De NEN 7510 biedt de mogelijkheid voor een verdere professionalisering van de informatiebeveiliging in de zorg. Dat schreef in 2005 toenmalig minister Hoogervorst aan de Tweede Kamer. De periode van vrijblijvendheid was wat hem betreft definitief voorbij. We zijn inmiddels een paar jaar verder maar volgens Jan Popping van TNO ligt de tijd van vrijblijvendheid nog steeds niet achter ons. “Het klinkt misschien cynisch maar het lijkt erop alsof informatiebeveiliging pas hoog op de agenda komt als er een keer iets goed fout gaat.”

 

Binnen het kerngebied TNO Informatie- en Communicatietechnologie is Popping verantwoordelijk voor de zorgsector. “Het belangrijkste wat TNO doet op het gebied van informatiebeveiliging is het uitvoeren van quick scans en risicoanalyses. Met een quick scan houden we een zorginstelling een spiegel voor: zo staat het ervoor met de informatiebeveiliging binnen uw instelling. Vervolgens gaan we met een risicoanalyse meer de diepte in.”
Een probleem is dat van het onderwerp informatiebeveiliging lastig een businesscase te maken is, aldus Popping. “Vaak is het een onderwerp dat bij de de ict-manager over de schutting wordt geworpen. Die moet er maar voor zorgen dat er een virusscanner of iets dergelijks wordt aangeschaft. Maar dan doe je nog niet aan informatiebeveiliging.”

 

Het valt ook niet mee, geeft Popping toe, als je als zorginstelling maar 2 tot 3 procent van je budget in ict kunt investeren. “En daarvan wordt plusminus 10 procent besteed aan informatiebeveiliging. Dan kom je dus uit op 2 à 3 promille.”

 

Terwijl er wettelijk toch het een en ander is vastgelegd. In de Kwaliteitswet, de Wet elektronisch patiëntendossier (EPD), de Wet burgerservicenummer (BSN). In al die wetten worden eisen gesteld aan de informatiebeveiliging. Popping: “Alleen, het is niet duidelijk op wat voor een manier dat moet worden getoetst.”

 

De Inspectie voor de Gezondheidszorg zou er op toe moeten zien, maar dat gebeurt volgens Popping nogal ad hoc. “Die komen pas in actie als zich calamiteiten voordoen.” Natuurlijk kun je niet verwachten dat de inspectie de informatiebeveiliging van iedere zorginstelling tot in detail controleert, geeft Popping toe. “Uiteindelijk is dat de verantwoordelijkheid van de zorginstelling zelf. Er vinden ook wel collegiale toetsingen plaats, idealiter zouden dat echter benchmarks moeten zijn.”

 

Vanuit een professionele frustratie over het gebrek aan belangstelling voor informatiebeveiliging in de zorg, heeft Popping samen met een aantal gelijkgezinden (waaronder Timo Schipperen en Kees Louwerse die elders in dit nummer worden geïnterviewd) een ‘denkgroep’ opgericht.
Deze groep van mensen heeft inmiddels een document opgesteld waarmee ze langs verschillende partijen zijn geweest die daar belangstelling in zouden moeten stellen. Popping: “We willen bijvoorbeeld de noodzaak van informatiebeveiliging met praktijkvoorbeelden en businesscase aantonen en praktische hulpmiddelen aanbieden.”

 

De resultaten zijn echter tot nu toe onbevredigend, vertelt Popping. “Ze verwijzen allemaal naar elkaar door. Van a naar b naar c, het bekende postbussysteem. Ik snap het ook wel, het is toch ook een kwestie van wie de portefeuille wil trekken. Maar het geeft ook aan dat informatiebeveiliging nog steeds onvoldoende leeft.” (ICTzorg - Mario Gibbels)