Huisartsenspoedposten hebben informatiebeveiliging niet op orde
Een groot aantal huisartsenspoedposten heeft de informatiebeveiliging niet op orde, zo stelt de Inspectie Gezondheidszorg en Jeugd (IGJ) op basis van onderzoek. Voor het onderzoek werden alle 49 organisaties in Nederland onderzocht die huisartsenspoedzorg leveren. Deze organisaties leveren huisartsenzorg tijdens avond-, nacht- en weekenduren via een huisartsenspoedpost (HAP).
De IGJ wilde weten hoeveel van de 49 organisaties via de wettelijk verplichte NEN 7510 norm werken. 43 organisaties voldeden nog niet volledig aan die norm. Zorgaanbieders zijn al jaren wettelijk verplicht om te werken aan informatiebeveiliging. De NEN 7510 is de norm voor informatiebeveiliging in de zorg in Nederland. Er staat in hoe zorgorganisaties hun informatiebeveiliging moeten regelen.
Slechts zes van de 49 onderzochte organisaties konden via een certificaat aantonen dat ze aan de NEN 7510 voldoen. De IGJ zegt dat er bij huisartsenspoedposten wel bewustzijn is rond het thema informatiebeveiliging. Zo hebben de meeste organisaties die huisartsenspoedzorg leveren verschillende maatregelen genomen, zoals het instellen van multifactorauthenticatie en het trainen van medewerkers op het gebied van informatiebeveiliging.
Van de 43 organisaties die niet nog gecertificeerd aan de NEN 7510 voldoen hebben negen wel een onafhankelijke beoordeling laten uitvoeren om te zien waar ze staan ten opzichte van de norm. Volgens de IGJ waren deze beoordelingen vaak gebaseerd op documentatie en beleidsstukken en nog niet op de daadwerkelijke werking van informatiebeveiliging in de praktijk. Daarom voldoen deze organisaties nog niet aan de norm. Een deel van de organisaties die niet aan de norm voldoet wil dat alsnog dit jaar doen.
Bij de organisaties die nog niet volgens de norm werken heeft de inspectie aanvullende vragen gesteld. Met alle organisaties die nog niet voldeden heeft de inspectie afspraken gemaakt. Bijvoorbeeld over een duidelijke streefdatum en het laten uitvoeren van een deskundige, onafhankelijke beoordeling. Ook vraagt de inspectie verbeterplannen op en volgt de voortgang. Sinds het onderzoek hebben alle organisaties die nog niet voldeden maatregelen genomen, aldus de inspectie. Die verwacht dat alle organisaties uiterlijk eind 2026 aantoonbaar aan de NEN 7510 norm voldoen.
https://nos.nl/artikel/2586333-inspectie-huisartsenspoedposten-hebben-databeveiliging-niet-op-orde
En je moet kunnen laten zien dat je volgens die norm werkt, maar er is géén verplichting om een certificering te hebben!
(Dat lijkt een onjuiste aanname te zijn van de redactie)
Zie ook deze pagina van de NEN:
https://www.nen.nl/zorg-welzijn/ict-in-de-zorg/informatiebeveiliging-in-de-zorg
Denk dat de uitdaging hier, zoals op zoveel plekken, ligt in het het primaire proces zo goed mogelijk faciliteren vanuit de IT, waarbij het primaire proces voorop zou moeten staan.
En je moet kunnen laten zien dat je volgens die norm werkt, maar er is géén verplichting om een certificering te hebben!
(Dat lijkt een onjuiste aanname te zijn van de redactie)
Zie ook deze pagina van de NEN:
https://www.nen.nl/zorg-welzijn/ict-in-de-zorg/informatiebeveiliging-in-de-zorg
Voor facturatie etc wel.
Een goede beveiliging houdt zicht op t primaire proces...
Met de verdergaande proliferatie van data in het kader van EU wetgeving os veiligheid dus wel van belang in nog grotere omgeving.
En dat is dus niet geborgd...is het geborgd in moldovie, roemenie, .... Etc.
En je moet kunnen laten zien dat je volgens die norm werkt, maar er is géén verplichting om een certificering te hebben!
(Dat lijkt een onjuiste aanname te zijn van de redactie)
Zie ook deze pagina van de NEN:
https://www.nen.nl/zorg-welzijn/ict-in-de-zorg/informatiebeveiliging-in-de-zorg
NEN 7510 bestaat uit 2 delen (je verwacht het niet, maar die heten deel 1 en deel 2):
Deel 1 komt grotendeels overeen met de ISO norm. Die is certificeerbaar,
Deel 2 is een "bonus" specifiek voor de zorg. En die is niet certificeerbaar.
En zoals eerder vermeld, die certificering is niet verplicht. Je moet wel aan kunnen tonen dat je volgens de norm werkt.
Hou me te goede, dit is zoals ik het uit de documentatie lees.
Compliancy != security
En zelfs als het wel 'op orde' is, dan voorkomt niks het rondneuzen door een nieuwsgierige 'bevoegde'. Ofwel: het onderzoek is een wassen neus. En over beveiliging is helemaal niet nagedacht.
Zelfs binnen de zorg is IT meestal bezig met het afvinken van lijstjes en zo min mogelijk daadwerkelijk doen. Een manager betaald liever een ton voor een extreem dure firewall dan daadwerkelijk het werk te doen om een werknemer echt te ondersteunen in veiligheid.
De overheid maakt verder liever meer regeltjes dan daadwerkelijk te werken aan veiligheid. Ook daar heb ik helaas te veel ervaring mee en dagelijks vechten heel veel mensen tegen deze onnodige bureaucratie. Wij worden helaas aan de kanten geschoven door Den Haag. Die zijn namelijk enkel bezig met politiek drijven en achterdeur dealtjes maken.
Dit is niet een technische probleem maar van mensen. En het is ook niet uniek voor de zorg.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?