Informatiebeveiliging in de gezondheidszorg (NEN7510)

WHITEPAPER

Praktijkbeheer in 2012: Informatiebeveiliging in de gezondheidszorg (NEN7510) gepresenteerd door Dick Scholten, Productmanager, Software of Excellence, Nederland

September 2011. Praktijkbeheer in 2012: Informatiebeveiliging in de Gezondheidszorg (NEN7510)

Inhoud

Samenvatting Achtergrond Patiëntgegevens Beveiliging Zorg voor nakoming Conclusie Biografie


Samenvatting Op 1 januari 2012 zal het van kracht worden van de Informatiebeveiliging in de Gezondheidszorg (NEN7511-3, afgeleid van NEN7510) grote gevolgen hebben voor de manier waarop de tandheelkunde in Nederland wordt uitgeoefend. Net als in andere Europese landen vormen de toenemende eisen vanuit de regelgeving een toenemende druk op eenmanszaken die moeten voldoen aan de administratieve regels die op het eerste gezicht weinig van doen hebben met het leveren van kwalitatief hoogstaande klinische zorg. In Nederland gaat het publiek ervan uit dat bedrijven de juiste maatregelen nemen om ervoor te zorgen dat persoonsgegevens door het juiste personeel worden verwerkt en alleen voor de doeleinden van de zaken in kwestie worden gebruikt. NEN7510 zet deze filosofie nu om in wetgeving en hoewel het merendeel van de praktijken ongetwijfeld voldoet aan de regelgeving, moeten zij nu hun nakoming bewijzen, indien gewenst. Er zijn talrijke factoren die de veiligheid van persoonsgegevens in een praktijk beïnvloeden en deze factoren zijn van toepassing, ongeacht of de praktijk nu met papier werkt of met een geautomatiseerd beheersysteem. Het is de verantwoordelijkheid van het praktijkhoofd om ervoor te zorgen dat persoonsgegevens veilig zijn en vanaf volgend jaar zullen overtredingen van NEN7510 worden onderzocht, als incidenten worden gemeld. De bewijslast rust dan op de individuele beoefenaar die rechtstreeks aansprakelijk is voor niet nakoming, en hij moet daarom meteen stappen ondernemen, niet alleen om de patiëntgegevens te beveiligen en ervoor te zorgen dat het praktijkteam de individuele verantwoordelijkheid op dit gebied goed begrijpt, maar hij moet ook systemen invoeren die de nakoming als bewijs van best practice registreren. Zowel elektronische als papieren gegevens worden bedreigd door verscheidene oorzaken, maar er is een aantal eenvoudige maatregelen die praktijkeigenaren kunnen nemen om te de veiligheid en bescherming van patiëntgegevens te kunnen waarborgen.


Er bestaan softwareoplossingen die geïntroduceerd kunnen worden om ervoor te zorgen dat de gegevens volledig beschermd worden tegen fysieke schade, elektronische uitval en misbruik door het personeel. Basisbescherming zoals codering, robuuste back-upsystemen en een makkelijk te gebruiken hiërarchie van administratieve beveiliging zijn allemaal harde voorwaarden voor het uitoefenen van een efficiënte en flexibele praktijk.

Als deze procedures eenmaal ingevoerd zijn, zullen zij het functioneren van de hele praktijk verbeteren en hoewel de introductie eerst een intimiderend vooruitzicht mag lijken, zullen daardoor de processen en fundamenten ontstaan waarop de betrouwbaarheid en uitstekende patiëntenzorg zijn gebouwd. Bovendien kan het herzien van bestaande protocollen en het introduceren van nieuwe systemen, waar nodig, een positieve teambuilding vormen, waardoor het hele team objectief de eigen manier van werken kan herzien met betrekking tot patiëntgegevens en het praktijkbeheersysteem.

Hoewel de straffen voor niet nakoming nog niet duidelijk zijn, worden in de toekomst striktere richtlijnen verwacht, omdat het publiek een steeds grotere bescherming van persoonsgegevens eist. Daarom moeten beoefenaars zich voorbereiden op de in 2012 te verwachten ogenblikkelijke veranderingen en deze als de eerste fase van een voortgaand proces beschouwen. Als het proces met een positieve houding wordt benaderd en met behulp van externe leveranciers, zal dit resulteren in verbeteringen in de praktijkbeheersystemen die op hun beurt een grotere efficiëntie zullen betekenen voor de manier waarop de praktijk dagelijks functioneert, en uiteindelijk de waarde en kwaliteit van patiëntenzorg verbeteren.


