IGJ: meeste ziekenhuizen voldeden bij inspectie niet aan beveiligingsnorm
De meeste Nederlandse ziekenhuizen die de afgelopen jaren door de Inspectie Gezondheidszorg en Jeugd (IGJ) werden geïnspecteerd voldeden op het moment van de inspectie niet aan de wettelijke beveiligingsnorm NEN 7510. Ook na het inspectiebezoek kon het soms meerdere jaren duren voor een ziekenhuis voldoende verbeteringen had doorgevoerd om aantoonbaar aan de wettelijke norm te voldoen.
Dat laat de IGJ in een nieuw rapport weten. Daarin roept de Inspectie ziekenhuizen op om de informatiebeveiliging snel op orde te krijgen mocht dat nog niet het geval zijn. "Zeker in een tijd dat de druk op de sector hoog is, kan uitval van een ziekenhuis door bijvoorbeeld gijzelsoftware ernstige gevolgen hebben voor de zorg", aldus de Inspectie.
De IGJ voerde tussen september 2017 en oktober 2021 in totaal 22 inspectiebezoeken aan ziekenhuizen uit, waarbij er werd gekeken naar zaken als EPD’s, patiëntportalen, de inzet van tele- en thuismonitoring en diverse oplossingen voor digitale uitwisseling van gegevens met patiënten, professionals en andere zorgaanbieders.
De meerderheid van de bezochte ziekenhuizen kon op het moment van het inspectiebezoek niet duidelijk maken hoe effectief het informatiebeveiligingsbeleid was en hoe gewerkt werd aan verbetering. Volgens de Inspectie laat dit zien dat het voor ziekenhuizen niet altijd eenvoudig is om effectief informatiebeveiligingsbeleid te voeren zonder een papieren tijger te creëren.
"Mogelijk doordat het onderwerp niet genoeg aandacht van het bestuur heeft of omdat te weinig deskundigheid aanwezig is", aldus de IGJ. Verder worden risicoanalyses bij de invoering van e-health producten en diensten niet altijd uitgevoerd en is de manier van besluitvorming over e-health niet altijd inzichtelijk. Ook zijn er twijfels of ziekenhuizen wel voldoende maatregelen tegen ict-storingen hebben genomen.
"De informatiebeveiliging moet beter", aldus de Inspectie. "Dat is noodzakelijk want ziekenhuizen worden steeds afhankelijker van ICT. En aan de andere kant nemen bedreigingen, zoals een aanval met gijzelsoftware, toe." De IGJ vindt het noodzakelijk dat ook ziekenhuizen die nog niet zijn bezocht snel zorgen dat ze hun informatiebeveiliging aantoonbaar op orde hebben.
Volledig uitgekleed! In 2010 ging er 10.2% van het BNP naar de zorg en in 2019 ook 10.2%(2020 was al een corona jaar waardoor we veel hoger zitten). Er was in 2015 en 2016 een "spike" van 10.6%. Als we dit vergelijken met andere landen om ons heen is dit redelijk gemiddeld (er zijn landen waarbij dit hoger is geworden maar ook waarbij dit lager is geworden). Hoe kom je er op dat de zorg is uitgekleed? En wat is je oplossing om de zorg betaalbaar te houden? Ik vind dat ik mij nu al scheel betaal aan iets dat ik tot nu toe in mijn leven nauwelijks nodig heb gehad.
bron: https://stats.oecd.org/
Volledig uitgekleed! In 2010 ging er 10.2% van het BNP naar de zorg en in 2019 ook 10.2%(2020 was al een corona jaar waardoor we veel hoger zitten). Er was in 2015 en 2016 een "spike" van 10.6%. Als we dit vergelijken met andere landen om ons heen is dit redelijk gemiddeld (er zijn landen waarbij dit hoger is geworden maar ook waarbij dit lager is geworden). Hoe kom je er op dat de zorg is uitgekleed? En wat is je oplossing om de zorg betaalbaar te houden? Ik vind dat ik mij nu al scheel betaal aan iets dat ik tot nu toe in mijn leven nauwelijks nodig heb gehad.
bron: https://stats.oecd.org/
net als een crematie of begrafenis fonds, betaal je ook alleen maar aan en zodra je het nodig hebt ben je er niet meer... je doet het dus ook niet alleen maar puur voor jezelf zeg maar net als dat belasting betalen. 't zou toch wat zijn als jij onverhoopt door een ongeval in een rolstoel zit en dan het ook maar lekker zelf mag uitzoeken omdat je daarvoor niet voor zorg belasting te betalen? egoistisch denken is dat dat je vooral terug ziet bij jongen gezonde rijke indivduen die niet verder kenne kijken dan ikke ikke ikke :)
Als je dit in ogenschouw neemt, dan is de IGJ niet transparant. Ze melden nergens dat ze zelf vorige jaar een normenkader hebben bedacht over eHealth, zonder daarin de ziekenhuizen te betrokken. Nu rekenen ze de ziekenhuizen af tegen dit normenkader zonder te zeggen dat ze dit gebruikt hebben. Op zich al vreemd dat een toezichthouder zelf met normen kan komen. Dit is in strijd met de trias politica.
Voorts is het vreemd dat nergens het Ministerie van VWS wordt genoemd. Dit probeert op grote schaal eHealth toepassingen er doorheen te drukken omdat dit er voor moet zorgen dat de zorg betaalbaar blijft. Daarbij is er geen enkele aandacht voor het feit dat (1) het gaat om IoT achtige apparaten met vaak nog onvoldoende aandacht voor beveiliging en (2) een groot deel van doelgroep bejaard én digibeet is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
