweest om de Kaderwet EPD niet aan te nemen zoals in het wetsvoorstel is beschreven [FD, 2011] [WEPD, 2009]. Toezicht Naast het interne toezicht van de Raad van Toezicht van zorginstellingen zijn er verschillende externe toezichthouders. Ze houden in de gaten of zorginstellingen aan die eisen voldoen. De belangrijkste toezichtorganen zijn: - Het College bescherming persoonsgegevens (Cbp) is belast met de handhaving van privacyregelgeving. - De Inspectie voor de Gezondheidszorg (IGZ) handhaaft met name normen met betrekking tot de kwaliteit van de zorgverlening, preventie en medische producten. - De Nederlandse Zorgautoriteit (NZa) ziet toe op het gedrag van zorgaanbieders en zorgverzekeraars. Naast bovenstaande toezichtorganen heeft ook de minister van Volksgezondheid, Welzijn en Sport bevoegdheden om toezicht te houden. Hierna richt het onderzoek zich op het externe toezicht. College bescherming persoonsgegevens (Cbp) Het Cbp ziet op grond van de Wbp als onafhankelijke toezichthouder toe dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat de privacy van burgers ook in de toekomst gewaarborgd blijft. Het Cbp is bevoegd om op eigen initiatief of op verzoek van een belanghebbende een onderzoek in te stellen naar de wijze waarop persoonsgegevens worden verwerkt. [Cbp, 2011] 3 In dit onderzoek wordt met dit begrip informationele privacy bedoeld. Informationele privacy slaat op de vastlegging, bewerking en de verstrekking van persoonsgegevens. (Bron: Cbp) Informatiebeveiliging in de Zorg 25

26 Wanneer een organisatie zich niet houdt aan de wet, kan het Cbp maatregelen nemen. De belangrijkste is uitoefening van bestuursdwang. Dit betekent dat het Cbp van de overtreder kan eisen dat hij de overtreding van de wettelijke regels binnen een bepaalde termijn ongedaan maakt. Daarbij kan het Cbp een organisatie een dwangsom opleggen. Zij kan ook besluiten een boete uit te schrijven. [Cbp, 2011] In het kader van het EPD, kan het college optreden wanneer sprake is van onrechtmatige toegang tot het EPD. Daarnaast ziet het Cbp toe op de gegevensverwerking in het EPD. Inspectie voor de Gezondheidzorg (IGZ) De IGZ handhaaft regels met betrekking tot de kwaliteit van de zorgverlening. Er zijn twee soorten wetten waar de inspectie toezicht op houdt: - Wetten met expliciet en gedetailleerd geformuleerde regels (bijvoorbeeld bij medische apparatuur); - Wetten met algemeen en open geformuleerde normen (bijvoorbeeld [BIG, 1993] en [KZ, 1996]) In het kader van het EPD en de landelijke infrastructuur houdt IGZ toezicht op grond van de KZ, Wet BIG en de kaderwet elektronische zorginformatie-uitwisseling. Om haar taak als toezichthouder uit te voeren maakt de IGZ gebruik van gefaseerd toezicht, thematisch toezicht en toezicht bij incidenten. De IGZ kan verschillende maatregelen nemen om de wet- en regelgeving, (beroeps)normen en richtlijnen te handhaven. De inspectie kan advies, stimulering, correctie of dwang toepassen. Hierdoor heeft de inspectie, evenals het Cbp, de mogelijkheid om boetes of een dwangsom op te leggen aan zorginstellingen die in de zorg te kort schieten. In ernstige gevallen kan de inspectie het initiatief nemen tot tucht- of strafrechtelijke procedures. [Ekker, 2010] [IGZ/Cbp, 2008] [IGZ-H, 2008] Thema IGZ/Cbp Vanwege de invoering (van delen) van het EPD en de bijbehorende toename van het gebruik van ICT bij de directe patiëntenzorg, heeft de IGZ informatiebeveiliging in de zorg als thema gekozen waarop toezicht wordt gehouden. In 2007 hebben de IGZ en Cbp een onderzoek uitgevoerd naar informatiebeveiliging in twintig ziekenhuizen. Hieruit bleek dat een groot aantal van de twintig onderzochte ziekenhuizen de informatiebeveiliging onvoldoende op orde had. Naar aanleiding van dit onderzoek heeft het IGZ alle ziekenhuizen verzocht een plan van aanpak aan te leveren waarin uiteengezet is welke acties het ziekenhuis onderneemt om volledig aan de norm NEN 7510 te voldoen en op welke termijn dit zal zijn gerealiseerd. Zoals eerder in hoofdstuk 2 is aangegeven, heeft de IGZ bepaald dat in 2010 alle ziekenhuizen aantoonbaar dienden te voldoen aan de NEN 7510 [IGZ/Cbp, 2008]. IGZ is als toezichthouder verantwoordelijk om toe te zien of alle ziekenhuizen in 2010 daadwerkelijk aantoonbaar aan de NEN 7510, middels het NVZ toetsingsreglement voldoen. Nederlandse Zorgautoriteit (NZa) Doel van NZa is de bevordering van een marktsituatie waarin consumenten erop kunnen vertrouwen dat zorgmarkten goed functioneren en dat zorgverzekeraars en zorgaanbieders hun verplichtingen op grond van de wet- en regelgeving naleven [NZa, 2009]. In de landelijke EPD infrastructuur houdt de NZa toezicht op de naleving van het toegangsverbod voor verzekeraars. [Ekker, 2010] Informatiebeveiliging in de Zorg 26

27 De NZa kan in situaties van overtreding kiezen uit verschillende handhavinginstrumenten. De NZa heeft de mogelijkheid om bestuurlijke boetes, bestuurlijke dwang of een dwangsom op te leggen. Minister Bij overtreding van de wet is de Minister van Volkgezondheid, Welzijn en Sport bevoegd bestuurlijke boetes op te leggen aan zorgaanbieders, indicatieorganen en zorgverzekeraars. NEN 7510 en Wbp Gelet op het wettelijk kader en het toezicht daarop, blijkt dat geen onderscheid wordt gemaakt in beveiliging van gegevensuitwisseling en -vastlegging binnen de somatische of psychische zorg. Zowel de wet- en regelgeving als het toezicht zijn generiek als het gaat om informatiebeveiliging in de gezondheidszorg. Het waarborgen van adequate beveiliging van informatie in de zorg is voor zorginstellingen toetsbaar aan de hand van het toetsingsreglement van de NVZ, waarbij IGZ op naleving toeziet. Gelet op de privacy, is uit het onderzoek gebleken dat de NEN 7510 voor de beveiliging van gegevens in de normstelling niet per definitie de Wbp afdekt. De NEN 7510 is op het gebied van privacy niet eenduidig te interpreteren. In de Wbp zijn de eisen gesteld aan en de rechten en plichten van de verantwoordelijke en betrokkenen eenduidig weergegeven. In de NEN 7510 is de normstelling voor meerdere interpretatie vatbaar, waardoor dit raamwerk nog een nadere specificering behoeft alvorens deze normen toetsbaar zijn. Dit is ook bevestigd tijdens de Health Care bijeenkomst van Ernst & Young en Holland van Gijzen [Bijlage 1] Slotopmerkingen In dit hoofdstuk is de definitie gegeven van de zorgsoorten somatische zorg en psychische zorg. Gelet op deze definities, is het aannemelijk dat er wel degelijk verschil is in de mate van beschikbaarheid en vertrouwelijkheid van de informatie in deze zorgprocessen. In zowel de wet- en regelgeving als bij het toezicht daarop, wordt dit onderscheid niet gemaakt. In de casestudies is in de praktijk getoetst of het aannemelijke verschil invloed heeft op de praktische uitvoering. Gelet op de ggz blijkt dat zij middels een eigen referentiemodel de toegevoegde waarde van een EPD voor ggz-instellingen naar een hoger niveau probeert te krijgen. Dit geeft blijk van een specifieke aanpak binnen de psychische zorg in relatie tot de somatische zorg. In het vorige hoofdstuk heeft het onderzoek uitgewezen dat er binnen de norm voor informatiebeveiliging in de gezondheidszorg (NEN 7510) geen onderscheid tussen zorgsoorten wordt gemaakt, maar voor de hele sector geldt. Inmiddels is bekend dat de Kaderwet EPD niet is aangenomen door de Eerste Kamer. Kritiek op de werkbaarheid en de privacy zijn hiervoor voornamelijk de aanleiding geweest. Dit betekent dat dit wetsvoorstel niet als uitgangspunt kan dienen in het kader van dit onderzoek. Gekeken naar de gegevensuitwisseling binnen het EPD, is de Wbp het meest van belang. Bij de kwaliteitsaspecten beschikbaarheid en vertrouwelijkheid is het spanningsveld te herleiden naar deze wet. Volgens artikel 13 Wbp dient de verantwoordelijke voor de verwerking van persoonsgegevens, in het kader van dit onderzoek de zorginstellingen, passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen. Op grond van artikel 2 KZ, dient een zorginstelling verantwoorde zorg aan te bieden. De IGZ en Cbp zien de NEN 7510 als een gezaghebbende sectorale Informatiebeveiliging in de Zorg 27