Achtergrond NEN7510 Informatiebeveiliging in de Gezondheidszorg (Information Security in Health Care) is in 2004 gepubliceerd. De norm is gebaseerd op de Praktijkcode voor Informatiebeveiliging (Code of Practice for Information Security) gepubliceerd als NEN-ISO/IEC 27002 en aangepast aan de Nederlandse Gezondheidssector. De norm NEN7510 wordt elke 5 jaar herzien en is voor het laatst herzien in 2009.

Tijdens de laatste herziening werd een haalbaarheidsonderzoek uitgevoerd voor het ontwikkelen van een uniform certificatieplan voor de herziene norm. Het plan was procedurele eisen voor certificerende instellingen en controleurs in te bouwen. Dit certificatieplan is bedoeld om te voorzien in een consistente benadering van de certificatie van NEN7510 en transparantie voor het Nederlandse gezondheidszorgsysteem. Tijdens de besprekingen over de ontwikkeling van het plan werd duidelijk dat de gezondheidszorgsector op verscheidene normen en criteria moest worden beoordeeld, bijv. specifieke productcertificatie en ook kwaliteitsmanagement.

Sinds de verandering van het gezondheidszorgsysteem moeten leveranciers controleren of de patiënt recht op het ontvangen van gezondheidszorg heeft. Vanwege de BSN en het Elektronisch Patiëntendossier was de verbetering van de kwaliteit van patiëntgegevens niet alleen mogelijk, maar ook noodzakelijk. De term “ goed beheerd zorgsysteem” (Well-Managed Care System) werd geïntroduceerd en het Nederlandse Normalisatie Instituut (NEN) formuleerde de eisen en het voldoen aan deze eisen wordt beschouwd als een belangrijke factor in het vergroten van de kwaliteit en waarde van een praktijk. De nakoming is sinds 2006 verplicht voor alle zorginstellingen.


Zorginstellingen kunnen profijt hebben van de nakoming van NEN7510 door hun informatiebeveiliging en privacyinitiatieven aan te passen aan een gemeenschappelijk kader. Verder zorgt een nauwe band tussen NEN7510 en ISO/IEC 27001 en ISO/IEC 27799 voor aanpassing aan internationale branchenormen betreffende beheersystemen voor informatiebeveiliging.

In essentie gaat NEN7510 over de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid (ARC) van informatiesystemen die een zorginstelling gebruikt. Deze informatie is niet alleen op harde schijven, maar ook op papier en in het geheugen van de mensen opgeslagen. De norm beschrijft niet hoe een praktijk zijn informatiesysteem moet beveiligen, maar eerder hoe praktijken een beleid moeten opstellen en opzetten om de informatiebeveiliging te waarborgen. Het is dus de taak van de Inspectie om te beslissen of de gebruikte methoden en de resultaten voldoen aan de eisen van kwaliteit en regelgeving.

Het absolute basiskenmerk van de norm is dat zij ten doel heeft het zich bewust zijn van de gevaren die een praktijk loopt in verband met de bescherming van gegevens; vele tandartspraktijken hebben geen idee van de gevaren en ook niet van de voorwaarden van hun servicecontracten met externe leveranciers.

De afgelopen jaren heeft de Nederlandse zorgsector de introductie en doorvoering van het Elektronische Patiëntendossier (EPD) verwacht en in voorbereiding daarop heeft de overheidszorgadministratie de nakoming van NEN7510 gestimuleerd, hoewel de wettelijke verplichtingen tot nu toe nog niet van kracht zijn.

Afgelopen april heeft de Eerste Kamer echter tegen de ingediende wetsvoorstellen voor het introduceren van het EPD gestemd als gevolg van de onzekerheid betreffende de bescherming van gegevens. Het Landelijke Switch Point (LSP) blijft echter overeind. Door het verwerpen van het EPD is de urgentie enigszins verdwenen, maar de Gezondheidsinspectie heeft aangekondigd dat zij de eisen zal controleren, als er incidenten worden gemeld.


