Informatiebeveiliging in de GGZ vraagt blijvende aandacht
De recente publicatie van de Inspectie Gezondheidszorg en Jeugd (IGJ) laat zien dat veel grotere GGZ-organisaties nog niet aantoonbaar voldoen aan de wettelijk verplichte norm voor informatiebeveiliging, NEN 7510. Uit onderzoek onder 87 organisaties bleek dat slechts zes organisaties konden aantonen dat zij volgens deze norm werken. Veel instellingen gaven aan bezig te zijn met verbeteringen maar een aanzienlijk deel kon nog geen duidelijk tijdpad noemen om volledig aan de norm te voldoen. Deze uitkomsten onderstrepen het belang van structurele aandacht voor informatiebeveiliging binnen de geestelijke gezondheidszorg. De afhankelijkheid van digitale systemen neemt toe, terwijl tegelijkertijd steeds meer gevoelige persoonsgegevens worden verwerkt. De beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens zijn essentieel voor goede en veilige zorg.
Informatiebeveiliging is meer dan techniek
De IGJ benadrukt dat voldoen aan NEN 7510 verder gaat dan het implementeren van technische beveiligingsmaatregelen. De norm vraagt om een goed functionerend informatiebeveiligingsmanagementsysteem (ISMS), waarin risico’s worden beoordeeld, maatregelen worden genomen, de werking daarvan wordt gecontroleerd en waar nodig verbeteringen worden doorgevoerd. Alleen beleid opstellen of beveiligingsmaatregelen implementeren is daarbij niet voldoende. Organisaties moeten kunnen aantonen dat de volledige kwaliteitscyclus werkt.
Dit vraagt aandacht voor governance, verantwoordelijkheden, processen, bewustwording van medewerkers en onafhankelijke toetsing. Informatiebeveiliging is daarmee een continu verbeterproces dat raakt aan de gehele organisatie.
De rol van het ECD
Bij PinkRoccade GGZ vinden we dat zorginstellingen zich moeten kunnen richten op waar zij het verschil maken: het leveren van goede zorg. Daarom is de juiste, actuele en wettelijk verplichte versie van informatiebeveiliging standaard geïntegreerd in ons ECD, de mQ Suite. Zo ondersteunt het GGZ-organisaties altijd bij het voldoen aan de eisen die voortvloeien uit NEN 7510. Denk daarbij aan functies voor toegangsbeheer, logging, autorisaties, auditmogelijkheden en andere beveiligingsmaatregelen die essentieel zijn voor het zorgvuldig omgaan met cliëntgegevens. Hierdoor hoeven instellingen niet zelf het wiel uit te vinden op dit gebied en kunnen zij zorgeloos gebruik maken van het ECD want ze beschikken hiermee over een solide basis waarmee informatiebeveiliging een vanzelfsprekend onderdeel wordt van de dagelijkse praktijk.
Tegelijkertijd maakt het rapport duidelijk dat technologie slechts één onderdeel van de oplossing is. Ook wanneer de technische basis op orde is, blijft het noodzakelijk dat organisaties processen inrichten, risico’s monitoren en periodiek laten toetsen of zij daadwerkelijk volgens de norm werken.
Voorbereiden op toekomstige eisen
De aandacht voor informatiebeveiliging zal de komende jaren verder toenemen. Naast de bestaande verplichtingen vanuit NEN 7510 krijgen veel zorgorganisaties ook te maken met aanvullende eisen vanuit de nieuwe Cyberbeveiligingswet. Organisaties die hun informatiebeveiliging aantoonbaar op orde hebben, beschikken daardoor niet alleen over een betere bescherming van gegevens, maar zijn ook beter voorbereid op toekomstige wet- en regelgeving.
Vertrouwen als uitgangspunt
Uiteindelijk gaat informatiebeveiliging niet alleen over normen, audits of compliance. Cliënten moeten erop kunnen vertrouwen dat hun persoonlijke gegevens zorgvuldig worden beschermd. Zorgprofessionals moeten kunnen rekenen op betrouwbare en beschikbare informatie om hun werk goed uit te voeren. En bestuurders moeten inzicht hebben in risico’s en de beheersing daarvan.
De bevindingen van de IGJ laten zien dat er binnen de GGZ nog stappen te zetten zijn. Tegelijkertijd bieden zij een duidelijke oproep om informatiebeveiliging blijvend onderdeel te maken van kwaliteits- en risicomanagement binnen de zorgorganisatie. Alleen zo kan het vertrouwen in digitale zorgprocessen worden versterkt en behouden.
Veilige zorg begint bij vertrouwen. En vertrouwen begint bij een sterke digitale basis!
