Interview hoofdinspecteur: ‘Patiënten moeten zo weinig mogelijk kans hebben op schade’

De Inspectie voor de Gezondheidszorg deed samen met het College Bescherming Persoonsgegevens onderzoek naar de informatiebeveiliging in ziekenhuizen. Geen enkel ziekenhuis bleek een voldoende te scoren.

Wat was de aanleiding voor dit onderzoek?
“De inspectie heeft vier jaar geleden een rapport uitgebracht over ict in de ziekenhuizen. Toen hebben we al aangekondigd dat we de informatiebeveiliging in de ziekenhuizen onder de loep zouden gaan nemen. Bovendien vonden we dat nu de norm voor informatiebeveiliging in de ziekenhuizen een paar jaar bestaat, ziekenhuizen er ook aan moeten voldoen, en dat zijn we gaan toetsen.”

Jullie hebben dat in het voorjaar van 2007 getoetst, waarom is het rapport pas nu verschenen?
“Dat heeft met de samenwerking met het College Bescherming Persoonsgegevens (CBP) te maken. Het opstellen van het onderzoeksinstrument en het uitvoeren van het onderzoek vormden geen enkel probleem. We hebben echter heel lang gedaan over het gezamenlijk schrijven van het rapport omdat we het eens moesten zien te worden over de manier waarop we onze bevindingen opschreven.”

Waar zat ‘m dat in?
“Dat heeft te maken met de verschillende manieren waarop wij en het CBP toezicht houden. Voor ons is de Kwaliteitswet leidend en die zegt: gij zult verantwoorde zorg leveren. Dat is dus heel algemeen gesteld. Het CBP voert toezicht uit op basis van artikel 13 van de Wet bescherming persoonsgegevens en daarin staat heel concreet waaraan je dan moet voldoen, en daar hangen ook allerlei sanctiemogelijkheden aan. Wij kunnen uiteindelijk een bevel geven of om een aanwijzing vragen, maar dan moet de kwaliteit van de zorg echt in gevaar zijn. En over dat soort zaken hebben we heel lang gediscussieerd. “

Ziekenhuizen hebben vier jaar de tijd gehad om aan NEN 7510 te voldoen. Desalniettemin scoort geen enkel ziekenhuis een voldoende. Is er dan helemaal niets gebeurd?
“Absoluut niet. De ict-afdelingen in de ziekenhuizen hebbel wel degelijk veel opgepakt, maar dan met name in technische zin: de hard- en software. Echter, en dat zeggen we ook in ons rapport, informatiebeveiliging is geen structureel beleid van de ziekenhuizen. Het is meer de beroepseer van de ict-jongens die vinden dat als ze iets doen, ze het ook goed moeten doen.”

Het risicobewustzijn in de ziekenhuizen blijkt echter maar zeer beperkt aanwezig.
“Inderdaad, aan de gedragscomponent, hoe gaan we binnen ons ziekenhuis om met informatiebeveiliging, blijkt nagenoeg geen aandacht te zijn besteed.”

Hoe komt dat?
“Omdat dat het moeilijkste deel is.”

Informatiebeveiliging blijkt ook niet voldoende doorgedrongen te zijn op het niveau van de raad van bestuur bij de onderzochte ziekenhuizen?
“Dat is mij inderdaad tegengevallen. Niet dat de raden van bestuur het niet belangrijk vinden. Bij onze bezoeken aan de ziekenhuizen blijkt dat de raden van bestuur allemaal weten wat NEN 7510 is. En ze zien er wel degelijk het belang van in. Alleen, er zijn nog zoveel andere zaken die hun aandacht opeisen, met als gevolg dat informatiebeveiliging tot nu toe niet bovenaan staat op het prioriteitenlijstje.”

Is het een kwestie van geld?
“Dat vraag ik me af. Bij gedragsbeïnvloeding, want daar gaat het hier om, hoeven de kosten niet zo hoog te zijn. Het campagnemateriaal is al voorhanden en kan bij de NVZ vereniging van ziekenhuizen opgevraagd worden.”

In het rapport staat dat de twintig onderzochte ziekenhuizen voor 15 oktober een plan van aanpak moeten indienen waarin staat hoe ze alsnog gaan voldoen aan NEN 7510. Als ze dat plan van aanpak hebben ingediend, scoren ze dan alsnog een voldoende?
“Inmiddels hebben alle twintig ziekenhuizen dit gedaan. We zijn ze nog aan het bekijken maar mijn eerste indruk is dat zeker driekwart van de ingediende plannen zonder meer zeer bemoedigend is.”

En daarmee is het beveiligingsniveau voldoende?
“Strikt genomen moet je als instelling aan alle punten die in NEN 7510 worden genoemd voldoen. Maar dat is gigantisch veel. Vandaar dat we in ons rapport heel nadrukkelijk hebben gezegd dat je als instelling moet weten aan welke punten je wel en aan welke punten je niet voldoet. Dat is het eerste dat wij willen zien: heeft een ziekenhuis een risicoanalyse uitgevoerd.”

