Informatiebeveiliging. Gezondheidszorg



Vergelijkbare documenten
Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

ier Veiligheidseisen en datahygiëne Dossiers op orde en beschikbaar!

Elektronisch patiëntendossier (EPD)

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

NEN 7510 Kwalitatief goede zorg is óók zorg voor beveiliging patientgegevens

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Privacyreglement HAP S. Broens

BEVEILIGINGSARCHITECTUUR

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Praktijkmanagement in de huisartspraktijk

Met welke aspecten van Ehealth heeft de Inspectie Gezondheidszorg te maken?

Privacyreglement versie: 1 auteur: Wieneke Groot invoerdatum: maart 2014 vaststellingsdatum: herzieningsdatum: september 2015

Position Paper. Voorstel van Wet maatschappelijke ondersteuning 2015 (kamerstukken ) Ingebracht door de KNMG en GGZ Nederland

AVG Routeplanner voor woningcorporaties

Informatiebeveiliging

Artikel 39 vragen van de fractie van D66 over privacy decentralisaties

Vergoedingen en polisvoorwaarden zorgverzekering

Informatiebeveiliging en Privacy; beleid CHD

Generieke overdrachtsgegevens in Nederland

Eventjes iets uitwisselen. Maar dan begint het pas,.

Impact van NEN 7510 voor u Eerstelijns presentatie vanuit NHG, LHV, InEen en KNMP

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

QUOTE-questionnaire for disabled persons

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Uw medische gegevens elektronisch delen? Alleen met uw toestemming!

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

3-daagse Masterclass Zorg ICT: EPD en ehealth toepassingen in de zorg

Elektronische gegevensuitwisseling in de Zorg. Consultsessie Fysiotherapie Informatieberaad

Verkenning Veilige Informatie-uitwisseling in de Keten

Visie op GGZ portaal Parallelsessie Gegevensoverdracht. EZDA Seminar Michiel Kooper, Lonneke Reuser

Waarom een Keurmerk Fysio-EPD? -verwachtingen -van u, van uw patiënt, van de overheid, van uw samenwerkingspartners, van uw IT leverancier, van mij

VRAGEN EN ANTWOORDEN over de elektronische uitwisseling van medische gegevens

DE MELDCODE IN UW PRAKTIJK

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Feiten en Fabels over patiëntgegevens

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Informatiebeveiligingsbeleid

GEÏNTEGREERDE THUISZORG

NHG/LHV-Standpunt. Het elektronisch huisartsendossier (H-EPD) Gelukkig staat alles in mijn dossier, dokter. standpunt

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Privacyreglement Huisartsenpraktijk Kloosterpad

DIGITALE ZORG EN PRIVACY

Berry Kok. Navara Risk Advisory

Hoe implementeer je de NEN7510?

Informatiebeveiliging

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Aan welke eisen moet het beveiligingsplan voldoen?

Thuiszorg die bij ú past

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

Gemeente Alphen aan den Rijn

Hyarchis.Net MKB. Hyarchis.Net MKB voor efficiënte ondernemers. Stroomlijn al uw digitale- en papierstromen

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Veilig leren werken met medische hulpmiddelen

NEN 7510: Een kwestie van goede zorg

Van idee tot ICT Oplossingen

TOESTEMMING MEDISCHE GEGEVENS POLIKLINIEK LONGZIEKTEN

Projectplan overzicht (deel 1)

Informatie over uw privacy. JGZ Zuid-Holland West

getronicspinkroccade.nl EPD en BiSL! 13 e EPD-ICT Congres NVMA 12 juni 2008 Thijs de Jong Senior adviseur en trainer

Evaluatie Elektronisch Patiëntendossier (EPD)


Hoofdstuk MANAGEMENT VAN MIDDELEN

Het EPD in het JBZ. Programma Digitaal Werken Bossche Samenscholingsdagen 5 oktober 2014

Tentamen SPM1120 Analyse van bedrijfssystemen 18 Januari 2011, 9:00-12:00

Open Data bij de Vlaamse overheid. 19 juni 2015

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Mijn 7 grootste inzichten in ICT in de zorg uit de afgelopen 15 jaar

Kijken, kiezen, maar wat te kopen?

Ruud Janssen, Lectoraat ICT-innovaties in de Zorg, Hogeschool Windesheim

Informatiebeveiligingsbeleid

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Checklist Beveiliging Persoonsgegevens

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders

Het Patiëntgeheim. position paper Patiëntenfederatie Nederland

PRIVACYSTATEMENT OZOVERBINDZORG

ehealth en interoperabiliteit

Doelen, randvoorwaarden een eerste stappen voor het financieren van preventieve interventies via populatie gebonden bekostiging

E-health in mijn zorginstelling: waar kijkt de inspectie naar?

