IBGZ
Informatiebeveiliging Gezondheidszorg
Fabels en feiten over informatiebeveiliging Med. Drs. Hossein Nabavi Drs. Jaap van der Kamp CISSP
Er bestaan heel wat misverstanden over informatiebeveiliging bij zorgverleners. Deze misverstanden kunnen de basis zijn van weerstand tegen informatiebeveiliging. Met dit artikel willen we deze misverstanden uit de wereld helpen. Maar elke misverstand heeft ook een deel van de waarheid in zich. Dit artikel brengt al die delen bijeen voor een beter inzicht over informatiebeveiliging en lezers kunnen na het lezen van dit artikel onderscheid maken tussen fabels en feiten over informatiebeveiliging. Fabel: Informatiebeveiliging staat mijlen ver af van de zorg.
Feit: Informatie is core business voor elke zorgverlener. Informatie is uw core business. Puttend uit de medische gegevens van de patiënt diagnosticeert de arts, de arts maakt beleid en de arts en de assistent geven begeleiding, dus kennis mee aan de patiënt. Om goede zorg te bieden moet de zorgverlener altijd beschikken over de juiste gegevens. Figuur 1 maakt dit duidelijk. Welk beroep in de medische wereld men ook uitoefent, één ding staat vast: elk verstoring in de gegevensstroom kan leiden tot het nemen van verkeerde medische beslissingen. Een dergelijke verstoring vormt een rechtstreekse bedreiging voor de patiëntveiligheid, de kwaliteit van de zorg en de continuïteit van de zorgverlening.
Figuur 1 – De relatie tussen informatie en patiëntveiligheid. Verstoring van de informatiestroom heeft een negatieve invloed op de kwaliteit van de behandeling, op de veiligheid van de patiënt en op de continuïteit van de bedrijfsvoering.
Fabel: Informatiebeveiliging gaat over privacy. Feit: Informatiebeveiliging gaat ook over privacy. Maar het houdt zoveel meer in. De NEN 7510, de Norm voor Informatiebeveiliging in de Zorg, benoemt een aantal aspecten dat de gezamenlijk de basis vormt voor informatiebeveiliging: Vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname; Integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; Beschikbaarheid: het zeker stellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers. Een goede informatiebeveiliging is te vinden in een weloverwogen balans tussen deze drie onderdelen. Fabel: Informatiebeveiliging is een verlengstuk van het landelijk EPD. Feit: De komst van het EPD heeft ervoor gezorgd dat er veel gediscussieerd wordt over informatiebeveiliging. Door elektronische gegevensopslag en uitwisseling zijn medische gegevens in principe voor ieder overal bereikbaar geworden en is het belang van informatiebeveiliging sterk toegenomen. Verscheidene zorgverleners en patiënten (cliënten) menen dat informatiebeveiliging alleen betrekking heeft op het EPD. Echter, informatiebeveiliging is zo oud als de artseneed. Informatiebeveiliging vormt een onderdeel van de morele verplichting van elke zorgprofessional, eigenlijk al sinds 2500 jaar. De laatste tientallen jaren is deze verplichting ook juridisch geborgd in verscheidene wetten. Informatiebeveiliging is dus geen verlengstuk van het EPD.
Fabel: Informatiebeveiliging gaat over ICT. Feit: Informatiebeveiliging begint bij de visie en missie van een organisatie en werkt door in de bedrijfsvoering en in het gedrag van elke betrokkene. ICT is een hulpmiddel en, door de massaliteit van gegevensopslag en –transport en de rol in beslissingsondersteuning, codering en logistiek, een substantieel risico.
