Inspectie Gezondheidszorg waarschuwt ziekenhuizen om informatiebeveiliging op orde te brengen

De Inspectie voor Gezondheidszorg en Jeugd (IGJ) heeft vandaag een nieuwsbericht en factsheet uitgebracht over ICT-storingen in de ziekenhuizen. De ziekenhuizen krijgen tot eind 2023 om aan NEN7510 te voldoen.

De Inspectie voor Gezondheidszorg en Jeugd (IGJ) heeft vandaag een nieuwsbericht en factsheet uitgebracht over ICT-storingen in de ziekenhuizen. De ziekenhuizen krijgen tot eind 2023 om aan NEN7510 te voldoen.

Onderzoek sinds 2018

De inspectie heeft sinds 2018 aan 14 ziekenhuizen vragen gesteld na grote ICT-storingen. In geen van gevallen hebben de ICT-verstoringen tot aantoonbare gezondheidsschade geleid, maar de gevolgen voor patiënten waren wel groot. Zo was het dossier niet altijd meer toegankelijk en in enkele gevallen moest de spoedeisende hulp dicht.

Factsheet met aanbevelingen

De IGJ publiceert nu een factsheet met allerlei aanbevelingen.

In de factsheet wordt onderscheid gemaakt tussen vijf lessen die de IGJ trekt uit een bestaand rapport van de onderzoeksraad voor veiligheid en vijf extra aanbevelingen van de IGJ. Dat onderscheid is tegelijkertijd ook weer wat gekunsteld, want aanbeveling 1 van de IGJ is om de door hen getrokken lessen uit het OvV-rapport op te volgen. Zodoende ontstaan dus negen aanbevelingen (2x5 minus de eerste aanbeveling). 

Goede en veilige zorg

In de factsheet schrijft IGJ dat ze ziekenhuizen 'vraagt' om deze negen aanbevelingen op te volgen; dat lijkt echter wat eufemistisch verwoord. De IGJ geeft immers ook aan dat deze aanbevelingen in haar beleving noodzakelijk zijn om goede en veilige zorg te bieden. En ziekenhuizen zijn tot verplicht tot het leveren van goede en veilige zorg.

De door IGJ getrokken vijf aanbevelingen uit OvV rapport

De door IGJ uit het OvV-rapport getrokken vijf aanbevelingen zijn:

  1. Verbeter de bestaande infrastructuur én scherp de beheerprocedures aan
  2. Oefen meer
  3. Maak duidelijkere afspraken met leveranciers
  4. Verbeter de crisisorganisatie en de communicatie
  5. Betrek de regio bij crisisvoorbereiding en -evaluatie

Ad. 1. Hier wijst de IGS op achterstallig onderhoud van of kennis over bestaande infrastructuur. Ook wordt gewezen op het gevaar van niet volgen van wijzigingsprocedures. 

Ad. 2. Het belang van oefenen is er onder andere in gelegen dat verschillende disciplines elkaar goed leren kennen en begrijpen. Ook kunnen zo (ogenschijnlijk) bijzondere scenario's geoefend worden.

Ad. 3. De IGJ wijst hier op het belang van het vooraf maken van duidelijke afspraken met alle betrokken leveranciers. Wanneer je bij een incident moet ontdekken wie je waarvoor nodig hebt ontstaat onduidelijkheid.

Ad. 4. De IGJ wijst op het belang van duidelijke communicatie. In een crisis ontstaan snel misverstanden. De IGJ wijst er ook op dat de crisis juist kan zien op uitval van communicatiemiddelen (pas dus op met het afhankelijk zijn van 1 techniek!). Onderschat verder het 'vloedgolf-effect' van een crisis niet: zodra je een telefoonnummer communiceert voor vragen, kun je er ook op rekenen dat dit nummer overspoeld zal worden.

Ad. 5. Storingen hebben effect voor andere zorgverleners in de regio. Daar moet zowel vooraf (bij preventieve afspraken) als achteraf (bij de evaluatie) rekening mee worden gehouden.