Doeltreffende zorg, direct en dichtbij

Elektronisch Patiëntendossier (EPD) in de Belgische ziekenhuizen. MIC 2016 Digitale transformatie in de zorg

IMPLEMENTATIE VAN INFORMATIESTANDAARDEN IN EEN EPD AMC/VUMC

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011

De spreker(s) Andy Martherus. Fred Bakhuis. Admiraal de Ruyter Ziekenhuis Project Officer Dagelijks contact Opdrachtgever

Transcriptie:

IBGZ Informatiebeveiliging Gezondheidszorg Fabels en feiten over informatiebeveiliging Med. Drs. Hossein Nabavi Drs. Jaap van der Kamp CISSP Er bestaan heel wat misverstanden over informatiebeveiliging bij zorgverleners. Deze misverstanden kunnen de basis zijn van weerstand tegen informatiebeveiliging. Met dit artikel willen we deze misverstanden uit de wereld helpen. Maar elke misverstand heeft ook een deel van de waarheid in zich. Dit artikel brengt al die delen bijeen voor een beter inzicht over informatiebeveiliging en lezers kunnen na het lezen van dit artikel onderscheid maken tussen fabels en feiten over informatiebeveiliging. Fabel: Informatiebeveiliging staat mijlen ver af van de zorg. Feit: Informatie is core business voor elke zorgverlener. Informatie is uw core business. Puttend uit de medische gegevens van de patiënt diagnosticeert de arts, de arts maakt beleid en de arts en de assistent geven begeleiding, dus kennis mee aan de patiënt. Om goede zorg te bieden moet de zorgverlener altijd beschikken over de juiste gegevens. Figuur 1 maakt dit duidelijk. Welk beroep in de medische wereld men ook uitoefent, één ding staat vast: elk verstoring in de gegevensstroom kan leiden tot het nemen van verkeerde medische beslissingen. Een dergelijke verstoring vormt een rechtstreekse bedreiging voor de patiëntveiligheid, de kwaliteit van de zorg en de continuïteit van de zorgverlening.

Figuur 1 De relatie tussen informatie en patiëntveiligheid. Verstoring van de informatiestroom heeft een negatieve invloed op de kwaliteit van de behandeling, op de veiligheid van de patiënt en op de continuïteit van de bedrijfsvoering. Fabel: Informatiebeveiliging gaat over privacy. Feit: Informatiebeveiliging gaat ook over privacy. Maar het houdt zoveel meer in. De NEN 7510, de Norm voor Informatiebeveiliging in de Zorg, benoemt een aantal aspecten dat de gezamenlijk de basis vormt voor informatiebeveiliging: Vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname; Integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; Beschikbaarheid: het zeker stellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers. Een goede informatiebeveiliging is te vinden in een weloverwogen balans tussen deze drie onderdelen. Fabel: Informatiebeveiliging is een verlengstuk van het landelijk EPD. Feit: De komst van het EPD heeft ervoor gezorgd dat er veel gediscussieerd wordt over informatiebeveiliging. Door elektronische gegevensopslag en - uitwisseling zijn medische gegevens in principe voor ieder overal bereikbaar geworden en is het belang van informatiebeveiliging sterk toegenomen. Verscheidene zorgverleners en patiënten (cliënten) menen dat informatiebeveiliging alleen betrekking heeft op het EPD. Echter, informatiebeveiliging is zo oud als de artseneed. Informatiebeveiliging vormt een onderdeel van de morele verplichting van elke zorgprofessional, eigenlijk al sinds 2500 jaar. De laatste tientallen jaren is deze verplichting ook juridisch geborgd in verscheidene wetten. Informatiebeveiliging is dus geen verlengstuk van het EPD. Fabel: Informatiebeveiliging gaat over ICT. Feit: Informatiebeveiliging begint bij de visie en missie van een organisatie en werkt door in de bedrijfsvoering en in het gedrag van elke betrokkene. ICT is een hulpmiddel en, door de massaliteit van gegevensopslag en transport en de rol in beslissingsondersteuning, codering en logistiek, een substantieel risico.

