Nederlandse ziekenhuizen: in 2010 informatiebeveiliging op orde

Inspectiedienst en politiek scheppen tijdens symposium duidelijkheid over informatiebeveiliging in de gezondheidszorg: Nederlandse ziekenhuizen moeten in 2010 informatiebeveiliging op orde hebben.
BDO, Mavim en LRQA hebben onlangs een symposium Informatiebeveiliging; van Zorg naar Deugd georganiseerd. Tijdens dit symposium hebben Jan Vesseur van de Inspectie voor de Gezondheidszorg (IGZ) en Halbe Zijlstra, woordvoerder Gezondheidszorg voor de Tweede Kamer-fractie van de VVD zich duidelijk uitgelaten over het onderwerp informatiebeveiliging.

In een druk bezocht NBC in Nieuwegein presenteerden de organiserende partners een visie op informatiebeveiliging in de gezondheidszorg. Gevoed door het krachtenveld rond de zorg (politiek en toezicht), de zorg zelf en de (beoordelende) dienstverleners, kregen de aanwezigen een goed beeld van de impact van informatiebeveiliging en de norm NEN 7510.

Financiele ruimte
De dag werd ingeleid door dagvoorzitter Ton Rutgrink, voorzitter van het College Sanering Zorginstellingen. Ton Rutgerink is als voorzitter van het college nauw betrokken bij de financiering van deze instellingen en heeft een goed beeld van de prioriteiten die de zorginstellingen kennen. In zijn inleidingen en samenvattingen liet hij daarover geen misverstand bestaan. Elk nieuw onderwerp dat de zorg raakt, zal worden beïnvloed door de financiele ruimte die de instellingen hebben.

Opdracht ziekenhuizen
Jan Vesseur, Project-Hoofdinspecteur Informatiebeveiliging en Patientveiligheid gaf de positie van de Inspectie duidelijk weer. “Informatiebeveiliging is onderdeel van verantwoorde zorg zoals is vastgelegd in de kwaliteitswet zorginstellingen. De NEN 7510 is een veldnorm, die invulling geeft aan de wijze waarop de zorg het onderwerp informatiebeveiliging invult. De Inspectie voor de Gezondheidszorg (IGZ) zal daarom de norm als inspectiekader hanteren.” Op basis van het gezamenlijke CBP/IGZ onderzoek uit 2007 concludeert Vesseur dat de norm NEN 7510 nog onvoldoende in de zorg is geïmplementeerd. Hij heeft daarom alle Nederlandse ziekenhuizen de opdracht gegeven om in 2010 op basis van onafhankelijke externe toetsing aan te tonen dat zij aan de norm voldoen. Desgevraagd gaf Vesseur aan dat het voldoen aan de norm voor wat betreft de Inspectie niet afhangt van de komst van het Electronisch Patienten Dossier (EPD). “Wel mag er van de norm worden afgeweken als het alternatief maar net zo goed is,” aldus Vesseur.

Risico-analyse
Vervolgens was het woord aan de praktijk bij monde van Marion Borghuis, directeur van de Coöperatieve Huisartsendienst Nijmegen (CHN). CHN is één van de koploperorganisaties die betrokken is bij de pilots voor de implementatie van het EPD. Borghuis liet vooral zien dat de komst van het EPD een actieve houding van een zorginstelling vraagt. De CHN heeft deze ontwikkeling omarmd en een sprong voorwaarts gemaakt. Daarbij heeft ze de NEN 7510 gebruikt als een beleidsinstrument om alle organisatorische aspecten vorm te geven. Borghuis: “De CHN heeft allereerst haar informatiebeveiligingsbeleid op directieniveau geformuleerd om vervolgens een goede risico-analyse te maken op alle kritische processen. Hierdoor ontstaat een goed overzicht welke onderwerpen binnen dit kader moeten worden aangepakt. Een externe beoordeling van deze analyse en de implementatie van de beheersmaatregelen heeft ons een goed beeld gegeven wat we goed doen en wat nog kan worden verbeterd. We zijn er nog niet, maar we zijn al een aantal jaar op de goede weg,” stelt Borghuis.

Namens de organiserende partners, BDO, Mavim en LRQA, kreeg ook Onno Nillesen het woord. Nillesen is bij Lloyd’s Register Quality Assurance verantwoordelijk voor de implementatie van de dienstverlening rond NEN 7510. In zijn uiteenzetting liet hij vooral zien hoe op praktische wijze invulling kan worden gegeven aan de NEN 7510. “Basisprincipe hierbij is risicomanagement,” stelt Nillesen. “De principes van NEN 7510 vragen om risico-analyse. Deze analyse moet een inzicht geven welke activiteiten in het kader van informatiebeveiliging het meest risicovol zijn en derhalve middels maatregelen beheersbaar moeten worden gemaakt. De integrale risico-analyse is uw gids door NEN 7510,” aldus Nillesen. “De aantoonbare toepassing van analyse, beheersmaatregelen, beoordeling van de effectiviteit en hernieuwde analyse laten zien dat u het onderwerp informatiebeveiliging beheerst.”

Politiek benadrukt noodzaak
Tot slot kregen de aanwezigen een mooi inzicht in het politieke krachtenveld rond informatiebeveiliging bij monde van Halbe Zijlstra van de VVD. Zijlstra liet zien dat politiek Den Haag verdeeld is over de Wet op het EPD, maar niet over het onderwerp informatiebeveiliging. Het is nog onduidelijk of de Wet op de EPD het in de Eerste Kamer gaat halen, maar er bestaat absolute consensus over het feit dat verbeterde en veilige informatie-uitwisseling voor de gezondheidszorg noodzakelijk is. Zijlstra stelt desgevraagd dan ook dat de NEN 7510 norm of op het EPD of op de regionale systemen van toepassing zal zijn. Mocht het EPD er niet komen, dan is er genoeg werk aan de winkel voor zorginstellingen om de regionale uitwisseling op het niveau van NEN 7510 te krijgen. Kortom, de zorg kan alvast aan de slag.

Bron: BDO CampsObers Holding BV

Redactie Medicalfacts/ Janine Budding

https://www.medicalfacts.nl

Ik heb mij gespecialiseerd in interactief nieuws voor zorgverleners, zodat zorgverleners elke dag weer op de hoogte zijn van het nieuws wat voor hen relevant kan zijn. Zowel lekennieuws als nieuws specifiek voor zorgverleners en voorschrijvers. Social Media, Womens Health, Patient advocacy, patient empowerment, personalized medicine & Zorg 2.0 en het sociaal domein zijn voor mij speerpunten om extra aandacht aan te besteden.

Ik studeerde fysiotherapie en Health Care bedrijfskunde. Daarnaast ben ik geregistreerd Onafhankelijk cliëntondersteuner en mantelzorgmakelaar. Ik heb veel ervaring in diverse functies in de zorg, het sociaal domein en medische-, farmaceutische industrie, nationaal en internationaal. En heb brede medische kennis van de meeste specialismen in de zorg. En van de zorgwetten waaruit de zorg wordt geregeld en gefinancierd. Ik ga jaarlijks naar de meeste toonaangevende medisch congressen in Europa en Amerika om mijn kennis up-to-date te houden en bij te blijven op de laatste ontwikkelingen en innovaties. Momenteel ben doe ik een Master toegepaste psychologie.

De berichten van mij op deze weblog vormen geen afspiegeling van strategie, beleid of richting van een werkgever noch zijn het werkzaamheden van of voor een opdrachtgever of werkgever.