Patiëntgegevens Net als bij andere bedrijven waar persoonsgegevens worden opgeslagen, moeten tandartspraktijken zich bewust zijn van de noodzaak van de bescherming van gegevens en ervoor zorgen dat zij systemen en schriftelijke protocollen hebben om de gegevens tegen misbruik, diefstal of verlies te beschermen. De noodzaak voor gegevensbescherming moet in de filosofie en ethiek van de praktijk worden geïntegreerd en op elk niveau goed werken. Beschikbaarheid Het opslaan en oproepen van informatie over patiënten en gevallen is een essentieel aspect van zorgverlening en zonder dit vermogen is het onmogelijk om zorg te verlenen. Als het informatiesysteem in een praktijk wegvalt en de gegevens niet langer beschikbaar zijn, zal de praktijk niet kunnen werken. De kwaliteit van het informatiesysteem en het herstel van een storing is daarom cruciaal voor het bedrijf van de praktijk en een fundamenteel aspect van de continuïteit en kwaliteit van zorgverlening vanuit het oogpunt van de overheid.

Betrouwbaarheid Een ander kritisch element is de betrouwbaarheid van de gegevensinformatiesystemen. Als de gegevens onjuist zijn, kan de tandarts onjuiste beslissingen nemen. De tandarts moet er zeker van zijn dat de door het systeem geleverde gegevens juist zijn en bij een bepaalde patiënt horen.

Vertrouwelijkheid De Richtlijn Bescherming Gegevens van de EU heeft regels opgesteld om personen te beschermen met betrekking tot de verwerking van persoonsgegevens en voorziet in richtlijnen voor de vrije beweging van dergelijke gegevens. De Nederlandse Wet bescherming persoonsgegevens (Wpb) is afgeleid uit deze richtlijnen. Medische informatie is geheim en mag alleen beschikbaar zijn voor personen die toegang tot deze gegevens moeten hebben in de uitoefening van hun taken, waaronder het personeel van de praktijk.


Beveiliging De beveiliging van gegevens is van essentieel belang en er is een aantal gevaren dat een informatiesysteem kan bedreigen. Personeel Alle onderzoeken wijzen in dezelfde richting: 80% van de gevaren in termen van Beschikbaarheid, Betrouwbaarheid en Vertrouwelijkheid (ARC) is het gevolg van verkeerd gebruik van het informatiesysteem. Dit is vrijwel uitsluitend het gevolg van een gebrek aan kennis van het systeem dat het personeel moet gebruiken.

Het personeel moet alleen toegang tot de gegevens hebben die nodig zijn voor hun taken, en er moeten regels worden toegepast die voorkomen dat de gebruikers toegang tot gegevens hebben waartoe zij niet gerechtigd zijn. De toegang tot gevoelige kennis over patiënten moet worden gewaarborgd en de praktijkeigenaar moet ervoor zorgen dat een geheimhoudingsclausule wordt opgenomen in de arbeidsovereenkomst. De best practice schrijft voor dat computers niet onbeheerd worden gelaten, als deze zijn ingelogd in softwareapplicaties, en de software is idealiter in staat om zich na een paar minuten van inactiviteit automatisch af te sluiten.

De compagnons hebben de verantwoordelijkheid om ervoor te zorgen dat informatie veilig is en dat veiligheidsprocedures (gebruikersnaam, wachtwoord, gebruikersbescherming in de software enz.) strikt worden toegepast en geregistreerd, waarbij de toegang tot logs toont welke gegevens werden opgeroepen door welke gebruiker en welke veranderingen zijn aangebracht. Water en vuur Alle redelijke maatregelen om brand en wateroverlast te voorkomen, moeten worden genomen en geregistreerd met schriftelijke procedures, zodat ingeval van een dergelijke gebeurtenis het personeel weet wat het moet doen om de gegevens terug te krijgen. Inbraak en diefstal Op dezelfde wijze moet ervoor worden gezorgd dat het gevaar voor diefstal wordt beperkt en dat de tijd die nodig is om de systemen weer operationeel te maken, zo kort mogelijk is. Als een


systeem wordt gestolen, moeten de gegevens wachtwoorden hebben of gecodeerd zijn, zodat een derde geen toegang tot vertrouwelijke gegevens heeft. Op dezelfde manier moet de praktijk maatregelen nemen om zich te beschermen tegen hackers en computervirussen. Back-ups De praktijk moet procedures formuleren om regelmatig back-ups van hun gegevens te maken en deze procedures moeten worden getoetst aan na te komen regels. Partners De softwareleverancier van een praktijkbeheersysteem heeft vaak toegang tot praktijkgegevens, meestal tijdelijk en met toestemming. Het is belangrijk om zich bewust te zijn van de maatregelen die de leverancier neemt om de vertrouwelijkheid te waarborgen.

