Hoe houdt overheid toezicht op informatiebeveiliging in de zorg?

In dit artikel:

De recente hack bij een Clinical Diagnostics-lab van Eurofins maakte opnieuw duidelijk hoe kwetsbaar de informatiebeveiliging in de Nederlandse zorgsector is. Privacygevoelige gegevens van miljoenen Nederlanders worden dagelijks tussen talloze zorgorganisaties gedeeld; daarvoor bestaan wettelijke normen (NEN 7510 en NEN 7512). Toezicht op naleving daarvan ligt bij de Inspectie Gezondheidszorg en Jeugd (IGJ).

Karly Tánczos van de IGJ legt uit dat zorgaanbieders aantoonbaar een information security management system (ISMS) moeten hebben dat aan die norm voldoet, plus een getoetst continuïteitsplan. De IGJ verlangt een onafhankelijke beoordeling van dat managementsysteem; certificering door een geaccrediteerde instelling is een mogelijk bewijsstuk, maar niet verplicht. De inspectie zelf werkt niet samen met certificerende instanties en heeft geen standaardtemplate voor beoordelingen, wel stelt zij voorwaarden waaraan rapporten moeten voldoen.

De IGJ signaleert dat veel zorginstellingen hun informatiebeveiliging nog niet volgens de norm hebben ingericht: “Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm.” Daarom publiceert de IGJ een speciale informatiepagina met antwoorden op veelgestelde vragen en biedt zij een toetsingskader voor digitale zorg aan. Verder wordt in samenwerking met de overheid gewerkt aan maatregelen om informatieveilig gedrag en de algehele beveiliging te verbeteren.

De informatie is vooral bedoeld voor bestuurders en verantwoordelijken voor informatiebeveiliging (zoals hoofden ICT en security officers) om hen te ondersteunen bij het voldoen aan wettelijke eisen en het verkleinen van risico’s na incidenten zoals de Eurofins-hack.