Informatiebeveiliging is in de zorg altijd een stiefkindje geweest, vindt Kees Louwerse, stafmedewerker kwaliteit en informatiebeveiliging bij het Leids Universitair Medisch Centrum (LUMC). “Omdat het meestal goed gaat. Het kalf moet kennelijk eerst verdrinken. Hoewel, als je goed om je heen kijkt, dan gaat er ook nu al het nodige mis. Ik heb een Britse collega die hierover krantenknipsels verzamelt en daaruit blijkt dat er af en toe wel degelijk doden vallen. Meest saillante voorbeeld is een Engelse verpleegkundige die medicatiegegevens in het dossier veranderde en daarmee patiënten vermoordde. Moord per computer.”

 

Aan het eind van de vorige eeuw kreeg informatiebeveiliging internationaal meer aandacht dankzij de ISO norm voor informatiebeveiliging, de ISO 17799. Niet in de ziekenhuizen echter. Pas toen deze ISO norm vertaald werd naar de zorg, met als resultaat NEN 7510, kwam daar verandering in. Wat ook hielp was een kritisch rapport van de Inspectie voor de Gezondheidszorg over de informatiebeveiliging in de zorg.

 

De universitaire medische centra zaten daar bovenop, aldus Louwerse. Ze waren dan ook nauw betrokken bij de totstandkoming van de NEN 7510. “We hebben een speciale werkgroep gevormd die eens in de zes à acht weken bij elkaar komt en die onder meer de implementatie van de norm ter hand heeft genomen.”

 

De universitaire centra hebben hun informatiebeveiliging dan ook redelijk op orde, stelt hij. “Dat heeft ook met de omvang van de organisatie te maken. Wij hebben allemaal een redelijk grote ict-afdeling en daarmee de mogelijkheid om aandacht te schenken aan informatiebeveiliging.”

 

Bij de andere ziekenhuizen is volgens Louwerse het beeld echter wisselend. “Sommige ziekenhuizen hebben het goed geregeld, in andere ziekenhuizen weten ze niet waar ze moeten beginnen. Vaak heeft zo’n ziekenhuis een kleine ict-afdeling, soms nog ondergebracht bij bijvoorbeeld de financiële administratie. En die stellen vaak andere prioriteiten. Informatiebeveiliging wordt dan gezien als puur techniek; iets wat ict-afdeling maar moet regelen. Maar informatiebeveiliging is niet alleen techniek, het moet ook ingebed worden in de organisatie.”

 

De beveiliging kan nooit 100 procent zijn, aldus Louwerse. “Dat is als een huis dat zo goed is beveiligd dat je er zelf niet meer in kan. Het moet wel hanteerbaar blijven. Anders gaan de artsen piepen, en terecht. Die zeggen dan dat het teveel tijd kost waardoor er gevaarlijke situaties ontstaan en zelfs doden kunnen vallen. Misschien overdrijven ze wel een beetje, maar ze hebben natuurlijk wel een punt. Als je tien minuten kwijt bent met het doorlopen van allerlei veiligheidsprocedures, dat werkt natuurlijk niet.”

 

Je zult dus compromissen moeten sluiten, geeft Louwerse toe. Zo is binnen het LUMC de formele regel dat alleen de betrokken behandelaar het dossier van de patiënt mag inzien. “In de praktijk komt het erop neer dat alle behandelaren van de afdeling waar de patiënt ligt, het dossier mogen inzien. Maar je hebt dan altijd nog de mogelijkheid van controle achteraf: was de arts die het dossier heeft ingezien, daartoe bevoegd?”

Louwerse schat dat de kosten voor informatiebeveiliging op zo’n 10 procent van de totale ict-uitgaven. “Dat lijkt veel maar een arts maakte ooit de vergelijking met het menselijk lichaam, dat ook plusminus 10 procent van zijn energie gebruikt voor bescherming tegen allerlei virussen en ziektekiemen.” (ICTzorg - Mario Gibbels)