Het zorglandschap wordt al jaren overspoeld door elkaar snel opvolgende wetten en regels. En een nieuwe golf komt alweer op ziekenhuizen af, terwijl de heersende pandemie nog altijd alle aandacht opslokt. In deze kritieke toestand is het niet vreemd dat zorgbestuurders bij het wakker worden niet meteen denken aan het normenkader voor cybersecurity. De wrange realiteit is echter dat cybercriminelen daar geen boodschap aan hebben. Net zomin als de Autoriteit Persoonsgegevens, die de eerste boetes al heeft uitgedeeld.
Ziekenhuizen zijn het aan zichzelf en hun patiënten verplicht zich zo goed mogelijk te wapenen tegen datalekken. Daartoe hebben ze met elkaar afgesproken de NVZ-routekaart te volgen. In het verlengde daarvan moeten ziekenhuizen kunnen aantonen dat ze voldoen aan de NEN-7510, het normenkader voor informatiebeveiliging in de Nederlandse zorgsector.
In de NEN-7510 staat beschreven welke maatregelen zorginstellingen moeten nemen om op de juiste manier om te kunnen gaan met hun schat aan patiëntgegevens. Zorginstellingen zijn niet verplicht zich te certificeren, maar moeten wel aan de normen voldoen die op hen van toepassing zijn. En dat blijkt in de praktijk geen sinecure.
Auditors constateren dat met name de kleinere en middelgrote ziekenhuizen moeite hebben met de invoering van NEN-7510. Maar ook voor de grotere ziekenhuizen is het geen eenvoudige opgave. Vaak ontbreekt ‘top-down’ de commitment en krijgen Security Officers niet de juiste middelen in handen om serieus werk te maken van cybersecurity. Met alle risico’s van dien. Hoe kan het dat veel ziekenhuizen nog niet aan de gestelde normen voor informatiebeveiliging kunnen voldoen? Wat zijn de uiterste consequenties van die situatie? En wat kunnen ziekenhuizen doen om die impasse te doorbreken?
De Autoriteit Persoonsgegevens (AP) legde een Nederlands ziekenhuis onlangs een boete op van 440.000 euro wegens het schenden van de Algemene Verordening Gegevensverwerking (AVG). Die sanctie benadrukt hoe belangrijk het is dat de verschillende ziekenhuizen de NVZ-routekaart daadwerkelijk in acht nemen. Daarop – na onderzoek door de AP - kwam de NVZ wederom tot de conclusie dat het bewuste datalek niet is ontstaan uit gebrek aan beleid en procedures, maar omdat de vastgelegde richtlijnen in de praktijk niet werden nageleefd.
In dat licht is het belangrijk om te beseffen dat de NVZ-routekaart vier focusgebieden bevat – bewustwording medewerkers, autorisatie, authenticatie en controle van logging – die bij de audits aan bod komen en bovendien voortkomen vanuit de NEN-7510, wat feitelijk het normenkader is voor de routekaart. Alle ziekenhuizen hebben een self assessment gedaan op die vier focusgebieden, waaruit blijkt dat voornamelijk de kleinere en middelgrote ziekenhuizen hun cybersecurity niet goed genoeg op orde hebben. Bij die organisaties lijkt op bestuursniveau het bewustzijn wellicht nog niet te zijn doorgedrongen over de impact van achterblijvende informatiebeveiliging. En daarmee over de hoge urgentie om de NEN-7510 te implementeren.
De NEN-7510 biedt geen garanties op het uitblijven van problemen rondom cybersecurity. Maar het invoeren van deze informatiebeveiligingsnorm maakt de kans op, onder andere, datalekken wel kleiner. Bovendien voorkomen ziekenhuizen daarmee mogelijke sancties en reputatieschade, aangezien ze dan voldoen aan het afgesproken normenkader. Belangrijk is dan wel dat organisaties wel over de juiste bagage beschikken om NEN-7510 adequaat te implementeren én erop toe te zien dat de normen daadwerkelijk worden gehanteerd.
De meeste ziekenhuizen dragen in hun strategie en risicomanagementraamwerk al uit dat informatiebeveiliging, ofwel cybersecurity, essentieel is voor hun eigen organisatie. Met passages als ‘we waarborgen de veiligheid van onze patiënten’ doelen ze niet alleen op de fysieke veiligheid van hun patiënten, maar ook op medische gegevens. Om die belofte in de praktijk hard te maken, is het voor ziekenhuizen zaak de NEN-7510 zo snel en zorgvuldig mogelijk te implementeren. De resultaten van de NVZ self assessment zou een wake-upcall moeten zijn voor alle zorgbestuurders.
De implementatie van de NEN-7510 vraagt om een specifieke en pragmatische aanpak, maar staat niet op zichzelf en kent overlappingen met bestaande regelgeving die organisaties bij een juiste aanpak heel efficiënt kunnen meenemen. Dat vraagt om een integrale aanpak, waarbij NEN-expertise en zorgkennis bij elkaar komen. Niet alleen voor een breder perspectief op de technologische mogelijkheden van cybersecurity maar - misschien wel juist - ook op de operationele, veranderkundige en financiële consequenties van de te nemen maatregelen. Daarnaast biedt een integrale aanpak voordelen ten opzichte van een gedeeltelijke, reactieve of stapsgewijze aanpak. Met als resultaat voor de ziekenhuizen een doordacht, sneller en eenvoudiger traject richting een betere informatiebeveiliging; met bewustwording op strategisch, tactisch en operationeel niveau.