Zorg voor nakoming Het zorgen voor nakoming is uiteindelijk de verantwoordelijkheid van de eigenaar die aansprakelijk kan worden gesteld voor inbreuken. Eigenaren en praktijkmanagers moeten ervoor zorgen dat het beleid van de praktijk op dit gebied niet alleen gedocumenteerd wordt, maar ook dat het een inherent deel van de dagelijkse werkzaamheden in de praktijk is. Beleid De praktijk moet een beleid definiëren en formuleren dat de maatregelen documenteert die een praktijk binnen een bepaalde periode zal nemen. De praktijk is niet verplicht om alle noodzakelijke voorzorgen en maatregelen te nemen, maar moet zijn bewegingen richting nakoming documenteren. Een jaarverslag moet een beschrijving bevatten van de maatregelen die zijn genomen, en van het beleid dat is herzien en vernieuwd om rekening te houden met veranderingen.

Scholing Het personeel moet in staat zijn de instrumenten te gebruiken die het heeft gekregen voor de uitoefening van zijn taken. Een tandartsassistente krijgt een opleiding en als zij die in praktijk


brengt, zal zij naar tevredenheid functioneren. Maar in kleine praktijken is de tandartsassistente vaak ook de receptioniste met administratieve verantwoordelijkheden. Het registreren van behandelingen in de computer en periodiek maken van rekeningen en inboeken van betalingen kunnen eenvoudige taken zijn, maar er is een cursus voor nodig om ervoor te zorgen dat zij de kennis en vaardigheden heeft om deze extra taken uit te voeren. Het is een feit dat 80% van alle problemen worden veroorzaakt door gebruikersfouten, waardoor bijscholing een serieuze zaak is om ervoor te zorgen dat de praktijk goed draait en efficiënt werkt.

Controle SLA’s De praktijk moet weten wat is overeengekomen met ondersteunende partners en zich bewust zijn van wat verwacht mag worden van een softwareleverancier, systeembeheerder en leverancier van DI-software. Vaak heeft een praktijk een aantal partners die soms toegang tot praktijkgegevens hebben; een lijst van partners en de overeenkomsten zal helpen bij het invoeren van procedures voor toegang tot de gegevens.

Evaluatie software Vanaf 1 januari 2012 is het van essentieel belang ervoor te zorgen dat de software volgens NEN7510 kan werken en dit vereist een onmiddellijke evaluatie van de huidige softwareprogramma’s. Alle praktijksoftware die vanaf die datum in gebruik is, moet de systeembeheerder helpen bij het toepassen van de volgende procedures:

1. Definitie van gebruikers en beperking van de toegang van gebruikers tot noodzakelijke informatie en onderdelen; 2. Beperking van toegang tot patiëntgegevens tot alleen de behandelende teams; 3. Verwijdering van gebruikers en weigering toegang tot het systeem; 4. Opstellen van rapporten met betrekking tot beveiliging en privileges; 5. Aanmaken van veiligheidsroutines, bijv. lengte van wachtwoord, wachtwoord moet vervangen worden na een bepaalde periode, het systeem wordt automatisch na een paar minuten afgesloten; 6. Opstellen van rapporten over toegang en wijzigingen door gebruikers.


Software die deze procedures niet kan uitvoeren, moet vervangen worden.

Inventarisatie Maak een lijst van alle systemen, hardware en software die in de praktijk worden gebruikt.

Vernieuwing Veel praktijken die overgaan op een nieuw softwaresysteem, maken gebruik van de mogelijkheid om alle computers te vervangen. Helaas kan dit proces leiden tot frustratie; maar al te vaak zijn de bestaande röntgensensoren incompatibel met het nieuwe besturingssysteem van de hardware. De printerfabrikant kan zijn gestopt met het maken van onderdelen van de printer die nog vele jaren had moeten meegaan. Soms zijn de extra kosten erg hoog; zij kunnen zelfs de kosten van nieuwe software en hardware overstijgen.

