Veel Nederlandse ziekenhuizen gaan nonchalant om met de beveiliging van patiëntengegevens en geven gevoelige informatie gemakkelijk weg aan derden.
Dat blijkt uit een onderzoek van het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg. In dit onderzoek zijn twintig ziekenhuizen onderzocht en nergens was de beveiliging van de patiëntendossiers geheel op orde.
Ook een reportage van Nova toont aan hoe gemakkelijk buitenstaanders toegang kunnen krijgen.
Nova-redacteuren kregen gemakkelijk toegang tot codes om in te loggen op de databases van de ziekenhuizen. Zo konden ze medische informatie bekijken en bij patiëntengegevens komen. Afdelingen schijnen met dezelfde inlognaam en wachtwoord te werken en medewerkers zijn zich onvoldoende bewust van de risico’s van het werken met ICT. Zo kunnen buitenstaanders door middel van handigheidjes, door zich bv. voor te doen als iemand van de computerafdeling, gewoon om toegang vragen en zo in de computers van ziekenhuizen komen.
Doordat de computers slecht zijn beveiligd en medewerkers de risico’s onvoldoende in de gaten hebben, lopen patiënten grote risico's. Gegevens kunnen verkeerd worden ingevoerd of veranderd. Buitenstaanders kunnen zich toegang verschaffen tot de gegevens van patiënten en mogelijk ook gegevens wijzigen.
Plan van aanpak, externe controle en handhavend optreden.
De twintig onderzochte ziekenhuizen zullen duidelijk moeten maken hoe zij wel aan een passend beveiligingsniveau gaan voldoen. Zij moeten aan het CBP (College Bescherming Persoonsgegevens) en de IGZ (Inspectie voor de Gezondheidszorg) een plan van aanpak leveren waaruit blijkt hoe zij dat gaan bereiken en op welke termijn zij dat bereikt zullen hebben. Als de inhoud van het plan van aanpak daartoe aanleiding geeft, zal handhavend worden opgetreden.
De inspectie laat ook de overige ziekenhuizen in Nederland een plan van aanpak opstellen. Uit dit plan van aanpak moet blijken hoe deze ziekenhuizen aan de beveiligingsnorm gaan voldoen. Daarnaast zullen alle ziekenhuizen in 2010 aan de inspectie de resultaten moeten overleggen van een extern uitgevoerde controle die dit aantoont. Zonodig zal op grond van het plan van aanpak een eerdere beoordeling door de inspectie plaatsvinden en corrigerend worden opgetreden.
Uit het onderzoek van CBP en IGZ:
Verbeteringen zichtbaar maar nog steeds onvoldoende risicobewustzijn, weinig uitgewerkt beleid, veel ‘in de praktijk geregeld’ en ontbreken van effectieve controle op gedrag van medewerkers.
Uit het onderzoek blijkt dat er vooral op technisch gebied in vergelijking met vier jaar geleden veel is verbeterd. Echter, zowel de leiding als de medewerkers zijn zich nog steeds onvoldoende bewust van de risico’s die gebruik van ICT in ziekenhuizen met zich meebrengt. Over het algemeen wordt bewust omgegaan met het openstellen van het netwerk voor andere zorginstellingen. Maar de informatiebeveiliging is vaak nog te weinig omgezet naar uitgewerkt beleid en er wordt veel ‘in de praktijk’ geregeld. Een andere belangrijke bevinding is het ontbreken van bewustzijn bij medewerkers van het belang van informatiebeveiliging. Informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak.
Concreet: bij een onderzoek onder twintig ziekenhuizen blijkt bij negen daarvan dat er geen sprake is van een passend beveiligingsniveau zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens (WBP). Bij vijf is sprake van onvoldoende passend beveiligingsniveau en bij zes ziekenhuizen is er nog niet in voldoende mate sprake van passend beveiligingsniveau.