28 uitwerking van artikel 13 Wbp en daarom als dé norm waaraan getoetst dient te worden. Daarbij zou dan voldaan zijn aan de eis verantwoorde zorg te bieden [Berg, 2009]. De overig beschreven wettelijke kaders gaan meer in op de praktische uitoefening van beroepen of de rechten en plichten van patiënten. Hierdoor hebben deze wetten minder betrekking op het onderwerp informatiebeveiliging zoals in dit onderzoek gedefinieerd en daardoor zijn deze in dit kader in mindere mate van belang. IGZ is de voornaamste toezichthouder als het gaat om de controle op informatiebeveiliging in de gezondheidszorg. Controle vindt plaats aan de hand van de norm NEN Deze norm behelst veel meer dan alleen privacy aspecten, waardoor als toezichthouder een grotere rol is weggelegd voor IGZ dan voor het Cbp. Doordat de NEN 7510 in de normstelling niet in voldoende mate de Wbp afdekt en op het gebied van privacy niet eenduidig is te interpreteren, blijft de rol van het Cbp van groot belang als het gaat om het waarborgen van de vertrouwelijkheid van medische gegevens. Daarbij is door de Eerste Kamer de Kaderwet EPD niet aangenomen, wat betekent dat het voldoen aan de NEN 7510 tot op heden niet wettelijk wordt afgedwongen. De Wbp blijft als wettelijk kader in elk geval van toepassing bij het opslaan van alle medische gegevens in welk dossier dan ook. Het toezicht van de NZa op naleving van het toegangsverbod tot het EPD voor zorgverzekeraars is in dit onderzoek in mindere mate van belang. Informatiebeveiliging in de Zorg 28

29 4. Casestudies 4.1. Inleiding Naast het literatuuronderzoek zijn er een tweetal casestudies uitgevoerd om de antwoorden op de onderzoeksvragen, verkregen in de literatuurstudie, in de praktijk te toetsen. Hiermee zijn de uiteindelijke conclusies sterker onderbouwd en is duidelijk geworden of er een verschil is tussen het theoretisch kader en de praktische invulling. Naast het uitvoeren van de casestudies is ook gebruik gemaakt van de resultaten verkregen uit een benchmarkonderzoek van Ernst & Young. Casestudies In twee vergelijkende casestudies is in de praktijk gezocht naar het bestaan van verschillen op het gebied van de inrichting van informatiebeveiliging in de somatische en psychische zorg. Hierbij zijn de aspecten beschikbaarheid, integriteit en vertrouwelijkheid van de medische gegevens van patiënten en cliënten als leidraad gehanteerd. De gespreksverslagen zijn opgenomen in de bijlage [Bijlage 1]. De casestudies zijn als volgt gedefinieerd: - Somatische zorg, waarbij voor een ziekenhuis wordt gekeken naar de inrichting van informatiebeveiliging aan de hand van een normenkader. - Psychische zorg, waarbij voor een ggz-instelling wordt gekeken naar de inrichting informatiebeveiliging aan de hand van een normenkader. Normenkader Uit de literatuurstudie is gebleken dat voor zorginstellingen het NVZ toetsingskader geldt als norm waaraan voldaan moet worden als het gaat om adequate informatiebeveiliging. Dit toetsingskader vindt zijn grondslag in de NEN 7510, die door toezichthouders IGZ en Cbp is bestempeld als dé norm waaraan getoetst moet worden als het gaat om informatiebeveiliging in de zorg. Om in de casestudies de gekozen zorginstellingen met elkaar te kunnen vergelijken, is op basis van het NVZ toetsingsreglement onderzoek uitgevoerd naar de inrichting van informatiebeveiliging bij deze zorginstellingen. Het onderzoek is uitgevoerd bij één ziekenhuis en bij één ggz-instelling. Benchmark Verder is gebruik gemaakt van de informatie, verkregen uit een benchmarkonderzoek, uitgevoerd door Ernst & Young. Deze benchmark is opgesteld op basis van de resultaten uit de verplichte audits die alle ziekenhuizen in Nederland hebben moeten laten uitvoeren op gezag van de IGZ. Gezien het feit dat beide auteurs van deze scriptie betrokken zijn geweest bij het uitvoeren van deze audits, zullen de resultaten vanuit de casestudies ook hiermee vergeleken worden. In deze benchmark zijn de resultaten opgenomen van 35 ziekenhuizen. De onderzoeken bij de ziekenhuizen zijn door verschillende organisaties uitgevoerd, variërend van de traditionele accountants en IT-auditors tot ICT-dienstverleners. [Benchmark, 2011] Vertrouwelijkheid Gezien de vertrouwelijkheid van de gegevens in de casestudies zijn de resultaten geanonimiseerd. Het anonimiseren van de gegevens heeft geen invloed op de resultaten en de leesbaarheid. Informatiebeveiliging in de Zorg 29

30 Onderzoek Teneinde te bepalen of er verschillen zijn op het gebied van informatiebeveiliging in de somatische en psychische zorg en welke aanvullende maatregelen er nog genomen dienen te worden om de beschikbaarheid, integriteit en vertrouwelijkheid adequaat te borgen, is aan de hand van het NVZ toetsingsreglement voor de beschreven zorginstellingen getoetst in welke mate informatiebeveiliging rondom het EPD is georganiseerd. Hiervoor zijn bij de genoemde zorginstellingen interviews gehouden met de volgende functionarissen: - Hoofd Informatie & Automatisering (I&A); - Security officer; - Arts. Deze functies zijn gekozen, omdat het Hoofd I&A en de security officer vanuit hun functie betrokken zijn bij de implementatie en uitvoering van informatiebeveiliging. Daarnaast is met een arts gesproken om te toetsten wat een medewerker in de praktijk ondervindt van informatiebeveiliging in het algemeen en wat de consequenties hiervan zijn in de uitoefening van de functie. Naast het houden van interviews is verkregen documentatie beoordeeld. Die documentatie is weergeven in het documentatieoverzicht in de bijlage [Bijlage 3]. Dit overzicht is gebaseerd op de eisen die zijn gesteld in het NVZ toetsingsreglement Bevindingen Door het uitvoeren van deze casestudies is onderzocht welke verschillen er zijn op het gebied van informatiebeveiliging tussen de somatische en psychische zorg. In de literatuurstudie blijkt dat er in de wet- en regelgeving en door het toezicht daarop, geen verschil wordt gemaakt op basis van zorgsectoren. Middels de casestudies is duidelijk geworden in hoeverre er in de praktijk wel verschillen zijn. Vanuit de literatuurstudie is duidelijk geworden op welke gebieden aanvullende maatregelen dienen te worden genomen, om de beveiliging van de vitale informatie in elektronische dossiers te waarborgen. Middels deze casestudies is in de praktijk gezocht naar bevestiging van het feit dat aanvullende maatregelen genomen dienen te worden en onderzocht welke invulling hieraan gegeven kan worden. In onderstaande paragrafen zijn de constateringen weergegeven. Borging naleving Uit de literatuur is gebleken (zie hoofdstuk 3) dat de geldende wetgeving voor het beveiligen van informatie in de zorg en het toezicht daarop voor de gehele zorgsector gelijk is, hierbij vindt geen onderscheid naar zorgsector plaats tussen somatische en psychische zorg. In de casestudies is naar voren gekomen dat er echter wel verschil is in de manier waarop toezicht wordt gehouden door de IGZ binnen de somatische en psychische zorg. De IGZ heeft een audit naar de informatiebeveiliging bij ziekenhuizen wel verplicht gesteld, maar niet bij ggz-instellingen. Hierdoor is het thema informatiebeveiliging bij ziekenhuizen hoog op de agenda komen te staan, waarbij extra middelen en gelden zijn vrijgemaakt voor het implementeren van informatiebeveiliging. Ziekenhuizen Informatiebeveiliging in de Zorg 30