En hoeveel waren dat er?
“Twaalf van de twintig ziekenhuizen heeft de informatiebeveiliging laten beoordelen door een extern bedrijf. Deze externe audits verschilden echter enorm van kwaliteit. Sommige ziekenhuizen overhandigden ons een accountantsverklaring waaruit bleek dat de financiële administratie op orde was. Maar informatiebeveiliging is een stuk breder dan dat.”

De NVZ heeft een starterspakket opgesteld voor NEN 7510: een minimale set van de meest belangrijke onderdelen van NEN 7510. Scoor je een voldoende als je daaraan voldoet?
“Het gaat ons als inspectie om de beheersbaarheid van de risico’s. Als ziekenhuis moet je ervoor zorgen dat de zorg veilig is en dat je patiënten zo weinig mogelijk kans hebben op schade. Ik denk dat met de onderwerpen die de NVZ gekozen heeft, die risico’s voor een heel groot deel worden beheersd. Maar dat wil niet zeggen dat je de andere onderdelen van NEN 7510 kunt laten liggen. Het gaat erom dat je in beeld hebt wat je nog niet geregeld hebt en in hoeverre dat risico’s oplevert voor je patiënten.”

Stel je voldoet als ziekenhuizen aan de basisnormen uit het starterspakket van de NVZ, je hebt een goed verhaal bij de onderdelen van NEN 7510 waar je nog niet aan voldoet en je hebt op andere manieren zeker gesteld dat patiënten geen kans op schade hebben?
“Dan scoor je wat mij betreft een tien. Maar je moet goed beseffen dat niet elk ziekenhuis hetzelfde is. Misschien dat bij het ene ziekenhuis de basisnormen van de NVZ voldoende zijn terwijl bij het andere ziekenhuis je toch meer moet regelen.”

Zijn jullie nog incidenten tegen gekomen ten gevolge van onvoldoende informatiebeveiliging?
“Daar hebben we naar gevraagd. Maar behalve dan het in het rapport vermeldde voorbeeld waarbij ziekenhuismedewerkers hebben gesnuffeld in het dossier van hun directeur toen hij opgenomen was in zijn eigen ziekenhuis, zijn we bij geen enkel ziekenhuis een incident tegen gekomen waarbij er een directe relatie was met een tekortkoming in de ict.”

Misschien is het dan helemaal niet zo erg als de informatiebeveiliging niet helemaal op orde is?
“Er vallen nu ook geen vliegtuigen naar beneden maar wil dat zeggen dat we minder aandacht moeten besteden aan de beveiliging? Ict wordt steeds belangrijker in de zorg en we kunnen ons steeds minder veroorloven dat daar iets mee misgaat.”

Wie is aanspreekbaar als ten gevolge van fouten in de software er ongelukken gebeuren in een ziekenhuis?
“Het is altijd de zorginstelling die ervoor verantwoordelijk is dat de spullen die gebruikt worden in orde zijn. Een instelling kan op haar beurt daarover weer afspraken maken met de softwareleverancier.”

Wat is het vervolg op dit rapport?
“We zijn nu bezig met de plannen van aanpak van de twintig ziekenhuizen die zijn onderzocht. Dat hopen we dit jaar nog af te ronden. Ziet het er op papier goed uit, dan vertrouwen we erop dat ze ermee aan de slag gaan. Onze inspecteurs in het veld kunnen dat ook bij hun jaargesprekken meenemen. Mogelijk dat we een aantal ziekenhuizen nog zullen vragen om langs te komen om het plan van aanpak te bespreken. Ook de overige tachtig ziekenhuizen vragen we om een plan van aanpak op te stellen. Daarnaast vragen we alle ziekenhuizen om in 2010 een externe audit te laten verrichten, in NEN 7510 staat sowieso dat dit periodiek moet gebeuren, en op basis daarvan kunnen wij goed beoordelen hoe ver ze zijn met de invoering van NEN 7510.”

Wie is Jan Vesseur?

Jan Vesseur is van oorsprong huisarts. Als huisarts was hij al enthousiast over de mogelijkheden van ict in de zorg. “Niet dat ik verstand had van automatisering, maar ik vond ict een prachtig instrument om mijn werk als huisarts te verbeteren.”
In 1993 werd Vesseur regionaal inspecteur in de regio Noord-Oost. Toen al pleitte hij ervoor dat de inspectie aandacht moest besteden aan het gebruik van ict in de zorg. “Ik dacht, hier moeten wij ons mee bemoeien, met de veiligheidsaspecten van ict.” Mede dankzij de inspanningen van Vesseur verrichte de inspectie vier jaar geleden haar eerste onderzoek naar de inzet van ict in de zorg. “Ik heb dat samen met Jan Maarten van den Berg opgezet en uitgevoerd. Het rapport heeft binnen de inspectie geleid tot een bewustwordingsproces, kennelijk deed ict ertoe. En mede daardoor heb ik mijn huidige functie als hoofdinspecteur patiëntveiligheid, internationaal en ict gekregen.” (Mario Gibbels)

Dit artikel verscheen eerder in ICTzorg Magazine, november/december 2008. 

Terug naar vorige pagina  »