Avatar
1 May 2019 - dr. William Goossen plaatste:

Informatieveiligheid

Recent zijn er incidenten in het nieuws geweest rondom informatieveiligheid van patiëntengegevens in de jeugdzorg. Dit leidde onder meer tot moties bij het plenaire debat over een recent datalek in de jeugdzorg. Eén daarvan is aangenomen. In deze motie wordt de regering verzocht om in samenwerking met brancheorganisaties, cybersecurityexperts en ethische hackers, de AP en de IGJ penetratietests te laten uitvoeren bij zorgorganisaties in alle zorgsectoren, om zo te onderzoeken of zij toegang kunnen krijgen tot medische dossiers, waarbij ingezet wordt op minimaal inzicht in toegankelijk gemaakte medische dossiers.

Voor GGZ Nederland aanleiding om een aantal zaken rondom informatieveiligheid nog eens op een rij te zetten.

 

AVG en NEN 7510

Uiteraard is de AVG[1], de algemene verordening gegevensbescherming van toepassing. Vanuit de AVG ontstaat de verplichting om informatiebeveiliging toe te passen. Hiervoor kan in de zorg de NEN 7510[2] worden toegepast. De NEN 7510 bestaat uit twee onderdelen: het information security management system (ISMS) en concrete maatregelen.

Om dit goed toe te passen zijn er vier stappen van belang die als een continu proces worden toegepast:

  • Stap 1 is het analyseren van de risico’s. Hierbij hoort o.a. het werken aan bewustzijn van medewerkers van mogelijke risico’s en het houden aan gestelde maatregelen.
  • Stap 2 is vaststellen welke maatregelen nodig zijn. Hierbij hoort b.v. ook het op cursus gaan van zorgprofessionals om informatiebeveiliging bij gebruik van zorg ICT correct toe te kunnen passen.
  • Stap 3 is het ISMS organisatorisch in te richten.
  • Stap 4 is het implementeren van de gekozen maatregelen.

 

Z-CERT

Ook onderzoekt minister Bruins de mogelijkheid om zorginstellingen te verplichten zich aan te sluiten bij Z-CERT[3]. Dit staat voor Zorg Computer Emergency Response Team dat advies en hulp biedt bij incidenten, risico’s monitort en waarschuwingen doet als er risico’s of aanvallen worden ontdekt die van invloed kunnen zijn op de zorg. Daarnaast biedt het toegang tot expertise, uitwisseling van informatie met ICT leveranciers en in de zorgketen en draagt het bij aan cyberbewustzijn.

Verschillende leden van GGZ Nederland zijn lid van Z-CERT. Vorig jaar is reeds verkend of er voldoende animo was voor een collectieve aansluiting bij Z-CERT en of een collectieve aansluiting ook tot voldoende voordeel leidt. Vooralsnog was dit niet aan de orde. Met de laatste ontwikkelingen en het bericht van de minister gaat GGZ Nederland opnieuw onderzoeken wat Z-CERT kan bieden, zo wordt door enkele branches ook gestart met pilots. Tegelijkertijd zullen wij ook goed vinger aan de pols houden hoe de minister een verplichte aansluiting voor zich ziet en wie dit gaat bekostigen. 

 

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/algemene-informatie-avg

[2] https://www.nen.nl/Alles-over-NEN-7510.htm

[3] https://www.z-cert.nl/

Om te kunnen reageren dien je geregistreerd en ingelogd te zijn. Klik hier om in te loggen. Ben je nog geen lid van GGZ connect dan kun je je hier gratis registreren.