31 hebben versneld maatregelen geïmplementeerd om aan de harde normen 4 in het toetsingskader te voldoen, om zo met positief gevolg een audit te laten uitvoeren. Met het invullen van de zachte normen 5 hebben de onderzochte instellingen een begin gemaakt, omdat het een langdurig traject is om gedrag en cultuur van medewerkers te veranderen. De instellingen scoren laag op deze onderdelen [Benchmark, 2011]. In de casestudies is duidelijk naar voren gekomen dat deze inhaalslag erin heeft geresulteerd dat de ziekenhuizen verder zijn met de implementatie van de NEN 7510 dan de ggz-instellingen. Ondanks alle inspanningen blijkt uit de benchmark echter dat nog niet alle ziekenhuizen voldoen aan het NVZ toetsingsreglement en daarmee dus niet aan de NEN 7510 [Benchmark, 2011]. De ziekenhuizen die niet voldeden aan het NVZ toetsingsreglement hebben inmiddels van de IGZ een brief ontvangen waarin wordt gesteld dat de instelling binnen zes maanden een audit moeten laten uitvoeren op de punten waarop geen voldoende is gescoord (een score van 2 of hoger 6 ) [Bijlage 1]. De overige ziekenhuizen hebben een brief gekregen dat toegewerkt moet worden naar een hogere score. De verplichte audit is uitgevoerd op basis van het NVZ toetsingsreglement. Uit de literatuurstudie blijkt (hoofdstuk 3) dat het NVZ toetsingsreglement een subset is van de volledige NEN Hiermee is het voor zorginstellingen niet mogelijk aan te tonen dat zij voldoen aan de volledige norm NEN Het toetsingsreglement is echter wel een goede graadmeter om vast te stellen wat de status is van de implementatie van informatiebeveiliging. Verantwoordelijkheid voor implementatie Uit de literatuurstudie is gebleken dat het thema informatiebeveiliging meer is dan alleen techniek (zie hoofdstuk 2). Beveiligingsbewustzijn is één van de belangrijkste aspecten voor het succesvol implementeren van een effectief informatiebeveiligingsbeleid. Volgens het proces van informatiebeveiliging (zie 3.2) dient de verantwoordelijkheid voor het implementeren van een maatregel te liggen bij degene die primair verantwoordelijk is voor het proces waarop de betreffende maatregel van toepassing is. Uit de casestudies blijkt dat de verantwoordelijkheid van de implementatie van informatiebeveiliging veelal wordt belegd bij de ICT-afdeling. Hierdoor lijkt het alsof implementatie voornamelijk een ITproject is. Dit leidt tot een technische benadering van de implementatie en blijkt niet altijd tot een succesvolle implementatie te leiden. De bewustwording binnen de gehele organisatie is van wezenlijk belang, waardoor een belangrijke rol is weggelegd voor de security officer. Door informatiebeveiliging juist niet als IT-project te bestempelen, maar als een gezamenlijke verantwoordelijkheid, is de betrokkenheid vanuit de gehele organisatie groter en wordt een eenzijdige kijk op het geheel voorkomen. De kans van slagen wordt hierdoor aanzienlijk vergroot. Daarnaast is het van belang dat er voldoende sprake is van voorbeeldgedrag in de organisatie. Een belangrijke succesfactor bij de 4 Onder harde normen worden normen ten aanzien van bijvoorbeeld het opstellen en beschrijven van procedures of het op bepaalde wijze inrichten van een applicatie verstaan. 5 Onder zachte normen worden normen ten aanzien van bijvoorbeeld bewustwording verstaan. 6 Voor de te halen scores bij de verplichte audits is door de IGZ een schaal van 1-4 gehanteerd. Informatiebeveiliging in de Zorg 31

32 implementatie is dat de Raad van Bestuur maar ook de direct leidinggevenden het belang van informatiebeveiliging inzien en uitdragen. Verschillen Somatische en Psychische zorg Uit de literatuurstudie is gebleken dat de doelstelling van de NEN7510 is het ondersteunen van het leveren van verantwoorde zorg. Daarnaast is het waarborgen van de privacy van patiëntgegevens essentieel. Uit de literatuurstudie is ook gebleken dat er zowel in de wet- en regelgeving als in de normeringen en standaarden geen verschil wordt gemaakt tussen de somatische en psychische zorg. Uit de casestudies blijkt dat dit leidt tot een bepaald spanningsveld. Aan de ene kant dienen patiëntgegevens voor iedere specialist beschikbaar te zijn om verantwoorde zorg te kunnen leveren. Aan de andere kant kunnen de patiëntgegevens niet aan iedere specialist beschikbaar worden gesteld omdat de privacy van patiënten dan wordt geschonden. De invulling van de wet- en regelgeving hieromtrent is niet in alle gevallen eenduidig te interpreteren (zie hoofdstuk 3). Hoe hiermee om te gaan is op dit moment geheel aan de zorginstelling zelf. De te nemen maatregelen worden gekozen op basis van een risicoanalyse met de kwaliteitsaspecten: beschikbaarheid, integriteit en vertrouwelijkheid. De invulling van deze kwaliteitsaspecten zijn vereisten om te komen tot effectieve informatiebeveiliging die voldoet aan de eisen van de instelling. Vertrouwelijkheid Uit de literatuurstudie is gebleken dat in de normen met betrekking tot de vertrouwelijkheid van gegevens, geen verschil wordt gemaakt tussen de somatische en psychische zorg. In de casestudie gaven zowel geïnterviewde medewerkers uit de somatische als psychische zorg aan dat het aspect vertrouwelijkheid voor hun instelling een belangrijk thema is. Ondanks het feit dat vertrouwelijkheid voor iedere instelling van belang is, is uit de casestudies gebleken dat afhankelijk van het soort ziekte of aandoening er in meer of mindere mate nadruk ligt op de vertrouwelijkheid van gegevens. Zo worden bijvoorbeeld bij sexueel overdraagbare aandoeningen (SOA s) en psychische aandoeningen extra maatregelen getroffen voor de vertrouwelijkheid van gegevens. In een interview werd bijvoorbeeld het volgende gezegd: Wat zou je erger vinden, dat je baas of buurman weet dat je een gebroken been hebt of dat je angststoornissen hebt? Psychische zorginstellingen behandelen alleen mensen met een psychische stoornis. Per definitie werken zij daarom met zeer vertrouwelijke informatie. Uit de casestudies blijkt dan ook dat bij de implementatie van informatiebeveiliging in de psychische zorg meer aandacht aan vertrouwelijkheid besteed wordt dan in de somatische zorg. Uit de casestudies blijkt tevens dat het in de praktijk lastig is om als organisatie te waarborgen dat alleen bevoegde medewerkers gegevens inzien en bewerken. De techniek is in veel gevallen nog niet zover, waardoor een effectieve en efficiënte beheersing nog niet mogelijk is. Daarnaast zijn de autorisaties binnen veel instellingen organisch gegroeid gedurende de afgelopen jaren. Er is daarom een significante tijdsinspanning noodzakelijk om de autorisaties inzichtelijk en op orde te krijgen. Nieuwe technieken of andere manieren waarop informatie wordt ontsloten, bijvoorbeeld de introductie van het landelijk EPD, stellen de zorginstellingen voor nieuwe uitdagingen om de vertrouwelijkheid van de gegevens te garanderen. Beschikbaarheid Uit de literatuurstudie is gebleken dat in de normen met betrekking tot de beschikbaarheid van gegevens, geen verschil wordt gemaakt tussen de somatische en psychische zorg. Informatiebeveiliging in de Zorg 32

33 Uit de casestudie blijkt dat de beschikbaarheid van gegevens en gegevensverwerkende systemen steeds belangrijker wordt gevonden, onder meer door de uitbanning van papieren dossiers. Daarnaast worden behandelingen ook steeds verder van huis uitgevoerd, niet per definitie in de polikliniek in het eigen dorp of het ziekenhuis in de naburige stad. Behandelingen vinden plaats daar waar de expertise of capaciteit beschikbaar is. Uit de casestudies is gebleken dat het belang van beschikbaarheid van de digitale dossiers wordt bepaald door: - Hoever de instelling is met het digitaliseren van patiëntdossiers. Sommige instellingen gebruiken nog papieren dossiers. Dit resulteert in andere beveiligingsmaatregelen, dan wanneer alle gegevens digitaal worden opgeslagen. - Het type zorg of behandeling. Niet voor alle typen zorg en behandelingen is het van belang dat de gegevens altijd direct beschikbaar zijn. Uit de benchmark van Ernst & Young blijkt echter dat ondanks het feit dat de beschikbaarheid belangrijk wordt gevonden, de scores op deze onderdelen laag uitvallen [Benchmark, 2011]. Uit de casestudies blijkt dat veel goede technische maatregelen zijn getroffen door de zorginstellingen, maar dat de (organisatorische) samenhang van deze maatregelen, het inbedden van de maatregelen in een continuïteits- of calamiteitenplan en het periodiek onderhouden van deze plannen vaak nog onbreekt. Uit de casestudies blijkt verder dat voor de behandelingen die worden uitgevoerd in de somatische zorg, de beschikbaarheid van patiëntgegevens van groter belang is dan bij psychische aandoeningen. In de keuze voor de behandeling in de somatische zorg wordt meer gebruik gemaakt van eerdere onderzoeksresultaten zoals bijvoorbeeld labuitslagen. Deze zijn doorgaans opgeslagen in een elektronisch dossier. Een uitzondering is de beschikbaarheid van het Elektronisch Medicatie Dossier, deze is voor beide typen zorg van evenveel belang. Integriteit In de literatuurstudie is naar voren gekomen dat bij de uitoefening van de zorgverlening de kwaliteit van informatie en daarmee de ICT infrastructuur essentieel is. Van de informatie in het EPD wordt verwacht dat deze juist is. Verkeerde informatie kan leiden tot medische fouten. De meeste informatie wordt ingevoerd door personeel. Van handmatige invoer is bekend dat hierbij gemakkelijk fouten kunnen worden gemaakt. Uit de casestudies is gebleken dat het NVZ toetsingsreglement zich voornamelijk richt op de beschikbaarheid en vertrouwelijkheid van gegevens en in mindere mate op de integriteit. De integriteit wordt in het toetsingsreglement getoetst middels de vraag: Hoe waarborgt de instelling dat alleen daartoe bevoegde functionarissen gegevens inzien en eventueel bewerken?. Doordat bij deze vraagstelling een brede interpretatie mogelijk is, hebben zorginstellingen veelal geen controlemechanismen ingevoerd om de integriteit van gegevens adequaat te borgen. Men vertrouwt op degene die de informatie invoert. In de casestudies is geen verschil naar voren gekomen tussen de somatische en psychische zorg. Tevens blijkt uit de casestudies dat de EPD s bij de onderzochte zorginstellingen, niet verder komen dan de 3 e generatie EPD de Helper en vaak zelfs blijven steken bij generatie 1 of 2 (zie hoofdstuk 3.2). Informatiebeveiliging in de Zorg 33