ICT is één van de hulpmiddelen om zorgvuldig met informatiebeveiliging om te gaan. Informatiebeveiliging wordt allereerst vertaald naar een informatiebeveiligingsbeleid, afgeleid uit de visie en missie van een organisatie. In dit beleid staat welke informatie waarom van belang is. Ook wordt duidelijk wie verantwoordelijk is voor bijvoorbeeld de praktijk, voor contracten met leveranciers en medegebruikers van de praktijk etc. Op basis van een risico-inventarisatie en evaluatie (RIE) worden afwegingen gemaakt en wordt het beleid verder vorm gegeven. Niet alleen op managementniveau worden dergelijke afwegingen gemaakt, ook op persoonlijk niveau is dit dagelijkse kost. Gebruik je onbeveiligde e-mail voor vertrouwelijke gegevens, doe je je deur op slot bij het verlaten van je werkruimte? Informatiebeveiliging moet gedragen worden door iedereen, het is de hygiëne van de informatie huishouding. Fabel: Informatiebeveiliging kost veel tijd en geld. Feit 1: Informatiebeveiliging kost geen extra tijd maar levert juist tijd op. Door in een goed informatiebeveiligingsbeleid een heldere toedeling van verantwoordelijkheden te omschrijven en aan te sluiten op bestaande structuren zoals het werkoverleg, hoeft het waarborgen van informatiebeveiliging niet veel tijd te kosten. Juist dan is implementatie van informatiebeveiliging 'on the fly' een goede mogelijkheid om zuinig om te gaan met tijd. Immers, geborgd in een goed beleid kunnen snel beslissingen worden genomen over problemen die men tegenkomt in de praktijk. Bovendien wordt tijd bespaard door prioriteren via de RIE. Problemen worden niet half opgelost maar goed en compleet opgelost, in een goede samenwerking. Het is niet meer zo dat ieder voor zich alle problemen half te lijf gaat. Feit 2: Informatiebeveiliging kost de organisatie geen extra geld. Door het vinden van een optimale balans in informatiebeveiliging wordt geld bespaard. Waarom de voordeur barricaderen als de achterdeur openstaat? Een optimale balans binnen de bedrijfsvoering op het gebied van informatiebeveiliging kan gevonden worden in de RIE, of uitgebreider, de risicoanalyse. Integratie van informatiebeveiliging in het dagelijkse werk door weinig overhead in te zetten en door hergebruik van kennis en ervaring werkt eveneens kostenbesparend. Informatiebeveiliging gaat onder andere over het goed afregelen van contracten met ICT leveranciers. Het kost pas extra geld als het systeem plat ligt en de leverancier niet gebonden is aan een snel herstel of desnoods aan een heel stevige financiële compensatie. Extra geld kost het uiteindelijk ook als patiëntgegevens op straat komen te liggen en de goede naam van de praktijk wordt aangetast.
Fabel: Informatiebeveiliging is niet van mij maar van mijn leverancier. Feit: Informatiebeveiliging is van iedereen. Informatiebeveiliging vormt een onderdeel van de artseneed in de praktijk. Alle zorgverleners (arts, assistent, verpleegkundige, fysiotherapeut, enz.) dienen zich aan de basisprincipes van de artseneed of afgeleide ervan te houden. Informatiebeveiliging is een keten die breekt bij de zwakste schakel. Zwakke plekken in de keten zijn een onjuiste registratie, een onvoldoende beschikbaarheid van informatie en het weglekken van patiëntgegevens. Deze aspecten beïnvloeden de zorgverlening en worden zelf ook beïnvloed door de zorgverlening. De huisarts speelt hierin een centrale rol. Hij / zij is vaak het eerste zorgverlener die door de patiënt word benaderd voor hulp. De huisarts is de spin in het web van zorgverlening en dus van gegevensuitwisseling. Gegevensuitwisseling en informatiebeveiliging worden vaak georganiseerd door de coördinerend assistente of praktijkmanager. Dit gebeurt echter binnen de beleidskaders die gesteld worden door de verantwoordelijke artsen. Tot slot De schrijvers van dit artikel hopen dat u als lezer uw “Awareness” over informatiebeveiliging heeft verhoogd. Heeft u naar aanleiding van dit artikel vragen of bent u benieuwd naar de praktische kant van informatiebeveiliging van uw organisatie: de Stichting IBGZ biedt hiertoe enkele eenvoudige doch doeltreffende tools voor informatiebeveiliging binnen de eerstelijns zorg. Zie het besloten deel van de site http://www.ibgz.nl/registreer.php. Inschrijving is kosteloos en geeft u toegang tot het besloten gedeelte van onze website. Literatuur NEN 7510, Informatiebeveiliging in de zorg. NEN, 2005. Van der Kamp J, Nabavi S.M.H, van der Meer C, Heuberger P. De verantwoordelijkheden van de huisarts op het gebied van informatiebeveiliging. Bijblijven 2010-9, aflevering Veiligheid en kwaliteit. Bohn, Stafleu, Van Loghem, 2010. Buiting C, Njoo K. Praktijkwijzer Informatiebeveiliging in de huisartspraktijk. NHG, 2009. Links Algemeen ibgz.nl security.nl digibewust.nl wikipedia.nl pvib.nl businessissues.nl knmg.artsennet.nl patientveiligheideerstelijn.nl/website
Norm NEN 7511 aanschaffen nen.nl Praktijkwijzer Informatiebeveiliging aanschaffen nhg.artsennet.nl Software kwetsbaarheden waarschuwingsdienst.nl govcert.nl cert.org ICPC http://nhg.artsennet.nl/kenniscentrum/k_implementatie/k_automatisering/k_icpc.htm Over de auteurs Hossein Nabavi is voorzitter en oprichter van Stichting IBGZ, Informatiebeveiliging Gezondheidszorg, en voorzitter van de Commissie Informatiebeveiliging van NVMA. Jaap van der Kamp is adviseur van Stichting IBGZ, security officer bij GGZ Rivierduinen en secretaris van de Commissie Informatiebeveiliging van NVMA.