Extra aanbevelingen IGJ

De vijf extra aanbevelingen van de IGJ op pagina 1 zijn op het einde van de factsheet beperkt tot de volgende drie:

  1. betrek patiënten bij de evaluaties van storingen
  2. deel ervaringen met elkaar
  3. voldoe zo snel mogelijk aan (wettelijke) normen

Ad. 1. De IGJ constateert dat patienten nu niet worden betrokken in evaluaties. Dit terwijl daar wel van geleerd zou kunnen worden.

Ad. 2. De IGJ stelt dat ervaringen veel te weinig gedeeld worden. Dit terwijl daar veel van geleerd kan worden.

Dit is herkenbaar vanuit mijn praktijk. Onduidelijk is echter of de IGJ de met de branchegenoten gedeelde informatie wel of niet zal gebruiken in het kader van handhaving. Vrees voor handhaving door de overheid of claims van patienten is immers een van de redenen om niet alle ervaringen in 'geuren en kleuren' met derden te delen. Het zou de IGJ sieren ook daar dan een duidelijke uitspraak over te doen. 

Ad. 3. De IGJ constateert dat niet alle huizen voldoen aan NEN7510. Dit moet alsnog zo snel mogelijk gebeuren. En dit moet ook door onafhankelijke derden worden getoetst, liefst middel certificering. 

De IGJ constateert (terecht!) dat verschillende onderdelen van de NEN7510 raken aan de continuiteit van informatiesystemen, maar dat de norm niet zo ver strekt dat het ziet op algehele bedrijfscontinuiteit. Voor dat laatste wordt verwezen naar de NEN-EN-ISO-22301 norm, die overigens geen wettelijke status heeft. 

Kapotte hardware

Opmerkelijk is dat uit de factsheet blijkt dat veel verstoringen werden veroorzaakt door het kapot gaan van hardware. In een tijd waar de kranten bol staan van geavanceerde dreigingen door slimme hackers, is de praktijk dus ook - en veel saaier - dat simpelweg kabels of routers stuk gaan en daardoor grote ellende veroorzaken. Dit laat dan ook zien hoe belangrijk het is om af te spreken dat voorzieningen dubbel (redundant) worden uitgevoerd en vooral ook om een bepaald resultaat af te spreken (vrij vertaald: hoe je het doet maakt me in de kern niet uit, als het eindresultaat maar goed is). 

NEN7510

Opvallend is ook dat de IGS zowel letterlijk schrijft dat "bij geen van de onderzochte ICT-storingen de oorzaak een probleem in de informatiebeveiliging is", maar dat tegelijkertijd nu wordt voorgeschreven dat "uiterlijk eind 2023 moeten alle ziekenhuizen aan de norm NEN 7510 voldoen". NEN7510 geeft "een normatief raamwerk in de vorm van een managementsysteem voor informatiebeveiliging" geven. Daaronder valt ook het thema beschikbaarheid van informatie, maar is bijvoorbeeld weer het thema "de netwerkkwaliteit van dienstverlening en methoden voor het meten van de beschikbaarheid van netwerken die worden gebruikt voor gezondheidsinformatica" uitgesloten.

De aanleiding (ICT-incidenten) en de maatregel (NEN7510 voorschrijven) lijken hier dus net niet helemaal lekker op elkaar aan te sluiten. Dat laat onverlet dat het hanteren van NEN7510 voor zorginstellingen toch al verplicht was.

Verdere normering

Verder schrijft IGJ dat het wenselijk is dat VWS en koepelorganisaties in gesprek gaan om te bezien of verdere normering gewenst is. 

Ook wijst de IGJ op de Europese richtlijn voor veerkracht die waarschijnlijk ook voor ziekenhuizen gaat gelden. Dat loopt min of meer gelijk op met de aangescherpte NIS2 richtlijn met aanvullende cyberregels. 

Verschillende toezichthouders

Ziekenhuizen hebben overigens niet alleen met de IGJ te maken die 'iets' vindt van informatiebeveiliging. Ook bijvoorbeeld de Autoriteit Persoonsgegevens is - voor zover er persoonsgegevens worden verwerkt - bevoegd. Ziekenhuizen kunnen hierdoor mogelijk klem komen te zitten voor zover die instanties niet samen zouden werken.

Vragen? 

Heeft u vragen over bovenstaande? Neem gerust contact op. 

 

Ga verder met lezen

Operatie van bijna 24 uur: mogen artsen zo lang werken?

Volgende