34 4.3. Aanvullende maatregelen Naar aanleiding van de uitgevoerde casestudies zijn samenvattend de volgende aanvullende maatregelen te benoemen, om de beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens in elektronische dossiers te borgen: - De NEN 7510 is gericht op de gehele zorgsector. De keten van informatiebeveiliging is zo sterk als de zwakste schakel, waardoor het de aanbeveling verdient het toezicht integraal op de gehele zorgsector te richten en niet alleen op de ziekenhuizen. - Toetsing vindt plaat op basis van het NVZ toetsingsreglement, welke niet integraal de volledige norm NEN 7510 dekt. Het verdient aanbeveling toetsing te laten plaatsvinden op basis van de gehele norm in plaats van een subset. Alleen op die manier kan worden voldaan aan de eisen, gesteld aan informatiebeveiliging door de toezichthouders IGZ en Cbp. - Privacy is geen expliciet onderdeel van de NEN Daarom is het noodzakelijk zorginstellingen naast toetsing van de NEN 7510 ook een privacy audit te laten uitvoeren. Op deze wijze kan adequater invulling worden gegeven aan de richtlijnen voor privacy die voldoen aan de eisen gesteld in de Wbp. Hierbij moet bijvoorbeeld gedacht worden aan de doelbinding en de rechten van betrokkenen bij het verwerken van vertrouwelijke medische gegevens. In het kader van privacy zou het toezicht het beste belegd kunnen worden bij het Cbp. - Het algemene beeld is dat integriteit als kwaliteitsaspect in het NVZ toetsingsreglement is onderbelicht. Zorginstellingen zouden aanvullende maatregelen moeten treffen om de integriteit in hogere mate te waarborgen. Hierbij kan bijvoorbeeld worden gedacht aan invoercontroles of meer concrete invulling van normen voor het inrichten van een gedegen autorisatiestructuur. - De verantwoordelijkheid voor de implementatie van informatiebeveiliging wordt soms bij de ICTafdeling gelegd. Hierdoor lijkt het alsof implementatie voornamelijk een IT-project is. Het verdient aanbeveling de verantwoordelijkheden voor het implementeren van informatiebeveiliging bij de eigenaren van de verschillende bedrijfsprocessen te leggen. Proceseigenaren hebben het beste zicht op de te beveiligen informatie in het proces waarvoor zij verantwoordelijk zijn. Op deze wijze wordt actief bijgedragen aan het bewustwordingsproces en een eenzijdige kijk op het geheel voorkomen. Dit vergroot het draagvlak binnen de organisatie, waarmee de kans op een succesvolle implementatie aanzienlijk wordt vergroot Slotopmerkingen Uit de hiervoor behandelde casestudies is ondermeer gebleken dat het NVZ toetsingsreglement zich voornamelijk richt op de beschikbaarheid en vertrouwelijkheid van gegevens en in mindere mate op integriteit. Welk aspect in de zorg op de eerste plaats komt is mede afhankelijk van het soort ziekte of aandoening. Doordat ziekten met een vertrouwelijk karakter relatief vaker voorkomen in de psychische zorg, is het voor de hand liggend dat binnen de psychische zorg meer aandacht is voor vertrouwelijkheid en binnen de somatische zorg meer aandacht is voor beschikbaarheid. De casestudies bevestigen dat de mate van toezicht op het onderwerp informatiebeveiliging bij de ziekenhuizen een positieve invloed heeft gehad op de implementatie. Doordat de IGZ heeft bepaald dat in 2010 alle ziekenhuizen (niet de ggz-instellingen) door middel van een IT audit moeten aantonen dat zij voldoen aan de NEN 7510, zijn de ziekenhuizen verder met de implementatie dan de ggz-instellingen. Verder blijkt dat informatiebeveiliging veel meer is dan uitsluitend techniek. Het is meer een verandertraject binnen de organisatie. Het veranderen van gedrag, cultuur en het creëren van bewustzijn in een organisatie is veelal een tijdrovend traject. Het is belangrijk te benadrukken dat informatiebeveiliging een continu proces is dat niet ophoudt na een periodieke beoordelingsronde. Informatiebeveiliging in de Zorg 34

35 5. Conclusie 5.1. Inleiding In dit hoofdstuk worden de kernpunten uit het onderzoek nogmaals uiteengezet. In 5.2. wordt allereerst een antwoord gegeven op de deelvragen, ten einde in 5.3. een antwoord te geven op de centrale onderzoeksvraag Beantwoording deelvragen Voor het uitvoeren van dit onderzoek zijn vijf deelvragen geformuleerd die helpen een antwoord te geven op de centrale onderzoeksvraag. Hieronder wordt samenvattend per deelvraag een antwoord gegeven. 1. Wat houdt informatiebeveiliging in de zorg in? Onder informatiebeveiliging in de zorg wordt verstaan, het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. Welke vorm informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd passend beveiligd te zijn. 2. Welke gangbare normeringen en standaarden ten aanzien van informatiebeveiliging zijn gebruikelijk in de zorgsector? Voor informatiebeveiliging in de zorg is door het Nederlands Normalisatie-instituut een norm ontwikkeld voor de zorgsector in Nederland, de NEN Deze norm is gebaseerd op de code voor informatiebeveiliging (ISO 27002). De NVZ heeft een toetsingsreglement opgesteld op het gebied van informatiebeveiliging in zorg. Dit is een samenstelling van normen uit de NEN Het reglement heeft als doel de ziekenhuizen in Nederland in staat te stellen aan te tonen dat zij voldoen aan meest kritische punten uit de NEN Dit toetsingsreglement is gehanteerd bij de audits die hebben plaatsgevonden bij de ziekenhuizen. Deze audits zijn door de IGZ verplicht gesteld. 3. Op welke wijze is de informatiebeveiliging voor de elektronische dossiers verankerd in wet- en regelgeving? Volgens artikel 13 Wbp dient de verantwoordelijke voor de verwerking van persoonsgegevens, in het kader van dit onderzoek de zorginstellingen, passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen. Daarnaast dient op grond van artikel 2 Kwaliteitswet Zorginstellingen, een zorginstelling verantwoorde zorg aan te bieden. De IGZ en Cbp zien de NEN 7510 als een gezaghebbende sectorale uitwerking van artikel 13 Wbp en daarom als dé norm waaraan getoetst dient te worden. Daarbij zou voldaan zijn aan de eis om verantwoorde zorg te bieden. 4. In hoeverre wordt naleving van de wettelijk gestelde eisen aan de digitale dossiervorming in de somatische en psychische zorg geborgd? Informatiebeveiliging in de Zorg 35

