Inspectie: meeste ggz-instellingen hebben databeveiliging niet op orde

In dit artikel:

Een groot deel van de grotere Nederlandse ggz-organisaties houdt zich niet aan de wettelijke eisen voor informatiebeveiliging, meldt de Inspectie Gezondheidszorg en Jeugd (IGJ). Het onderzoek richtte zich op instellingen met ten minste 50 fte’s (ongeveer 150 organisaties). Van de 87 instellingen waarvan de inspectie niet vooraf wist of ze voldeden, konden slechts 6 aantonen dat ze voldoen aan de NEN 7510-norm; 81 konden dat niet. Veertig van die 81 gaven wel een streefdatum voor naleving. Veertien instellingen reageerden niet op herhaalde verzoeken; omdat meewerking aan toezicht verplicht is, gaat de IGJ ervan uit dat ook zij niet aan de norm voldoen.

De NEN 7510 schrijft onder meer voor wie toegang heeft tot patiëntgegevens, dat risico’s structureel worden beoordeeld en dat passende beveiligingsmaatregelen zijn genomen. Zorgaanbieders moeten met een audit aantonen dat ze aan deze eisen voldoen. De IGJ zal instellingen blijven volgen via gesprekken en documentatieverzoeken en verwacht dat niet-voldoende organisaties nog dit jaar een onafhankelijke beoordeling laten uitvoeren.

Als achtergrond noemt de inspectie het hacken van het Clinical Diagnostics-lab vorig jaar, waarbij data van zeker 715.000 vrouwen werden gestolen; volgens de IGJ had naleving van NEN 7510 de kans op zo’n incident en de impact ervan kunnen verkleinen.