De zorguitgaven laten in 2013 de grootste groei zien in de rijksbegroting en bedragen al meer dan 10% van ons BNP. Er ligt dan ook een zware opdracht om 1,4 miljard euro in deze sector te bezuinigen. Organisaties in de zorg staan onder steeds grotere druk om tot aanzienlijke kostenverlaging te komen. Aan de andere kant zal er door de vergrijzing van de Nederlandse bevolking meer zorg nodig zijn. ICT technologie zoals Cloud toepassingen en Domotica lijkt daarom aan belang te winnen in de zorgsector om uit deze gordiaanse knoop te komen.
Ontwikkelingen
Het feit dat ICT in belang toeneemt, heeft te maken met een aantal ontwikkelingen binnen de zorgsector, waaronder:
- Mensen eisen een steeds hogere kwaliteit, bijvoorbeeld in de vorm van snelle hulp, de beste medicijnen, gebruik nieuwste technieken etc.
- 24/7 dienstverlening.
- Toename van digitalisering van patiëntgegevens.
- Behoefte aan integratie van data & telefonie (vast & mobiel)
- De wens om “apparaat & platform onafhankelijk” te werken
- De opkomst van mobiele toepassingen in de zorg
- Ketenintegratie is steeds belangrijker
- De eisen aan informatiebeveiliging zijn steeds hoger
- Standaardisatie neemt toe vanuit kostenoogpunt
ICT investeringen
Wat is nu wijsheid als een zorgorganisatie voor de beslissing staat om opnieuw een belangrijke investering te doen in de ICT van de organisatie?
Door de opkomst van Cloudcomputing is uitbesteden van ICT een steeds beter alternatief voor het zelf investeren in hard- en software. Steeds meer organisaties raken enthousiast over deze optie vanwege het ontzorgen en de flexibele kosten. Ook de financieel directeur is blij dat de ICT kosten helder gespecificeerd zijn. Daar staat tegenover dat sommige organisaties zich zorgen maken over de beveiligingsmaatregelen en het gebrek aan controle over data. Echter in de praktijk blijkt dat de meeste schandalen van het lekken van data bijna altijd uit traditionele in-house systemen komt. Zo niet bij een recent schandaal in het Groene Hart ziekenhuis in Gouda. http://www.nu.nl/binnenland/2927832/groene-hart-ziekenhuis-lekt-medische-dossiers.html waar 493.000 patiëntgegevens beschikbaar kwamen op een externe FTP server in het kader van het digitaliseren van het archief.
NEN 7510
Informatiebeveiliging is dus belangrijk. Zeker in de zorgsector, waar medische en patiëntgegevens worden beheerd en uitgewisseld. Onder informatiebeveiliging in de zorgsector wordt verstaan: “het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten op een verantwoorde manier zorg te bieden.” NEN 7510 richt zich op zorginstellingen en andere organisaties die bij informatievoorziening in de gezondheidszorg zijn betrokken, ongeacht de aard en de omvang van het bedrijfsproces.
Kwaliteit leveren
Het IGZ toetst zorginstellingen op het leveren van kwaliteit. Informatiebeveiliging is een integraal onderdeel van het leveren van kwaliteit. Zorgvuldig omgaan met informatie zodat het vertrouwelijk en integer behandeld wordt, is net zo belangrijk als het verzorgen van een verwonding.
Wet Bescherming Persoonsgegevens (WBP)
Hoewel de NEN 7510 formeel niet in de wet is opgenomen, is iedere instelling die te maken heeft met de verwerking van persoonsgegevens verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. In Artikel 13 van deze wet staat onder meer vermeld dat instellingen passende technische en organisatorische maatregelen dienen te nemen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.
Regelgeving gebruik BSN-nummers
Alle zorgaanbieders, indicatieorganen en zorgverzekeraars moeten sinds 1 juni 2009 het BSN gebruiken bij het uitwisselen van gegevens over patiënten of cliënten. In de regelgeving over het gebruik van BSN-nummers staat expliciet aangegeven dat instanties die toegang hebben tot de BSN-nummers hun informatiebeveiliging op orde moeten hebben.
Conformeren wordt verplicht
De gezondheidsinspectie doet haar best om de NEN 7510 verplicht te stellen. Op dit moment is dit nog niet mogelijk, omdat er nu nog te weinig instellingen aan de NEN 7510 voldoen. Nu verplicht stellen zou tot gevolg hebben dat onvoldoende instellingen in formele zin zorg mogen leveren. Echter op het moment dat er voldoende instellingen voldoen aan de NEN 7510, of IGZ een middel vindt om de NEN 7510 wel verplicht te stellen, is de verwachting dat dit zeker zal gebeuren. Voldoet de zorginstelling op dat moment niet, dan loopt men het risico dat de werkzaamheden moeten stoppen.