36 Gelet op het wettelijk kader en het toezicht daarop, blijkt dat er geen onderscheid wordt gemaakt voor de beveiliging van gegevensuitwisseling en -vastlegging binnen de somatische of psychische zorg. De IGZ is de voornaamste toezichthouder als het gaat om de controle op informatiebeveiliging in de gezondheidszorg aan de hand van de norm NEN In de praktijk blijkt dat er echter wel een verschil is in de manier waarop toezicht wordt uitgevoerd door de IGZ. De (IGZ) heeft bepaald dat in 2010 alle ziekenhuizen in Nederland door middel van een IT audit moeten aantonen dat zij voldoen aan de informatiebeveiligingsnorm NEN Welke maatregelen dienen (nog) te worden genomen om de beveiliging van vitale informatie te waarborgen in elektronische dossiers? Samenvattend zijn de volgende aanvullende maatregelen te benoemen, om de beschikbaarheid, integriteit en vertrouwelijkheid van medische gegevens in elektronische dossiers te borgen: - De NEN 7510 is gericht op de gehele zorgsector. De keten van informatiebeveiliging is zo sterk als de zwakste schakel, waardoor het de aanbeveling verdient het toezicht integraal op de gehele zorgsector te richten en niet alleen op de ziekenhuizen. - Toetsing vindt plaat op basis van het NVZ toetsingsreglement, welke niet integraal de volledige norm NEN 7510 dekt. Het verdient aanbeveling toetsing te laten plaatsvinden op basis van de gehele norm in plaats van een subset. Alleen op die manier kan worden voldaan aan de eisen, gesteld aan informatiebeveiliging door de toezichthouders IGZ en Cbp. - Privacy is geen expliciet onderdeel van de NEN Daarom is het noodzakelijk zorginstellingen naast toetsing van de NEN 7510 ook een privacy audit te laten uitvoeren. Op deze wijze kan adequater invulling worden gegeven aan de richtlijnen voor privacy die voldoen aan de eisen gesteld in de Wbp. Hierbij moet bijvoorbeeld gedacht worden aan de doelbinding en de rechten van betrokkenen bij het verwerken van vertrouwelijke medische gegevens. In het kader van privacy zou het toezicht het beste belegd kunnen worden bij het Cbp. - Het algemene beeld is dat integriteit als kwaliteitsaspect in het NVZ toetsingsreglement is onderbelicht. Zorginstellingen zouden aanvullende maatregelen moeten treffen om de integriteit in hogere mate te waarborgen. Hierbij kan bijvoorbeeld worden gedacht aan invoercontroles of meer concrete invulling van normen voor het inrichten van een gedegen autorisatiestructuur. - De verantwoordelijkheid voor de implementatie van informatiebeveiliging wordt soms bij de ICTafdeling gelegd. Hierdoor lijkt het alsof implementatie voornamelijk een IT-project is. Het verdient aanbeveling de verantwoordelijkheden voor het implementeren van informatiebeveiliging bij de eigenaren van de verschillende bedrijfsprocessen te leggen. Proceseigenaren hebben het beste zicht op de te beveiligen informatie in het proces waarvoor zij verantwoordelijk zijn. Op deze wijze wordt actief bijgedragen aan het bewustwordingsproces en een eenzijdige kijk op het geheel voorkomen. Dit vergroot het draagvlak binnen de organisatie, waarmee de kans op een succesvolle implementatie aanzienlijk wordt vergroot. Informatiebeveiliging in de Zorg 36

37 5.3. Beantwoording centrale onderzoeksvraag Wat zijn de meest essentiële verschillen op het gebied van informatiebeveiliging van de elektronische dossiers in de somatische- en psychische zorg en welke maatregelen dienen (nog) genomen te worden om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens daadwerkelijk te waarborgen? Op basis van het onderzoek blijkt dat in de wet- en regelgeving geen onderscheid naar zorgsectoren, als het gaat om informatiebeveiliging, wordt gemaakt. In de praktijk blijkt echter dat er wel verschillend wordt gehandeld binnen de somatische en psychische zorg. Gelet op de aspecten beschikbaarheid en vertrouwelijkheid is het afhankelijk van het soort ziekte of aandoening, op welk aspect meer de nadruk wordt gelegd. Doordat ziekten met een vertrouwelijk karakter relatief meer voorkomen in de psychische zorg, blijkt dat binnen de psychische zorg meer nadruk ligt op vertrouwelijkheid dan binnen de somatische zorg. Binnen de somatische zorg wordt meer de nadruk gelegd op de beschikbaarheid van gegevens, bij het nemen van beslissingen wordt doorgaans meer gebruik gemaakt van eerdere onderzoeksresultaten of labuitslagen. De integriteit van medische gegevens in elektronische dossiers is voor beide zorgsectoren van wezenlijk belang. Verder is er een verschil in de manier waarop toezicht wordt uitgevoerd door de IGZ in de somatische en psychische zorg. IGZ heeft bepaald dat in 2010 alle ziekenhuizen in Nederland door middel van een IT audit moeten aantonen dat zij voldoen aan de norm NEN Dit heeft erin geresulteerd dat ziekenhuizen verder zijn met de implementatie van NEN7510 dan ggz-instellingen. Daarnaast blijkt in de praktijk dat de ziekenhuizen verder zijn met het implementeren van technische maatregelen dan met het creëren van beveiligingsbewustzijn. Dit laatste is een van de belangrijke voorwaarden voor een succesvolle implementatie van informatiebeveiliging. Het creëren van bewustzijn blijkt veelal een lastig en langdurig traject. De aanvullend te nemen maatregelen die zijn geïdentificeerd op basis van het onderzoek zijn benoemd bij de vijfde deelvraag in de vorige paragraaf. Informatiebeveiliging in de Zorg 37

38 5.4. Discussie Tijdens het uitvoeren van het onderzoek zijn herhaaldelijk vragen naar voren gekomen die, gelet op de scope, niet nader zijn onderzocht. Vooral de vraag hoe en in welke mate privacy kan worden afgedwongen in een norm herhaalde zich. De discussie met betrekking tot privacy wordt vanuit specialisten en patiënten anders belicht dan vanuit de politiek en zorgverzekeraars. De NEN7510 wordt door de toezichthouders als verplichting opgelegd, nu nog alleen aan ziekenhuizen maar naar verwachting in de toekomst aan alle zorginstellingen, om aan te tonen dat adequaat voldaan wordt aan artikel 13 van de Wbp. Een kanttekening hierbij is dat deze norm slechts een kader schetst, waarbinnen nog steeds sprake kan zijn van onveilige verwerkingen. Daarnaast kunnen er vraagtekens worden gezet bij het verplicht stellen van de NEN7510. Het gaat hier niet om een wet maar om een standaard, wat neigt naar het ontbreken van een juridisch fundament. Een andere interessante vraag is hoe toezicht moet worden geregeld. Dit kan worden toegespitst op de verschillende zorgsectoren. Daarbij dient ernaar gekeken te worden welke maatregelen moeten volgen op de constateringen van de toezichthouder. Door publicatie van de onderzoeken kunnen zorginstellingen naam- en reputatieschade oplopen, terwijl zij mogelijk wel passende beveiligingsmaatregelen hebben getroffen, alleen voldeden deze niet volledig aan het NEN7510 kader. Het voldoen aan de NEN7510 wordt als voorwaarde gesteld om aan te mogen sluiten op het landelijk EPD. Niet iedereen is overtuigd van de meerwaarde van een landelijk EPD. Neem bijvoorbeeld de discussie in de Eerste Kamer (maart 2011). De vraag is welke invloed dit heeft op de acceptatie van de norm voor informatiebeveiliging. Verder is een belangrijke vraag wat de herziening van de NEN7510 inhoudelijk betekent voor de zorginstellingen en de maatregelen die de instellingen reeds geïmplementeerd hebben. De NEN7510 wordt herzien om aan te sluiten op de hedendaagse technieken, aangezien de norm uit 2004 stamt. Informatiebeveiliging in de Zorg 38

39 6. Reflectie Informatiebeveiliging in de zorg is een onderwerp dat ons geruime tijd bezig heeft gehouden. Zowel in de dagelijkse uitvoering van ons werk als in de publieke discussie rondom het EPD. Om die reden is de keuze van het onderzoeksonderwerp zorgvuldig tot stand gekomen. Voorafgaand aan het onderzoek waren wij in de veronderstelling dat we middels de gedefinieerde onderzoeksvragen in staat zouden zijn om te komen tot een pasklare oplossing met nog te nemen maatregelen om de veiligheid van cliënt- en patiëntgegevens in elektronische dossiers te borgen. Tijdens het onderzoek is gebleken dat dit niet zo eenvoudig is. Gewijzigde inzichten Door de actualiteit van het onderwerp zijn de inzichten tijdens het onderzoek meerdere malen gewijzigd. De resultaten van het onderzoek, in hoeverre zorginstellingen inmiddels voldoen aan de NEN 7510, zijn pas in de loop van de maand maart bekend geworden. Gelet op deze resultaten is de noodzaak van aanvullende maatregelen alleen maar groter geworden. Daarnaast is de kaderwet EPD op 15 maart bediscussieerd in de Eerst Kamer. Daaruit bleek dat er nog te weinig vertrouwen in het huidige wetsvoorstel is om deze aan te nemen. De vergadering is geschorst en zal op een later moment worden voortgezet. Voor het uitgangspunt om te komen tot aanvullende maatregelen was dit vooral van belang. Als dit wetsvoorstel was aangenomen, had de inhoud hiervan actief betrokken moeten worden in dit onderzoek. De conclusies waartoe dit onderzoek heeft geleid, worden nu enkel bevestigd door de uitslag van de discussie in de Eerste Kamer. Verder is het vermoeden in het onderzoek, dat er wel degelijk een verschil bestaat in interpretatie van informatiebeveiliging voor de somatische en psychische zorg, alleen maar bevestigd. Echter, doordat zowel in wet- en regelgeving als door het toezicht daarop geen onderscheid wordt gemaakt in verschillende zorgsectoren, blijkt in de praktijk hier ook minder aandacht voor. Voorafgaand aan het onderzoek hadden wij verwacht dat zorginstellingen meer conform de aard van de te verlenen zorg zouden handelen, als het gaat om het concreet invulling geven aan informatiebeveiliging. Vervolgonderzoek Gelet op de aard van de voorgestelde aanvullend te nemen maatregelen, is vervolgonderzoek noodzakelijk om een concrete invulling hieraan te geven. Een vervolgonderzoek moet meer inzicht geven in de volgende aspecten, om uiteindelijk te komen tot concretisering: - Onderbelichting van privacy in de NEN 7510; - Verschillen tussen het NVZ-normenkader en de NEN 7510; - Mogelijkheid van toespitsing implementatie NEN 7510 op specifieke zorgsectoren. Informatiebeveiliging in de Zorg 39

