Inspectie vraagt ziekenhuizen informatiebeveiliging te verbeteren

Ernstige risico’s, zoals een aanval met gijzelsoftware, maken het nodig dat ziekenhuizen de informatiebeveiliging op orde krijgen. De Inspectie Gezondheidszorg en Jeugd (IGJ) roept hen op dit te regelen. Ze ziet verder dat de digitale zorg in ziekenhuizen toe is aan een volgende professionaliseringsslag. Daarvoor hebben ziekenhuizen goede handvatten nodig. Een norm voor IT-governance, die beschrijft hoe je de organisatie inricht voor de strategische beheersing van e-health, kan daarbij helpen.

De inspectie doet in de publicatie ‘Professionele digitale zorg vraagt van ziekenhuizen steeds opnieuw evalueren en verbeteren’ de aanbeveling dat de ziekenhuiskoepels zo’n norm gaan ontwikkelen.

Informatiebeveiliging

De informatiebeveiliging moet beter. Dat is noodzakelijk want ziekenhuizen worden steeds afhankelijker van ICT. En aan de andere kant nemen bedreigingen, zoals een aanval met gijzelsoftware, toe. Bij de meeste ziekenhuizen was de informatiebeveiliging niet op orde tijdens het inspectiebezoek. Ze voldeden niet aan de norm NEN 7510.

De aandacht van de inspectie had wel effect want de bezochte ziekenhuizen voerden daarna verbeteringen door. Met als gevolg dat meerdere ziekenhuizen hun informatiebeveiliging systematisch onder de loep gingen nemen. De inspectie vindt het noodzakelijk dat ook ziekenhuizen die nog niet bezocht zijn nu snel zorgen dat ze hun informatiebeveiliging aantoonbaar op orde hebben, mocht dat nog niet het geval zijn.

Nog geen norm

In alle ziekenhuizen is er het besef dat digitale ondersteuning van de zorg specifieke aandacht nodig heeft. Goede ziekenhuiszorg kan immers niet meer zonder digitale middelen. Voorbeelden zijn het elektronische patiëntendossier (EPD) of recepten voor medicijnen die digitaal naar de apotheek gaan. Maar bijvoorbeeld ook een patiëntenportaal waarin uitslagen te zien zijn, of videobellen voor een doktersafspraak. Of het op afstand in de gaten houden van patiënten die thuis een beademingsapparaat gebruiken. 

Er zijn onderling wel grote verschillen tussen ziekenhuizen. Sommige ziekenhuizen lopen voorop en laten veel goede voorbeelden zien. Andere hebben vaak wel een visie en globale plannen, maar werken die niet genoeg uit. Dat betekent dat niet altijd goed is vastgelegd wie er meepraat over ICT-gerelateerde zaken en hoe innovaties goed worden ingevoerd. En hoe je ervoor zorgt dat zorg en ICT elkaar versterken. Dit alles noemen we IT-governance.

Er is nog geen norm voor IT-governance in de zorg. Ziekenhuizen moeten daarom vaak zelf bedenken hoe ze dit goed en veilig regelen. Het komt de kwaliteit en veiligheid van de digitale zorg ten goede als ziekenhuizen houvast hebben aan een norm. De inspectie roept de koepels in de ziekenhuiszorg daarom op hiermee aan de slag te gaan. En moedigt de ziekenhuizen die vooroplopen aan hun ervaringen met andere te delen.