Hoe SmartAIM ziekenhuizen kan helpen om verplicht aantoonbaar te voldoen aan de NEN 7510

Uit onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ) blijkt dat ziekenhuizen te weinig doen aan het voorkomen van ICT-storingen. IGJ onderzocht 14 ziekenhuizen waar in de afgelopen vier jaar een grote ICT-storing is geweest. Bij 12 van deze ziekenhuizen hadden deze storingen flinke gevolgen voor de zorg, zoals het tijdelijk sluiten van de spoedeisende hulp, uitstel van operaties en geen toegang tot patiëntendossiers. Dit kan dus hele nare gevolgen hebben voor patiënten.

Belangrijke oorzaak voor de storingen is volgens de ziekenhuizen een verouderde of slecht onderhouden digitale infrastructuur. Verder oefenen ziekenhuizen te weinig op problematische situaties en zijn ziekenhuizen een groot doelwit van cybercriminaliteit. Volgens het Nederlands Cyber Security Centrum (NCSC) gaat het veelal om ransomware-aanvallen. Hierbij draait het niet alleen om de techniek. Er moet ook drastisch iets verbeteren aan het bewustzijn en gedrag van medewerkers. Om toekomstige problemen bij ziekenhuizen te voorkomen adviseert de Inspectie ziekenhuizen om informatie over opgetreden storingen te delen met andere ziekenhuizen, om op die manier van elkaar te leren.

Maar het blijft dus niet alleen bij adviezen. De Inspectie verplicht ziekenhuizen om voor eind 2023 te voldoen aan de wettelijke normen voor informatiebeveiliging. Dit betekent dat het wettelijk verplicht wordt voor ziekenhuizen om aan te kunnen tonen dat ze voldoen aan de NEN 7510. Er is dus werk aan de winkel, want op dit moment voldoen lang niet alle Nederlandse ziekenhuizen aan die norm. 

NEN 7510: wat en waarom?

Informatiebeveiliging is een lastige, maar noodzakelijke verplichting voor organisaties. Zeker in de zorgsector, waar medische- en patiëntgegevens veelvuldig worden uitgewisseld. Om patiënten het gewenste niveau van dienstverlening te kunnen bieden, is het noodzakelijk dat zorgverleners op ieder moment over betrouwbare informatie kunnen beschikken. Tegelijkertijd is het van belang dat gevoelige informatie niet in handen van ongeautoriseerde partijen valt om de privacy van de patiënt te beschermen. Denk maar aan Barbie-gate in het HagaZiekenhuis, en recent nog de oproep van roddelvlogster Yvonne Coldeweijer aan ‘spionnen in het VUmc’ om medische informatie te delen over royalty-verslaggever Marc van der Linden.

Het gezamenlijk gebruik van informatie door de verschillende partijen in de zorg die gegevens uitwisselen vraagt om standaarden op het gebied van informatieopslag, berichtopmaak, communicatieprotocollen, definities en codering van medische termen en, niet in de laatste plaats, informatiebeveiliging. De eisen aan informatiebeveiliging worden steeds strenger, onder andere gevoed door nieuwe Europese wetgeving. Vanaf 25 mei 2018 geldt bijvoorbeeld de algemene verordening gegevensbescherming (AVG) in de hele EU.

NEN 7510 is een Nederlandse norm gericht op informatiebeveiliging binnen de zorgsector. De norm vereist dat informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht. De NEN 7510 geeft richtlijnen voor waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie. Daarnaast is er de ISO 27001 die ook betrekking heeft op de informatiebeveiliging, maar dan in algemene norm, terwijl NEN 7510 zich specifiek richt op zorginstellingen.

Voordelen van NEN 7510

Ziekenhuizen hebben een aantal belangrijke voordelen als zij de NEN 7510 implementeren:

  • Zij laten zien hoe medewerkers omgaan met privacygevoelige informatie;
  • Zij borgen de ontwikkeling en continuïteit voor gegevensverwerking;
  • Zij tonen aan dat ziekenhuizen vertrouwelijk en integer omgaan met patiëntgegevens.

Hoe zorg je dat je voldoet aan NEN 7510?

Start met een nulmeting om vast te stellen in hoeverre de organisatie al bewust is van informatiebeveiliging en eventueel al voldoet aan de gestelde eisen. Ziekenhuizen dienen ook te beschikken over een managementsysteem om de realisatie van beleid en doelstellingen op het gebied van informatiebeveiliging te borgen. Daarnaast moet op basis van een risicoanalyse vastgesteld worden welke informatiebeveiligingsrisico’s er zijn, welke risico’s prioriteit moeten krijgen, welke risico’s aanvaardbaar zijn en wat de volgorde in de te nemen maatregelen zal zijn.

Als het gaat om het verplicht aantoonbaar maken dat ziekenhuizen voldoen aan NEN 7510 op het gebied van Identity en Acces Management (IAM) kan SmartAIM ziekenhuizen ontzorgen. De vraag naar IAM-software is volgens directeur Martijn Schuyt de afgelopen 10 jaar sterk toegenomen, net als het aantal aanbieders. “SmartAIM heeft inmiddels 52 klanten die onze applicatie gebruiken en is marktleider in het segment ziekenhuizen. Door het vele online werken door corona is er steeds meer ervaring over wat er misgaat als de toegang niet gecontroleerd wordt, met als gevolg dat er steeds meer wet- en regelgeving komt. Dit leidt tot meer vraag naar betaalbare, controleerbare en makkelijke IAM-processen.”

De rol van SmartAIM

SmartAIM, dat in 2022 onderdeel werd van Oribi Groep, kan ziekenhuizen helpen aantoonbaar in control te zijn met hun autorisaties. “Wij merken dat ziekenhuizen hier lang niet altijd zicht op hebben en daarom niet in control zijn. Bovendien is het veel werk als je dit handmatig moet bijhouden. Door gebruik te maken van de software van SmartAIM kunnen ziekenhuizen voortaan in één oogopslag het overzicht bewaren en actie ondernemen”, aldus Schuyt. Met SmartAIM kunnen leidinggevenden met behulp van de module Attestatie zelf snel en simpel controles uitvoeren op de autorisaties van hun medewerkers. Bijvoorbeeld voor een audit, maar ook om zelf meer zicht te krijgen op alle toegewezen autorisaties.

Bovendien krijg je zo snel en eenvoudig inzicht in je hoog-risico-autorisaties. Doordat er een automatisch proces achter zit, weet je zeker dat bepaalde autorisaties tijdig weer ingetrokken worden en dat accounts worden dichtgezet – bijvoorbeeld als medewerkers uit dienst gaan of van functie zijn veranderd. Schuyt: “En last-but-not-least: je kunt met een IAM-oplossing ook geld besparen. Je kunt het aantal consultancy-uren namelijk drastisch verminderen om aan te tonen dat alles op orde is, omdat alles in de basis al goed staat. Bovendien ontlast je je leidinggevenden en IT-afdeling door het proces te automatiseren.”