40 Bronnen Literatuur [Boot, 2005] [Dick, 1997] [Looijen, 2004] [Overbeek, 2006] [VanDale, 2010] [Wel, 2006] Boot, J.M. & Knapen, H.H.J.M. (1ste druk 1983). De Nederlandse gezondheidszorg. 11e druk. Bohn Stafleu van Loghum. Dick, R.S., Steen, E.B. & Detmer, D.E. (1997) The Computer-Based Patient Record: An Essential Technology for Health Care. Washington, D.C.: National Academy Press. Looijen, M. (2004). Beheer van Informatiesystemen. 6e druk. SDU Uitgever. Overbeek, P. Roos Lindgreen, E. & Spruit, M. (2006). Informatiebeveiliging onder controle. 2e editie. Pearson Education Benelux B.V. Van Dale Groot woordenboek van de Nederlandse taal, 14e editie Van Dale Wel, J.A. van der (2006). Informatiebeveiliging in de zorg. 1ste druk. Academic Service. Artikelen en Publicaties [Albers, 2008] [Benchmark, 2011] [Berg, 2009] [Bonthuis, 2007] [IGZ/Cbp, 2008] Albers, E.F. (2008). 'Adoption of an electronic health record: untangling a deadlock situation in four Dutch academic hospitals'. Conferentie IRIS 32, Molde Norway augustus Ernst & Young (2011). Informatiebeveiliging, een continue zorg? Ernst & Young Advisory. van Berg, S. en Kits, P. Geen keurslijf voor beveiliging van patiëntgegevens. In: Het Financieele Dagblad. 19 oktober Bonthuis, M.J. (2007). Privacy en het landelijk EPD IT's Privacy IGZ en Cbp (november 2008). 'Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm'. Onderzoek naar de informatiebeveiliging in 20 ziekenhuizen. Den Haag, november Dondorp, F. (2008). Informatie als productiefactor? 2008 Computable [Dondorp, 2008] [Dubbeldeman, 2009] Onder redactie van Dubbeldeman, R. (Deloitte Consulting, 2009). Risicomanagement meer dan de som der delen Deloitte Consulting B.v. [Ekker, 2010] Ekker, A. (2010). Vertrouwensmodel landelijke infrastructuur voor gegevensuitwisseling. Nictiz - 23 november 2010 [GGZ, 2008] O.v.v. GGZ Nederland i.s.m. Capgemini Consulting (2008). De ruggengraat van het EPD in de ggz GGZ Nederland [IGZ, 1999] Inspectie voor de Gezondheidszorg (1999). Somatische zorg in APZ-en IGZ [IGZ-H, 2008] IGZ-handhavingskader, Richtlijn voor transparante handhaving. Den Haag, 12 december 2008 Informatiebeveiliging in de Zorg 40

41 [ISO/IEC 27002:2005] Code voor informatiebeveiliging, Internation Standard, 1ste editie ISO/IEC 2005 [Jongejan, 2010] Jongejan, W.J. (2010). Structuur EPD-data nog schone schijn. Medisch Contact Nr september [Krabben, 2010] Krabben, J.A.L. (2010). Toezichtkader EPD. In opdracht van Ministerie van VWS, 13 december Versie 1.1 [Ouvry, 2005] Ouvry, A. (2005) 'Strategische overwegingen bij de keuze van een EPD voor een ziekenhuis'. NTMA 120, juni [NVZ, 2010] Lloyd s Register Nederland B.V. (2010). NVZ Toetsingsregelement Informatiebeveiliging. In opdracht van NVZ, 19 april [NZa, 2009] NZa (2009). Visiedocument. Zicht op toezicht. Uitgangspunten van effectief toezicht. NZa, maart 2009 [Overkleeft, 2005] Overkleeft, D. (2005). NEN7510 Dé norm voor informatiebeveiliging in de zorg NEN - Gezondheidszorg, Delft [PvIB, 2009] PvIB (2009). PvIB Expertbrief - Standaarden voor Informatiebeveiliging. Jaargang 5 - Nr Platform voor InformatieBeveiliging (PvIB) [Westert, 2010] Onder redactie van Westert, G.P. (RIVM, 2010). Zorgbalans 2010 De prestaties van de Nederlandse zorg RIVM, Bilthoven [Zijlstra, 2010] Zijlstra, W. (2010). Keuzes bij de invoering van NEN 7510 nader toegelicht ZBC Internetbronnen [AORTA, 2010] [Cbp, 2011] [Fact, 2011] Landelijke infrastructuur op Geraadpleegd: december College Bescherming Persoonsgegevens op Geraadpleegd: januari Factsheet; Wbsn-z op hoofdlijnen op Geraadpleegd: januari [FD, 2011] VVD torpedeert Elektronisch Patiëntendossier op FD.nl 15 maart 2011, Geraadpleegd: maart [ISACA, 2010] ISACO Netherlands Chapter op Geraadpleegd: november [ISF, 2010] About the ISF op Informatiebeveiliging in de Zorg 41

42 [ISO, 2010] [ITGI, 2010] [NEN7510, 2010] [NEN, 2010] [NICTIZ, 2010] [NIST, 2010] [ZvB, 2010] [VWS, 1999] Geraadpleegd: november About ISO op Geraadpleegd: november About ITGI op Geraadpleegd: november Uitgangspunten op Geraadpleegd: december Over NEN op Geraadpleegd: december AORTA, Geraadpleegd: december Work with NIST op Geraadpleegd: november Elektronisch Cliënten Dossier (ECD) op Geraadpleegd: december Meer aandacht nodig voor somatische zorg in psychiatrie op Geraadpleegd: december Wetten [BIG, 1993] Wet op de beroepen in de individuele gezondheidszorg (1993). Van kracht sinds 11 november [KZ, 1996] Kwaliteitswet zorginstellingen (1996) Van kracht sinds 13 februari [Wbp, 2001] Wet bescherming persoonsgegevens (2001). Van kracht sinds 1 september [Wbsn, 2008] Wet gebruik burgerservicenummer in de zorg (2008). Van kracht sinds 1 juni [WEPD, 2009] Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg (2009). Door de Tweede Kamer aangenomen op 19 februari De plenaire behandeling door de Eerste Kamer op 15 maart 2011 is geschorst. [WKCZ, 1995] Wet klachtrecht cliënten zorgsector (1995) Van kracht sinds 29 mei [WGBO, 1995] Wet geneeskundige behandelingsovereenkomst (1995). Van kracht sinds 1 april Informatiebeveiliging in de Zorg 42

43 Bijlage 1. Gespreksverslagen Gespreksverslag 1: Somatische zorg Gespreksverslag - Lichamelijke gezondheidszorg Onderwerp: Aan: Van: NEN7510 Audit Scriptie Informatiebeveiliging in de Zorg Niek Blumer en Bert van den Brink Risicoanalyse Ziekenhuis1 heeft in juli een analyse uitgevoerd ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van de zorggerelateerde processen. Hieruit blijkt dat de risico s bijzonder groot zijn. Dit wordt veroorzaakt door de mogelijke schending van beschikbaarheid en vertrouwelijkheid. Daarnaast is onderzoek gedaan naar mate van volwassenheid van de algemene beveiligingsmaatregelen. Voor dit onderzoek zijn geselecteerde maatregelen uit de internationale beveiligingsnorm ISO/IEC onderzocht. Hieruit blijkt dat de basismaatregelen momenteel nog niet op voldoende niveau zijn om een integrale risicoanalyse uit te voeren. Doordat er onvoldoende inzicht is in de volwassenheid van de algemene beveiligingsmaatregelen, zijn de bedreigingen niet geconfronteerd met de algemene maatregelen. Eventuele restrisico s zijn nog niet in kaart gebracht. Beleid & Organisatie Ziekenhuis1 beschikt over een formeel informatiebeveiligingsbeleid. Er is momenteel een nieuw beleid in ontwikkeling. Dit beleid moet nog bekrachtigd worden door de Raad van Bestuur. Hoe en op welke wijze informatie wordt uitgewisseld en hoe dit is georganiseerd, is een belangrijk punt in het toetsingsreglement. Binnen Ziekenhuis1 is een procedure voor informatie uitwisseling beschreven, deze procedure is nog niet breed bekend binnen de organisatie. Voor communicatie met derden partijen zijn er overeenkomsten afgesloten met daarin afspraken over de organisatorische- en technische eisen ten aanzien van beveiliging en uitwisseling van gegevens. Ziekenhuis1 stelt niet periodiek vast dat de gemaakte afspraken worden nagekomen. Binnen het bestuurscollege valt het aandachtgebied informatiebeveiliging binnen de portefeuille van de directeur FCI. De directeur FCI rapporteert hierover richting de Raad van Bestuur. In het privacyhandvest zijn de eisen ten aanzien van de verwerking van persoonsgegevens en hoe het Ziekenhuis1 hier mee omgaat beschreven. Daarnaast is er binnen Ziekenhuis1 een privacycoördinator aangesteld De naleving van het privacybeleid wordt echter niet getoetst binnen Ziekenhuis1. Het is niet mogelijk om via logging van de raadplegingen achteraf controle te laten plaatsvinden op de rechtmatigheid van de raadpleging van gegevens. Iedere maand wordt er een rapportage met beveiligingsmeldingen opgesteld. In deze rapportage zijn alle meldingen met de status en afhandeling opgenomen. Informatiebeveiliging in de Zorg 43