ICT is één van de hulpmiddelen om zorgvuldig met informatiebeveiliging om te gaan. Informatiebeveiliging wordt allereerst vertaald naar een informatiebeveiligingsbeleid, afgeleid uit de visie en missie van een organisatie. In dit beleid staat welke informatie waarom van belang is. Ook wordt duidelijk wie verantwoordelijk is voor bijvoorbeeld de praktijk, voor contracten met leveranciers en medegebruikers van de praktijk etc. Op basis van een risico-inventarisatie en evaluatie (RIE) worden afwegingen gemaakt en wordt het beleid verder vorm gegeven. Niet alleen op managementniveau worden dergelijke afwegingen gemaakt, ook op persoonlijk niveau is dit dagelijkse kost. Gebruik je onbeveiligde e-mail voor vertrouwelijke gegevens, doe je je deur op slot bij het verlaten van je werkruimte? Informatiebeveiliging moet gedragen worden door iedereen, het is de hygiëne van de informatie huishouding. Fabel: Informatiebeveiliging kost veel tijd en geld. Feit 1: Informatiebeveiliging kost geen extra tijd maar levert juist tijd op. Door in een goed informatiebeveiligingsbeleid een heldere toedeling van verantwoordelijkheden te omschrijven en aan te sluiten op bestaande structuren zoals het werkoverleg, hoeft het waarborgen van informatiebeveiliging niet veel tijd te kosten. Juist dan is implementatie van informatiebeveiliging 'on the fly' een goede mogelijkheid om zuinig om te gaan met tijd. Immers, geborgd in een goed beleid kunnen snel beslissingen worden genomen over problemen die men tegenkomt in de praktijk. Bovendien wordt tijd bespaard door prioriteren via de RIE. Problemen worden niet half opgelost maar goed en compleet opgelost, in een goede samenwerking. Het is niet meer zo dat ieder voor zich alle problemen half te lijf gaat. Feit 2: Informatiebeveiliging kost de organisatie geen extra geld. Door het vinden van een optimale balans in informatiebeveiliging wordt geld bespaard. Waarom de voordeur barricaderen als de achterdeur openstaat? Een optimale balans binnen de bedrijfsvoering op het gebied van informatiebeveiliging kan gevonden worden in de RIE, of uitgebreider, de risicoanalyse. Integratie van informatiebeveiliging in het dagelijkse werk door weinig overhead in te zetten en door hergebruik van kennis en ervaring werkt eveneens kostenbesparend. Informatiebeveiliging gaat onder andere over het goed afregelen van contracten met ICT leveranciers. Het kost pas extra geld als het systeem plat ligt en de leverancier niet gebonden is aan een snel herstel of desnoods aan een heel stevige financiële compensatie. Extra geld kost het uiteindelijk ook als patiëntgegevens op straat komen te liggen en de goede naam van de praktijk wordt aangetast.

Fabel: Informatiebeveiliging is niet van mij maar van mijn leverancier. Feit: Informatiebeveiliging is van iedereen. Informatiebeveiliging vormt een onderdeel van de artseneed in de praktijk. Alle zorgverleners (arts, assistent, verpleegkundige, fysiotherapeut, enz.) dienen zich aan de basisprincipes van de artseneed of afgeleide ervan te houden. Informatiebeveiliging is een keten die breekt bij de zwakste schakel. Zwakke plekken in de keten zijn een onjuiste registratie, een onvoldoende beschikbaarheid van informatie en het weglekken van patiëntgegevens. Deze aspecten beïnvloeden de zorgverlening en worden zelf ook beïnvloed door de zorgverlening. De huisarts speelt hierin een centrale rol. Hij / zij is vaak het eerste zorgverlener die door de patiënt word benaderd voor hulp. De huisarts is de spin in het web van zorgverlening en dus van gegevensuitwisseling. Gegevensuitwisseling en informatiebeveiliging worden vaak georganiseerd door de coördinerend assistente of praktijkmanager. Dit gebeurt echter binnen de beleidskaders die gesteld worden door de verantwoordelijke artsen. Tot slot De schrijvers van dit artikel hopen dat u als lezer uw Awareness over informatiebeveiliging heeft verhoogd. Heeft u naar aanleiding van dit artikel vragen of bent u benieuwd naar de praktische kant van informatiebeveiliging van uw organisatie: de Stichting IBGZ biedt hiertoe enkele eenvoudige doch doeltreffende tools voor informatiebeveiliging binnen de eerstelijns zorg. Zie het besloten deel van de site http://www.ibgz.nl/registreer.php. Inschrijving is kosteloos en geeft u toegang tot het besloten gedeelte van onze website. Literatuur NEN 7510, Informatiebeveiliging in de zorg. NEN, 2005. Van der Kamp J, Nabavi S.M.H, van der Meer C, Heuberger P. De verantwoordelijkheden van de huisarts op het gebied van informatiebeveiliging. Bijblijven 2010-9, aflevering Veiligheid en kwaliteit. Bohn, Stafleu, Van Loghem, 2010. Buiting C, Njoo K. Praktijkwijzer Informatiebeveiliging in de huisartspraktijk. NHG, 2009. Links Algemeen ibgz.nl security.nl digibewust.nl wikipedia.nl pvib.nl businessissues.nl knmg.artsennet.nl patientveiligheideerstelijn.nl/website

Norm NEN 7511 aanschaffen nen.nl Praktijkwijzer Informatiebeveiliging aanschaffen nhg.artsennet.nl Software kwetsbaarheden waarschuwingsdienst.nl govcert.nl cert.org ICPC http://nhg.artsennet.nl/kenniscentrum/k_implementatie/k_automatisering/k_icpc.htm Over de auteurs Hossein Nabavi is voorzitter en oprichter van Stichting IBGZ, Informatiebeveiliging Gezondheidszorg, en voorzitter van de Commissie Informatiebeveiliging van NVMA. Jaap van der Kamp is adviseur van Stichting IBGZ, security officer bij GGZ Rivierduinen en secretaris van de Commissie Informatiebeveiliging van NVMA.

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback