Zorginstellingen zijn een populair doelwit van cybercriminelen. De reden daarvan is logisch; er wordt gewerkt met reguliere persoonsgegevens, maar vooral ook met bijzondere persoonsgegevens zoals persoonlijke gezondheidsinformatie. Die informatie moet je als zorginstelling zorgvuldig beheren en zo goed mogelijk beveiligen, want je wilt uiteraard niet dat deze gegevens niet meer beschikbaar zijn, of nog erger, op straat komen te liggen. Om die zorgvuldigheid te waarborgen zijn er wettelijke eisen waar een zorginstelling zich aan dient te houden. Maar hoe zorg je dat je je informatiebeveiliging als zorginstelling op orde hebt?

Wet- en regelgeving

De zorg is in Nederland sterk gereguleerd. Naast allerlei wetten over de uitvoering van de zorg, geldt ook de Algemene Verordening Gegevensbescherming (AVG). Deze wet vereist dat je gegevens toegankelijk en beveiligd vastlegt en verwerkt. Specifiek zijn er ook bepalingen in die wet die gaan over persoonlijke gezondheidsinformatie, dat zijn medische gegevens die te herleiden zijn tot een persoon. In de basis is het verwerken van deze gegevens verboden, tenzij je gebruik kunt maken van een uitzonderingsgrondslag. In vrijwel alle gevallen is de grondslag een wettelijke verplichting, dus de plicht van een zorgverlener om deze persoonlijke gezondheidsinformatie te verwerken. Er zijn legio wetten die een dergelijke plicht opleggen, de meest bekende zijn del Wet geneeskundige behandelingsovereenkomst (WGBO) en de Wet maatschappelijke ondersteuning (Wmo). De AVG bepaalt ook hoe je om moet gaan met gegevens, en de wet is nog strenger voor bijzondere persoonsgegevens zoals persoonlijke gezondheidsinformatie en specifiek ook hoe je om moet gaan met de informatiebeveiliging.

NEN 7510 norm: voor informatiebeveiliging binnen de zorg

Specifiek voor de zorgsector is er een norm opgesteld voor informatiebeveiliging. Dit is de NEN 7510 norm voor informatiebeveiliging in de zorg. De norm is een afgeleide van de internationale ISO 27001-standaard, maar aangepast en uitgebreid om specifiek te voldoen aan de behoeften en vereisten van de Nederlandse zorgsector. Deze norm biedt zorginstellingen en zorgverleners richtlijnen en best practices voor het beveiligen van patiëntengegevens en andere gevoelige informatie. Zorgaanbieders zijn verplicht om informatiebeveiliging conform deze norm in te richten. (Onder andere: Regeling gebruik Burgerservicenummer in de zorg en Besluit elektronische gegevensverwerking door zorgaanbieders). De NEN 7510 norm bestaat uit twee delen. Deel 1 is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Deel 2 voorziet in richtlijnen voor zorginstellingen over hoe men het beste de beschikbaarheid, integriteit en vertrouwelijkheid van dergelijke informatie kan beschermen.

Bewustzijn creëren

Informatiebeveiliging gaat niet alleen over technische maatregelen zoals anti-malware oplossingen of firewalls. Het gaat zeker ook over bewustzijn. De meeste beveiligingsincidenten gebeuren door menselijk handelen. En hoewel zorginstellingen weten hoe belangrijk informatiebeveiliging is, zijn medewerkers zich vaak onvoldoende bewust van de risico’s en gevaren. Daarom is het belangrijk om niet alleen te investeren in techniek, maar ook in bewustwording. Dit kan in de vorm van duidelijke processen en procedures, waardoor mensen precies weten hoe te handelen, maar ook door trainingen op gebied van digitale weerbaarheid, zodat mensen in staat zijn om dreigingen van buitenaf, bijvoorbeeld in de vorm van phishing, te herkennen en te melden. Ook moet het duidelijk zijn dat medische persoonsgegevens alleen mogen worden ingezien als dit noodzakelijk is voor de behandeling van de cliënt.

Een open meldcultuur helpt om dit onderwerp bespreekbaar te maken. Iedereen maakt fouten. Door deze fouten te durven melden voelen werknemers zich vrij om in gesprek te gaan over wat er fout gaat. Dit geeft betere inzichten in de dagelijkse gang van zaken en maakt verbeterkansen sneller zichtbaar.

Praktische voorbeelden zijn vaak de beste manier om werknemers bewust te maken van hun eigen gedrag. Door dit aan te bieden in de vorm van trainingen investeer je in een hogere mate van veiligheid en is de acceptatie van beveiligingsmaatregelen door medewerkers hoger. Dit schrijft de NEN 7510-norm overigens ook voor: Aantoonbaar investeren in het verhogen van bewustzijn rond het werken met gevoelige data.

Voorkomen is beter dan genezen

Hoe dan ook, voorkomen is altijd beter dan genezen. Leg de prioriteit bij preventie via bewustwording en gedragsverandering van je medewerkers en kijk vooral holistisch naar informatiebeveiliging. Door meerdere lagen van maatregelen verklein je sterk de kans op een incident. En zorg ook vooral voor voldoende herstelmogelijkheden als het toch eens mis gaat. Denk hierbij aan hoge beschikbaarheid van systemen, voldoende en vooral ook geteste back-ups en oefen regelmatig uitwijk en disaster recovery plannen, zodat je zeker weet dat plan B ook daadwerkelijk werkt!