44 Personeel In de arbeidsovereenkomst wordt in artikel 10 verwezen naar de geheimhoudingsplicht van de medewerker. In het arbeidscontract wordt niet expliciet verwezen naar het informatiebeveiligingsbeleid of andere gedragsregels. Voor externe medewerkers geldt dat deze een overeenkomst moeten ondertekenen alvorens ze toegang krijgen tot de systemen van Ziekenhuis1. Een belangrijk onderdeel van informatiebeveiligng is de bewustwording van de medewerkers. Om de bewustwording te vergroten is een communicatieplan opgesteld. De eerste versie van het communicatieplan is in 2006 opgesteld en in de loop van de jaren aangepast (verfijnd). Het huidige communicatieplan heeft een looptijd van Q t/m Q Ruimten & Apparatuur De in gebruik zijnde gebouwen voldoen aan de eisen uit het bouwbesluit en gebruiksbesluit, hiervan heeft Ziekenhuis1 een gebruiksvergunning van de brandweer. Ziekenhus1 beschikt over een tweetal serverruimten (MER's), verdeelt over de twee locaties. Deze ruimten zijn voorzien van brandmelding en een blusgasinstallatie. Tevens zijn de ruimten voorzien van klimaatbeheersing (d.m.v. eigen airconditioning) en zijn de ruimten aangesloten op de noodstroomvoorziening (dieselaggregaat). Toegang tot het pand is niet afgeschermd aangezien het pand vele openbare ruimtes heeft. Wel wordt het gebouw en het terrein 24 uur per dag en 7 dagen per week bewaakt. Belangrijke en kritische ruimtes zijn evenwel wel beveiligd. Voor toegang tot belangrijke ruimtes wordt binnen Ziekenhuis1 gebruik gemaakt van een gebouwbeheersysteem met toegangspassen. De serverruimtes (Main Equipment Rooms: MER s) zijn afgeschermd middels toegangspassen welke aan een beperkt aantal medewerkers beschikbaar zijn gesteld. Er is binnen Ziekenhuis1 een clear desk en clear screen beleid aanwezig. De naleving van het clear desk beleid wordt echter nog niet getoetst. Continuïteit Er is een overkoepelend calamiteitenplan voor Ziekenhuis1. Daarnaast is er voor IT een werkwijze (procedure) beschreven voor de afhandeling van IT-calamiteiten. Voor de bedrijfskritische applicatie zijn er noodprocedures (DROP) beschreven. Voor het EZIS zijn er noodsystemen ingericht, dit zijn laptops die in de serverruimte staan en om de 15 minuten een dump krijgen van de EZIS database in het geval van een calamiteit worden de laptops naar de afdelingen gebracht. De Laptops zijn ingericht als alleen lezen machine. Daarnaast is de dataopslag gespiegeld opgeslagen op een tweede server en gespiegeld opgeslagen over de twee locaties. Informatiebeveiliging in de Zorg 44

45 Alle afdelingen hebben noodprocedures beschreven met betrekking tot hoe te handelen in het geval van een calamiteit. Het afgelopen jaar heeft er een noodstroom test plaats gevonden. Deze test is na de tijd geëvalueerd. Identificatie, authenticatie en autorisatie Ziekenhuis1 beschikt over een formele procedure voor het aanmaken, wijzigen of verwijderen van autorisaties. Autorisatieaanvragen moeten door middel van een digitaal formulier worden aangevraagd bij IT. Op dit formulier vult het Unithoofd/afdelingshoofd welke rechten een medewerker nodig heeft. De helpdesk IT geeft het formulier vervolgens door aan de autorisatiebeheerder EZIS. Het Unithoofd/afdelingshoofd is verantwoordelijk voor het tijdig melden van een medewerker die uitdienst gaat. Hiervoor is een formulier uitdiensttreding. Daarnaast ontvangt IT maandelijks een overzicht vanuit HRM met uitdienstmeldingen. Aan de hand van deze lijst wordt voor de personen die nog actief zijn in het systeem navraag gedaan bij de leidinggevende of de medewerker uitdienst is. Zoja, dan wordt het account gedeactiveerd. Binnen Ziekenhuis1 wordt geen gebruik gemaakt van groepsaccounts voor het aanloggen in EZIS. Voor het aanloggen op het netwerk wordt nog wel gebruik gemaakt van groepsaccounts. Voor het EZIS gelden er geen wachtwoord restricties. Wel worden gebruikers door middel van de bewustwordingscampapgne gewezen op het feit dat ze gebruik moeten maken van sterke wachtwoorden. Ziekenhuis1 beschikt niet over een formele procedure voor het periodiek onderhouden en indien nodig wijzigen van gebruikersrechten en profielen. Arts De beschikbaarheid van de systemen kan beter. Er zijn wel procedures voor het niet beschikbaar zijn van systemen. Op het gebied van vertrouwelijkheid zijn er soms issues, medewerkers worden hierop aangesproken. Het uitwerken van een goede autorisatiestructuur kost veel tijd. Beveiligingsincidenten zijn een vast onderdeel tijdens het dagelijkse werkoverleg. Met vriendelijke groet, Informatiebeveiliging in de Zorg 45

46 Gespreksverslag 2: Psychische zorg Gespreksverslag - Geestelijke gezondheidszorg Onderwerp: Aan: Van: NEN7510 Audit Scriptie Informatiebeveiliging in de Zorg Niek Blumer en Bert van den Brink Risicoanalyse Ggz instelling1 heeft geen formele risicoanalyse uitgevoerd, wel een nulmeting met BIV classificatie. Een aantal jaar geleden is op basis van het informatiebeveiligingsbeleid een nulmeting uitgevoerd. Op basis van de nulmeting zijn destijds uit te voeren acties uitgezet en zijn medewerkers als eigenaar van de actie aangewezen. De nulmeting is verouderd en wordt niet periodiek herzien en onderhoud op gepleegd. Beleid & Organisatie Op basis van de maatregelen gedefinieerd in de BIV inventarisatie heeft ggz instelling1 een informatiebeveiligingsbeleid opgesteld. Ggz instelling1is in 2006 begonnen met het informatiebeveiligingsbeleid. Het is in 2009 en 2010 bijgewerkt. Het informatiebeveiligingsbeleid is nog niet door de Raad van Bestuur bekrachtigd. De activiteiten met betrekking tot informatiebeveiliging worden binnen ggz instelling1 bewaakt door de stuurgroep informatiebeveiliging. De rol van de stuurgroep informatiebeveiliging is binnen ggz instelling1 belegd bij de ICT Commissie, de samenstelling wordt vanuit de versschillende invalshoeken gekozen: - eindverantwoordelijk, (Portefeuillehouder informatiebeveiliging Raad van Bestuur) - ICT-verantwoordelijke van de Instelling (Hoofd ICT) - Financieel,Controle en Informatie (Hoofd FCI) - Kwaliteit verantwoordelijke van de instelling (Hoofd Kwaliteit) - Zorgmanager(s) (Manager(s) bedrijfsvoering en zorginhoud) Er zijn geen overeenkomsten met derde partijen over de organisatorische- en technische eisen ten aanzien van beveiliging en uitwisseling van (cliënt) gegevens. Ggz instelling1 beschikt over protocollen hoe om te gaan met de verwerking van persoonsgegevens en hoe het ggz instelling1 hier mee omgaat. Daarnaast is er een privacycoördinator aangesteld. Indien de betrokkene van mening is dat de privacy is geschonden, kan de betrokkene een klacht indienen bij de klachtencommissie van ggz instelling1 of het CBP. Geheimhouding is een onderdeel tijdens de introductie dag van nieuwe medewerkers. De naleving van de privacy protocollen wordt echter niet getoetst binnen ggz instelling1. Er is geen beleid op logging van het gebruik van de noodknop in User. Hierdoor is het niet mogelijk om via logging van de raadplegingen achteraf controle te laten plaatsvinden op de rechtmatigheid van de raadpleging van gegevens. Informatiebeveiliging in de Zorg 46

