In een hoog tempo digitaliseert een groot deel van de wereld om ons heen. Het gebruik van internet en e-mail, maar ook social media en telebankieren zijn inmiddels al door bijna iedereen omarmd. Ook minder zichtbare of bekende digitale toepassingen bepalen al ons leven. Zo is de manier waarop wij boodschappen doen helemaal geregisseerd en afhankelijk van (big) data-analyses en voorspellingen. En beslissingen van een arts over het beste behandeltraject worden steeds vaker ondersteund door digitale inzichten en kunstmatige intelligentie.
Alle digitale toepassingen, hoe mooi of waardevol ook, hebben één belangrijke gemeenschappelijke eigenschap. Ze hebben betrouwbare informatie nodig, vaak in grote hoeveelheden. Informatie over jou, mij en onze omgeving. Als zorgorganisatie is het extra belangrijk om zorgvuldig met deze informatie om te gaan. Hoe zorg je voor een optimale informatieveiligheid in de zorg?
De juiste informatie op het juiste moment op de juiste plek en dan alleen bruikbaar voor de juiste persoon, daar gaat het om. Dit klink heel eenvoudig, maar de praktijk laat zien dat dit eenvoudige principe vaak niet goed gerealiseerd wordt. Zo hadden de overheid en de GGD in het begin van de coronapandemie niet goed in kaart hoe het virus zich had verspreid. Vervolgens kwamen er een hoop vragen over de privacy en het nut van de corona-app. Ook ziekenhuizen komen regelmatig in het nieuws vanwege privacyschandalen, zoals ransomware-aanvallen of het onterecht inkijken van vertrouwelijke medische patiëntinformatie. En deze nieuwsberichten lijken het topje van de ijsberg te zijn. Zorgmedewerkers maken dagelijks situaties mee waarin informatie niet integer, vertrouwelijk of beschikbaar is en dus minder veilig om mee te werken.
Voor organisaties en professionals in de zorg is integrale informatieveiligheid belangrijk om met een gerust hart de patiëntgegevens te verwerken. Het zorgt voor de bescherming van het individu (privacy) én van de organisatie (security). Beiden zijn belangrijk. De samenleving verwacht tegenwoordig namelijk – terecht – dat de digitale veiligheid van informatie in zorginstellingen op orde is. Ondanks het enorme belang laten genoeg voorbeelden zien dat dit niet altijd het geval is. Een belangrijke oorzaak is de complexiteit van het zorginformatielandschap. Zo heb je als organisatie vaak te maken met een ICT-landschap dat vanuit traditionele losstaande applicaties en systemen gegroeid is tot één ecosysteem. Voor deze applicaties en systemen gelden dezelfde wetten en normen (bijvoorbeeld de GDPR of de NEN7510), maar deze zijn vaak op verschillende momenten en manieren toegepast. Dit zorgt voor verschillende niveaus van informatiebeveiliging binnen één organisatie.
Bij het zorginformatielandschap komt nog een ander aspect om de hoek kijken. Organisaties in de zorg zijn voor een deel van hun informatieveiligheid afhankelijk van de leveranciers van applicaties en systemen. Zo heeft de ene leverancier bijvoorbeeld de toegangsbeveiliging en logging prima op orde, maar laat dit bij een andere leverancier nog te wensen over. Voor zorgorganisaties is het bij de keuze van leveranciers en oplossingen lastig om altijd de veilige route te kiezen, bijvoorbeeld doordat het aanbod beperkt is of omdat er onvoldoende kennis over de veiligheid van de applicatie bekend is. Digitale veiligheid moet soms noodgedwongen afgewogen worden tegen bijvoorbeeld functionaliteit.
En dan moet er ook nog rekening worden gehouden met de wetgeving die zich vooral richt op wat niet mag en wel moet. En deze wetgeving verandert in steeds hoger tempo. In de afgelopen jaren alleen al zijn de Meldplicht datalekken, de Algemene Verordening Gegevensbescherming (AVG of GDPR) en de Wet Digitale Overheid ingevoerd. Ook de aanscherping en uitbreiding van normen zoals NEN en ISO en de verhoogde aandacht voor digitale veiligheid van toezichthoudende instanties zoals de Inspectie Gezondheidszorg en Jeugd, de Autoriteit Persoonsgegevens en de Onderzoeksraad voor de Veiligheid spelen een rol. Daarbij hebben we het nog niet gehad over de invloed van het individu, de meest complexe, onvoorspelbare en moeilijk stuurbare risicofactor bij informatieveiligheid in de zorg. Dit leidt automatisch tot hogere risico’s. Een lichtpunt is de toegenomen standaardisering van zorginformatie, waarbij er aandacht is voor integriteit en vertrouwelijk. Dit zijn belangrijke aspecten om informatieveiligheid te waarborgen.
Informatieveiligheid in de zorg lijkt een utopie. Complex, een hoop knoppen om aan te draaien, veel betrokkenen en moeilijk beïnvloedbare individuen. Veel organisaties worstelen met de vraag waar ze moeten beginnen. Toch kun je wel degelijk stappen zetten op het vlak van informatieveiligheid. De kunst is om met de juiste middelen en mensen de juiste maatregelen te treffen en daarmee de risico’s van informatie- en ICT-gebruik beheersbaar te houden. Dit vraagt om een integrale risicogebaseerde aanpak van informatieveiligheid met oog op verschillende interne en externe aspecten tegelijk, zoals mensen, processen, middelen en wet- en regelgeving. Stap voor stap werk je zo toe naar het vereiste beveiligingsniveau, op een manier die past bij jouw organisatie. Wacht je te lang of neem je de verkeerde stappen, dan nemen de inspanning en kosten die nodig zijn om het op een later moment alsnog goed te organiseren alleen maar toe. En dat is zonde!
Bij Acknowledge weten wij dat informatieveiligheid een lastig thema is voor zorgorganisaties. Vaak wordt er door organisaties pas echt geacteerd als zich een serieus incident heeft voorgedaan. Eigenlijk wil je dat voor zijn. Om dit te bereiken hebben wij een model ontwikkeld waarmee wij organisaties helpen om integraal en risicogebaseerd informatieveiligheid te organiseren. Hiermee helpen we organisaties om gericht aan de slag te gaan met informatieveiligheid en hierin koers te houden.