Het is daarom belangrijk zich bewust te zijn van alle software en hardware in de praktijk, waar deze is gekocht en van de servicecontracten die op elk element van toepassing zijn. Een inventarisatie van alle systemen, hardware en software in de praktijk moet beschikbaar zijn en voortdurend worden bijgewerkt.

Prioriteiten Alle praktijken hebben maatregelen genomen om gegevens te beschermen. Ze hebben brandblusapparaten, camera’s, antivirussoftware, een firewall en misschien nog meer. De praktijk moet beginnen met een inventarisatie van de reeds genomen maatregelen om een “baselijn” vast te stellen.

Na het voltooien van een risicobeoordeling kan de praktijk de prioriteit ervan vaststellen door het gebruik van een risicoanalysematrix.

Conclusie Hoewel de afschaffing van het EPD de nakoming van NEN7510 minder urgent heeft gemaakt, is deze norm niet minder van toepassing en de introductie zal als gids dienen voor een goed praktijk en toegenomen efficiëntie.


Een geautomatiseerd praktijkbeheersysteem moet in staat zijn om aan veel van de nakomingseisen van NEN7510 te voldoen en zorgt voor het schriftelijke bewijs van nakoming, dat nodig kan zijn om de autoriteiten tevreden te stellen.

Het praktijkteam moet zich bewust zijn van het belang van NEN7510 en de eigen verantwoordelijkheden met betrekking tot de norm, maar de automatisering van gegevensbeheer verlost grotendeels van de noodzaak om apart het gebruik en de wijzigingen van gegevens te documenteren, waardoor de administratieve last die de nakoming anders zou kunnen vormen, wordt weggenomen.

Het uitvoeren van een herziening van bestaande procedures voor het omgaan met en beveiligen van patiëntgegevens biedt het hoofd van de praktijk en de praktijkmanager de mogelijkheid om precies te weten hoe de praktijk functioneert, en daardoor kunnen de gebieden waar de efficiëntie kan worden verbeterd, in kaart worden gebracht. De daaropvolgende introductie van nieuwe software en nieuwe procedures, waar nodig, zal ongetwijfeld significante voordelen bieden, waar alle leden van het praktijkteam en de patiënten uiteindelijk van zullen profiteren.

Te midden van alle veranderingen in de Nederlandse tandheelkundige markt hebben de beoefenaars de steun van leveranciers nodig die advies en leiding kunnen geven met betrekking tot deze aspecten van de tandheelkunde, die voor de beoefenaars nieuw zijn en grotendeels buiten hun gebaande paden liggen. Het negeren van deze nieuwe maatregelen is echter geen optie en de beoefenaars moeten de toekomst positief tegemoet zien en de voordelen op prijs stellen die robuuste beheersystemen hun praktijk kunnen bieden.


Biografie Dick Scholten is Product Manager bij Software of Excellence in Nederland sinds 2009.

Dick was voor het eerst betrokken bij beheersoftware voor de tandheelkundige praktijk in 1985 en heeft een aantal softwareleveranciers in de Nederlandse markt opgericht en voor hen gewerkt. In 1988 heeft hij het softwarebedrijf Double Precision opgericht en het Integra Practice Management systeem ontworpen, gepubliceerd en op de markt gebracht. Na de verkoop van Integra in 1992 werd het bedrijf uiteindelijk in 1993 door Henry Schein verworven en Dick heeft bij een aantal specifieke projecten gewerkt, tot hij in 2003 IT Manager voor Henry Schein Benelux werd. In 2009 is Dick tot Product Manager voor Software of Excellence in Nederland benoemd, waarbij hij verantwoordelijk is voor het opzetten van plaatselijke vereisten voor EXACT [EVOLUTION].

De afgelopen 26 jaar heeft Dick gewerkt met het instellen en bedienen van praktijkbeheer en financiële systemen voor tandartspraktijken en hij heeft een enorme ervaring met het ontwikkelen van voor deze markt specifieke oplossingen.


Informatiebeveiliging in de gezondheidszorg (NEN7510)

Recommend Documents