Selectie criteria voor ICT outsourcing
Een traditionele aanpak van ICT betekent vrijwel altijd hoge kosten voor overhead en kapitaalbeslag. Zulke kosten maken dat organisaties niet kunnen concurreren in een markt waar concurrenten met dezelfde omzet minder voor hun ICT betalen. Is het dan mogelijk om als zorginstelling uw ICT uit te besteden en tevens te voldoen aan de NEN7510 norm? Het goede nieuws is dat er recent enkele partijen zijn bijgekomen die voldoen aan deze norm.
Indien u zich wilt oriënteren op ICT outsourcing dan zijn de volgende vragen relevant om te stellen aan uw potentiële ICT partner:
- Is deze organisatie gecertificeerd conform NEN7510
- Hoe lang is deze partij actief op het gebied van outsourcing?
- Hoeveel ervaring heeft deze organisatie in de zorg?
- Kan men het aanbod toesnijden op de specifieke applicaties van uw organisatie?
- Heeft men naast het eigen datacenter ook een back-up datacenter op een andere locatie?
Conclusie
ICT is door bovengenoemde ontwikkelingen een belangrijk onderdeel van het zorgproces. Een zorg organisatie moet ICT inzetten om medewerkers te ondersteunen en de nodige functionaliteit bieden om een goede en efficiënte zorg te kunnen verlenen. Hiermee komt direct een ander belangrijk aspect naar voren: de afhankelijkheid van ICT neemt toe. Een goede beschikbaarheid, veiligheid en gegarandeerde continuïteit is dus van groot belang.
In vele situaties geldt dat een eigen organisatie soms te klein is om fundamentele keuzen voor innovatieve ICT-toepassingen te kunnen maken. Het zou dus rendabel als zorgorganisaties juist op het ICT-terrein de samenwerking gaan zoeken met andere zorgorganisaties.
Organisaties die hun ICT uitbesteden maken liquide middelen vrij voor andere zorg gerelateerde zaken. De informatie beveiliging is altijd up to date omdat dit is uitbesteed aan specialisten waardoor de reputatie van de zorginstelling is beschermd. Helemaal als NEN 7510 daarin centraal staat.
Auteur:
C.A.M. van der Burg
Accountmanager Zorg
Multrix
© Digitalezorg.nl
Ik ben het niet eens met de door de heer van der Burg gestelde eindconclusie.
Ik citeer: “Organisaties die hun ICT uitbesteden maken liquide middelen vrij voor andere zorg gerelateerde zaken. De informatie beveiliging is altijd up to date omdat dit is uitbesteed aan specialisten waardoor de reputatie van de zorginstelling is beschermd. Helemaal als NEN 7510 daarin centraal staat.”
De heer van der Burg beweert hiermee dat bij het uitbesteden van IT de informatie beveiliging altijd op orde is. Dit is VERRE van de werkelijke situaties bij veel zorginstellingen/organisaties.
De werkelijke situatie is dat veel Directies / Bestuurders IT security verantwoordelijkheden niet meer tot zich nemen, maar dit “automatisch” voelen te hebben uitbesteed aan de derde partij.
Dat kan de organisatie zeer duur komen te staan. We weten allemaal dat het wettelijk geregeld is dat de Bestuurder / Eigenaar van de data de eindverantwoordelijkheid heeft. Deze zal zich dus binnen de organisatie ook zo moeten gedragen en maatregelen moeten nemen om de veiligheid van de instelling en haar data te waarborgen.
Dat is helaas bij veel organisaties niet het geval. Helaas zien we ook dat veel IT partijen die verantwoordelijkheid niet serieus (genoeg) nemen. Daar de kennis niet voor hebben, de zin niet hebben (we worden niet betaald voor veiligheid maar voor IT dienstverlening), of anderszins.
Ik ben van mening dat de conclusie geheel onjuist is. Door deze conclusie krijgen Bestuurders / organisaties een compleet verkeerd beeld. En dat kan ze duur komen te staan………
In het bovenstaande artikel wordt m.i. ten onrechte gesugereerd dat als de leverancier van de cloud dienst voldoet aan de NEN 7510 de zorginstelling hiermee automatisch een voldoende niveau van informatiebeveiliging heeft. Wil een zorginstelling ook voldoen, dan is het toch echt noodzakelijk dat de nodige juridische afspraken worden gemaakt.
Zo is het noodzakelijk om een verantwoordelijke – bewerker overeenkomst te sluiten, afspraken te maken over een auditing recht en procedures om daadwerkelijk te auditen of de cloud leverancier zich houdt aan de afspraken.
Ook zou het nodige gezegd moeten worden over rechten met betrekking tot de opgeslagen data, hoelang wordt deze bewaard, kan hij op verzoek van de zorginstelling worden verwijderd (ook uit de backups) en hoe wordt gegarandeerd dat de gegevens gescheiden blijven van die van andere klanten van de cloud leverancier.
Dit zijn slechts enkele voorbeelden, maar het geeft in ieder geval duidelijk aan dat enkel met het in zee gaan met een leverancier die voldoet aan de NEN 7510 niet voldoende is. En dan heb ik het nog niet eens gehad over de mening in de juridische wereld dat de NEN 7510 de WBP niet voldoende waarborgt.