Jacques Cazemier heeft in een grijs verleden bij de luchtmacht gewerkt. Hij was daar betrokken bij het ontwerpen van software voor de F16. “Ik denk dat daar onbewust de basis is gelegd voor mijn interesse voor informatiebeveiliging, want veilige software is natuurlijk cruciaal voor een jachtvliegtuig.”

 

Na de luchtmacht is Cazemier in het advieswerk terecht gekomen. Hij heeft er onder meer voor gezorgd dat de norm voor informatiebeveiliging, de ISO 17799, naar Nederland is gehaald. Het is deze norm die de basis vormde voor de NEN 7510, de norm voor informatiebeveiliging in de zorg.
Inmiddels is Cazemier een autoriteit op het gebied van informatiebeveiliging. Sinds begin dit jaar is hij adviseur bij Verdonck, Klooster & Associates. Hij is redelijk bekend met de zorg. “Ik was onder meer betrokken bij de controle van de informatiebeveiliging van ziekenhuizen in Arnhem, Breda en Woerden.”

 

In de zorg moet nog een redelijke inhaalslag gemaakt worden op het gebied van informatiebeveiliging, vindt Cazemier. Hij vermoedt dat het komt doordat ict lange tijd geen prioriteit was in de zorg. “Ziekenhuizen zijn toch vooral gericht op het beter maken van mensen. Ict werd lang gezien als iets dat hoorde bij de administratie. Minder interessant dus.”
Informatiebeveiliging is, net zoals kwaliteitsbeleid, een lastig onderwerp, geeft Cazemier toe. “Het levert niks op. Het komt pas in beeld als zich problemen voordoen. Je gaat pas extra sloten op je deur plaatsen als er in de buurt ingebroken wordt.”

 

Cazemier pleit voor een zakelijke benadering van informatiebeveiliging. “Het kost geld, dus je moet niet meer doen dan strict noodzakelijk. De NEN 7510 is dan ook niet meer dan een checklist met behulp waarvan je een prioriteitenlijstje maakt. Ik zie echter sommige ziekenhuizen die bezig zijn met het invoeren van de complete NEN 7510. Dat is alsof je de inventarislijst van Albert Heijn gebruikt als boodschappenlijstje.”

 

Begin daarom met een risico-analyse, adviseert Cazemier. “En maak daarbij gebruik van de ervaringen hiermee in het bedrijfsleven en de overheid. Want die zijn al langer bezig. Wat kan er mis gaan? Wat is heel erg en welk risico’s zijn acceptabel. En stel dan je prioriteiten.” Het grootste gevaar zijn niet de hackers en de virussen maar storingen, aldus Cazemier. En, als je het over een zakelijke benadering hebt, daar liggen de mogelijkheden om de noodzakelijke investeringen, althans voor een deel, terug te verdienen.

 

De Inspectie voor de Gezondheidszorg is onvoldoende toegerust om toezicht te houden op de beveiliging van computersystemen in de zorg. Dat stelde eind vorig jaar Interpay in een rapport dat was opgesteld op verzoek van toenmalig minister Hoogervorst van VWS. Interpay adviseerde daarom de instelling van een aparte instantie die toezicht moet gaan houden op de informatiebeveiliging in de zorg.

 

Slecht idee

Cazemier vindt het geen goed idee. “Het is zo gemakkelijk gezegd: richt maar weer een nieuwe instantie op. Alsof we daarop zitten te wachten. Mij lijkt het verstandiger om het toezicht onder te brengen bij iets wat al bestaat. Bijvoorbeeld de controle van de jaarrekening door de accountant. Die kijkt nu al naar de betrouwbaarheid van de financiële administratie. Waarom zou hij niet ook naar de betrouwbaarheid van de patiëntenadministratie kunnen kijken?”