47 Personeel In de arbeidsovereenkomst is onder artikel 13 de geheimhoudingsplicht van werknemer opgenomen. In het arbeidscontract wordt niet expliciet verwezen naar het informatiebeveiligingsbeleid of andere gedragsregels. Voor externe medewerkers is een (voorbeeld) overeenkomst opgesteld, met daarin eisen ten aanzien van geheimhouding van alle informatie die hem ter kennis zijn gekomen en/of die hij gedurende of door deze overeenkomst heeft verworven. Deze overeenkomst wordt echter nog niet toegepast binnen ggz instelling1. Een belangrijk onderdeel van informatiebeveiligng is de bewustwording van de medewerkers. ggz instelling1 beschikt niet over een communicatie- en/of opleidingsplan om de bewustwording onder medewerkers te vergroten en te trainen. Ruimten & Apparatuur De in gebruik zijnde gebouwen voldoen aan de eisen uit het bouwbesluit en gebruiksbesluit, hiervan heeft ggz instelling1 een gebruiksvergunning van de brandweer. Daarnaast beschikt ggz instelling1 over een noodstroom aggregaat, die in het geval van een stroomstoring in werking treedt. Zoals veel instellingen is toegang tot het pand niet afgeschermd aangezien het pand openbare ruimtes heeft. Belangrijke en kritische ruimtes zijn evenwel wel beveiligd met een slot. Ggz instelling1 maakt gebruik van sleutels voor het afschermen van beveiligde ruimten. Om in het bezit te komen van een sleutel voor beveiligde ruimten is sleutelprocedure. Het hoofd Automatisering moet de sleutel aanvraag indienen bij facilitair. Bij ontvangst van de sleutel moet de medewerker een formulier ondertekenen (ter bevestiging van ontvangst). Het gebruik van sleutels voldoet niet meer aan de eisen van ggz instelling1, omdat dit te weinig mogelijkheden biedt voor het differentiëren in beveiligingszones en het niet mogelijk is de toegang tot beveiligde ruimten te monitoren. Inde Main Equipment Room (MER) is een UPS aanwezig is. Voor langdurige stroomuitval is tevens een noodaggregaat aanwezig. Deze voorzieningen worden periodiek getest/gecontroleerd. In de MER zijn geen brandblusinstallaties aanwezig. Binnen ggz instelling1 is nog geen clear desk en clear screen policy beschreven. Systemen worden wel automatisch na 480 seconden gelockt met een screensaver. Om uit de screensaver te komen, moet de gebruikers zijn of haar wachtwoord intoetsen. Continuïteit Er zijn geformaliseerde back-up-procedures voor servers en databases. Deze worden dagelijks uitgevoerd en gecontroleerd. Dagelijks vindt er een controle plaats of de back-ups zijn gelukt. De restoreprocedure wordt nog niet regulier getest. Het terugzetten van de back-up wordt momenteel in praktijksituaties (bij incidenten) getest waarbij bestanden worden teruggehaald van gebruikers. Hiervan vindt geen vastlegging plaats. Ggz instelling1 heeft, afhankelijk van de grootte van de calamiteit recovery scenario s beschreven. Informatiebeveiliging in de Zorg 47

48 In het geval van een calamiteit voor User kan ggz instelling1 gebruik maken van een terugvalsysteem. Dit terugvalsysteem staat fysiek op een andere locatie, de gegevens hiervan worden iedere 10 minuten bijgewerkt vanuit de normale cliëntendatabase (ECD/User). Als het systeem eenmaal actief is kan één medewerker vanaf de locatie XX het terugval-ecd (User) bedienen. Uit onze gesprekken komt dat deze voorziening niet bekend is bij betreffende functionarissen. In het geval van grote calamiteiten kan ggz instelling1 terugvallen op de uitwijkkoffer, opgeslagen op een externe locatie. Deze koffer wordt maandelijks geactualiseerd en bevat alle informatie om de ICT organisatie naar een aanvaardbaar niveau terug te brengen. Er wordt niet periodiek getoetst of deze maatregelen het gewenste resultaat kunnen bereiken in het geval van een verstoring of calamiteit. Identificatie, authenticatie en autorisatie Ggz instelling1 beschikt over een formele procedure voor het aanmaken, wijzigen of verwijderen van autorisaties Binnen User wordt gebruik gemaakt van verschillende rollen om autorisaties te kunnen regelen op tabellen, menu s, modules, acties en dossier/agendatoegang. Om het toekennen van rollen te vereenvoudigen is het mogelijk om een aantal rollen samen te voegen tot een profiel. Het profiel wordt uiteindelijk toegekend aan een gebruiker en daarmee ook de in het profiel opgenomen rollen. Ggz instelling1 kan zelf de profielen samenstellen. In User zijn een aantal speciale rollen te onderscheiden. Daarnaast beschikt ggz instelling1 nog niet over een procedure voor het periodiek onderhouden en indien nodig wijzigen van gebruikersrechten en profielen. Arts De uitval van systemen is vervelend als er acute zaken zijn. Vertrouwelijkheid speelt een belangrijke rol bij de digitale dossiers. Maken geen gebruik van VIPS maar hebben fatsoensregels binnen de instelling. Met vriendelijke groet, Informatiebeveiliging in de Zorg 48

49 Verslag 3: NVZ Auditors bijeenkomst Gespreksverslag Auditors bijeenkomst NVZ Aan: Scriptie Van: Niek Blumer en Bert van den Brink Datum: September 2010 Aanwezig: Maarten Fischer (NVZ beleidsadviseur ICT/EPD) De doelstelling van de bijeenkomst is om met de verschillende audit partijen de aanpak voor de audit op basis van het NVZ toetsingsreglement af te stemmen: Methode van auditing die wordt gehanteerd; Gelijke verslaglegging; Gelijke meting/score. De IGZ gaat een handhavingsplan voorbereiden voor de beoordeling van de audits. Zij moeten per slot van rekening iets met de uitslagen van de audits. IGZ wil geen voorspelbare audits krijgen en daarom zal het handhavingskader laat bekend worden gemaakt. De IGZ wil dat instellingen duidelijk hebben waar de risico s zitten en dat ze deze beoordeeld hebben om te laten zien hoe ze de risico s beheersen. De audit moet behalve dat op z n minst een indicatie geven of ze hun informatiebeveiliging op orde hebben, wat er aan schort en wat er dus nog gedaan moet worden. Ter verduidelijking van de te geven scores is de NIAZ norm uitgereikt. Score Omschrijving Het normelement krijgt weinig of geen aandacht of er zijn uitsluitend plannen om met het normelement aan de slag te gaan. Het normelement is op projectbasis of slechts op beperkte schaal in de instelling of werkeenheid geïmplementeerd of de kwaliteitscyclus is nog niet doorlopen. Het normelement is geïmplementeerd op alle voor de kwaliteit meest kritieke plaatsen in de instelling of werkeenheid en de kwaliteitscyclus is tenminste eenmaal doorlopen. Het normelement is breed in de instelling of werkeenheid geïmplementeerd en het doorlopen van de kwaliteitscyclus heeft een structureel karakter. De implementatie van informatiebeveiliging binnen een ziekenhuis kan als voldoende worden beschouwd, als er minimaal een maturity level van 2 is behaald per cluster. De score per cluster bestaat uit een niet gewogen gemiddelde van de normen per cluster. De norm Bescherming van persoonsgegevens, is vanuit de minimum eis van het NVZ beperkt ingevuld. De vraag is op welke wijze dient deze norm te worden getoetst? Deze norm kan namelijk erg breed worden ingestoken, maar ook erg smal. Tijdens de bijeenkomst is afgesproken dat de procedures en vastlegging rondom de privacy functionaris en de toetsing hiervan marginaal dienen te worden getoetst. Informatiebeveiliging in de Zorg 49

50 De audit dient zich uitsluitend te richten op de zorggerelateerde informatie, activiteiten en procedures. Voor het toetsen van de kwaliteit van de intern uitgevoerde risicoanalyse worden in het toetsingsreglement beperkte handreikingen gegeven. Het oordeel over de risicoanalyse dient een kwalitatief oordeel te zijn. Het is aan de audit partijen zelf om een keuze te maken hoeveel mensen er geïnterviewd dienen te worden en welke documentatie bekeken dient te worden. De audit partij moet op basis hiervan een voldoende onderbouwd oordeel kunnen geven over de inrichting van informatiebeveiliging. Met vriendelijke groet, Informatiebeveiliging in de Zorg 50

51 Verslag 4: Hand-outs - Bijeenkomst Ernst & Young en Holland van Gijzen Informatiebeveiliging in de Zorg 51

52 Informatiebeveiliging in de Zorg 52