Informatiebeveiliging in de zorg: durf los te laten!

De Inspectie Gezondheidszorg en Jeugd (IGJ) gaat ziekenhuizen verplichten om uiterlijk in 2023 te voldoen aan de wettelijke normen voor informatiebeveiliging. Deze stap past in de trend van strikter toezicht op hoe organisaties omgaan met de persoonsgegevens van hun klanten.

NEN 7510 en NTA 7516

De zorg heeft, bovenop de AVG, ook te maken met (onder meer) de NEN 7510 en de NTA 7516. De eerste is een zorg-specifieke normering voor informatiebeveiliging, de tweede ziet toe op de digitale communicatie van persoonlijke medische informatie, zoals bijvoorbeeld mailverkeer.

Nu is het niet zo dat zorgorganisaties hier geen aandacht voor hebben, al zijn er wel grote onderlinge verschillen. Academische ziekenhuizen zijn hier vaak verder mee dan bijvoorbeeld streekziekenhuizen, die op hun beurt weer een voorsprong hebben op care-instellingen.

‘We zijn ermee bezig’

Aanvankelijk was het nog voldoende om auditors te laten zien dat de organisatie ‘ermee bezig’ is. Er werd nagedacht over beleid, processen werden in kaart gebracht of een rapportje geschreven. Vaak toonde de auditor zich dan tevreden. Inmiddels wordt van zorgorganisaties verwacht dat ze de systemen kunnen laten zien. Ze moeten aantonen dat hun procesmanagement op orde is. Dat ze root cause-analyses uitvoeren, P1-incidenten vastleggen en de verbeterprocessen hebben ingebed in de organisatie.

De praktijk is anders. Zorgorganisaties worstelen met legacy-systemen, missen de competenties (soms tot op het niveau van de raad van bestuur) en zien IT als last – of als iets dat niet tot hun core business behoort. De mooie dikke map met beleidsafspraken omtrent databeveiliging zit inmiddels onder het stof en wordt niet meer bijgewerkt.

‘Klikgehalte’ gaat omhoog

Tot op zekere hoogte is dit begrijpelijk. Informatiebeveiliging vraagt tijd, geld en aandacht. Zelfs om gedragsverandering. En dat is niet altijd makkelijk of handig. Het ‘klikgehalte’ gaat omhoog. De arts vindt het vervelend om elke keer vijf vinkjes te moeten zetten voordat zij een bestand aan een collega kan sturen. Ze wil met haar patiënten bezig zijn. Een deel hiervan is gewenning, maar gebruiksgemak is ook zeker iets dat IT-partijen zich moeten aantrekken.

Toch zouden we de opgave voor zorgorganisaties tekortdoen als informatiebeveiliging zouden reduceren tot een kwestie van geld of gebruiksgemak. Informatiebeveiliging is ontzettend complex geworden, het is een eigen vakgebied. Het wordt simpelweg ondoenlijk voor zorgorganisaties om dit zelf goed vorm te geven. In alle eerlijkheid: ze zouden het niet eens meer moeten nastreven.

Organisatie op de schop

De zorg moet zich focussen op het leveren van de beste zorg. Parkeer informatiebeveiliging bij een gespecialiseerde IT-partner. Transformeer naar een regie-organisatie, die in staat is om IT-partners op dit vlak aan te sturen. Dat betekent de inhoud loslaten en gaan managen. Dat betekent het aanpassen van functies (bijvoorbeeld van technisch architect naar functioneel architect). Het betekent het loslaten van het zelf technisch uitvoeren. Bijvoorbeeld door het in dienst nemen van contractmanagers en SLA-managers. Dit is een ontwikkeling naar een ander functieraamwerk, meer functioneel regisserend.

De vraag wordt: wat willen wij? En niet langer: hoe gaan we dit technisch realiseren? Het antwoord op die vraag komt van de NEN 7510- en NTA 7516-gecertificeerde IT-partner. Zo wordt informatiebeveiliging géén IT-project, maar een organisatiebrede uitdaging. En ja, daarbij worden heilige huisjes geslecht, en aan weerstand ontkom je evenmin. Maar wie dit traject tot een goed einde brengt, voldoet niet alleen aan de wettelijke norm, maar legt ook de basis voor betere zorg.