Om patiëntgegevens veilig en betrouwbaar uit te wisselen via het Landelijk Schakelpunt en Koppeltaal, moeten ggz-instellingen voldoen aan strikte eisen op het gebied van informatiebeveiliging. Voor het onderzoek van VZVZ vulden aangesloten ggz-instellingen een uitgebreide vragenlijst in over hun genomen beveiligingsmaatregelen. De antwoorden werden getoetst aan de vereisten van het Goed Beheerd Zorgsysteem (GBZ), de norm die vereist is voor aansluiting op het LSP. De uitkomst was bemoedigend.
Het onderzoek benadrukt dat informatiebeveiliging in de ggz in de basis op orde is, maar dat structurele borging, controle en scholing essentieel blijven om de digitale weerbaarheid te versterken.
Adviesrapport
Het onderzoek was een inventarisatie om instellingen inzicht en handvatten te bieden. Iedere deelnemer ontving een adviesrapport. Hoewel de basis van de informatiebeveiliging bij veel instellingen op orde is, blijkt uit dit recent onderzoek dat er op drie terreinen structureel extra aandacht nodig is.
Dit zijn:
- Niet alle instellingen controleren regelmatig of medewerkers nog beschikken over de juiste toegangsrechten. Hierdoor bestaat het risico dat gevoelige gegevens toegankelijk blijven voor personen die daar geen functionele noodzaak meer toe hebben.
- Het testen van back-up- en herstelprocedures wordt doorgaans overgelaten aan ICT-beheerders, zonder dat instellingen zelf structureel toetsen of deze processen goed verlopen. Juist bij storingen of dataverlies kan dit leiden tot ernstige problemen.
- Nieuwe medewerkers krijgen doorgaans wel een eerste instructie over informatiebeveiliging, maar herhaalde bijscholing ontbreekt vaak. In een digitale omgeving waarin dreigingen zich snel ontwikkelen, is voortdurende bewustwording van cruciaal belang.
De Nederlandse ggz spreekt van een waardevol onderzoek dat concrete inzichten biedt in hoe de sector informatiebeveiliging aanpakt. “Dat alle deelnemers een individuele terugkoppeling kregen, draagt bij aan verdere professionalisering,” aldus de organisatie.
Van de deelnemende instellingen voldoet 60 procent inmiddels aan de NEN 7510-norm. De branchevereniging herkent ook de verbeterpunten en benadrukt het belang van blijvende aandacht voor veilig digitaal gedrag. Het programma Informatieveilig Gedrag Zorg ondersteunt ggz-organisaties hierbij.
Koploper NEN 7510
Het Ikazia Ziekenhuis in Rotterdam heeft onlangs het NEN 7510-certificaat ontvangen van certificeringsinstantie Qualicor. Deze officiële erkenning benadrukt de structurele en vooruitstrevende aanpak van het ziekenhuis op het gebied van informatiebeveiliging. De NEN 7510-norm stelt eisen aan zowel de technische beveiliging van systemen als aan processen, gedrag en bewustwording binnen een organisatie. De certificering toont aan dat Ikazia voldoet aan de landelijke norm voor informatiebeveiliging in de zorgsector, en op meerdere onderdelen ook vooroploopt.
