Ziekenhuizen moeten eind 2023 voldoen aan norm die ict-storingen moet voorkomen

De Nederlandse Inspectie Gezondheidszorg en Jeugd heeft ziekenhuizen een deadline opgelegd om aan de norm NEN 7510 te voldoen. Deze norm gaat onder meer over wat ziekenhuizen moeten doen om ict-storingen te voorkomen. Eind 2023 moeten alle ziekenhuizen hieraan voldoen.

NEN 7510 bevat eisen aan het informatiebeveiligingsmanagementsysteem en richtlijnen voor beheermaatregelen. Ziekenhuizen moeten volgens de norm bijvoorbeeld een proces toepassen om risico's te kunnen beheren en informatiebeveiliging opnemen in procedures en bij het ontwerpen van processen. De richtlijnen gaan weer over hoe ziekenhuizen het best de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie kunnen beschermen. Ziekenhuizen moeten ook regelmatig onafhankelijke beoordelingen laten uitvoeren.

De verplichting van de Inspectie Gezondheidszorg en Jeugd volgt na veertien ict-storingen die sinds eind 2018 zijn voorgevallen. Sinds eind 2018 stelt de IGJ namelijk na een 'grote' storing vragen bij ziekenhuizen. Zo wil de zorginspectie leren van storingen om zo ziekenhuizen op hun beurt te laten leren.

De meeste storingen duurden tussen de zes en achttien uur en minimaal elf storingen zijn begonnen bij een technisch onderdeel in de infrastructuur. Dit onderdeel ging bijvoorbeeld stuk. Geen enkele onderzochte storing werd veroorzaakt door een beveiligingsprobleem. De storingen hadden meestal wel tot gevolg dat de spoedeisende hulp dicht moest en dat operaties en andere afspraken uitgesteld moesten worden.

Op basis van deze veertien storingen adviseert de IGJ dat ziekenhuizen de bestaande infrastructuur en beheerprocedures verbeteren. Daarnaast moeten ze meer oefenen voor crisissituaties, duidelijkere afspraken maken met ict-leveranciers en de communicatie verbeteren. Verder moeten de ziekenhuizen onderling meer ervaringen delen over storingen, om zo meer van elkaar te kunnen leren. De IGJ geeft niet aan wat er gebeurt als ziekenhuizen eind volgend jaar niet aan de norm voldoen.

Door Hayte Hugo

Redacteur

Feedback • 27-09-2022 13:27
60 • submitter: Anonymoussaurus

27-09-2022 • 13:27

60

Submitter: Anonymoussaurus

Lees meer

Cardioloog als techneut

17 sep 2022

Cardioloog als techneut

Interview over implanteren kunsthart

22
Maastricht UMC sluit poliklinieken vanwege grote ict-storing
Maastricht UMC sluit poliklinieken vanwege grote ict-storing Nieuws van 8 september 2022
Drone vervoert voor het eerst in Europa menselijk weefsel tussen ziekenhuizen
Drone vervoert voor het eerst in Europa menselijk weefsel tussen ziekenhuizen Nieuws van 23 augustus 2022
Amerikaanse ziekenhuizen stuurden data van patiënten door naar Meta
Amerikaanse ziekenhuizen stuurden data van patiënten door naar Meta Nieuws van 16 juni 2022
Belgisch ziekenhuis AZ Herentals meldt datalek
Belgisch ziekenhuis AZ Herentals meldt datalek Nieuws van 21 april 2022
Ict-storing bij ziekenhuis Zwolle leidt tot uitstel operaties - update
Ict-storing bij ziekenhuis Zwolle leidt tot uitstel operaties - update Nieuws van 8 april 2022
Albert Schweitzer-ziekenhuis wiste per ongeluk bestanden van 200.000 patiënten
Albert Schweitzer-ziekenhuis wiste per ongeluk bestanden van 200.000 patiënten Nieuws van 21 maart 2022
Amsterdam UMC gaat AI gebruiken om beter ziekten te diagnosticeren
Amsterdam UMC gaat AI gebruiken om beter ziekten te diagnosticeren Nieuws van 26 november 2021
Artsen UMC Utrecht plaatsen kunsthart met externe controller bij patiënt
Artsen UMC Utrecht plaatsen kunsthart met externe controller bij patiënt Nieuws van 15 november 2021
Radboudumc-datalek kwam door delen van scripts met persoonsgegevens op GitHub
Radboudumc-datalek kwam door delen van scripts met persoonsgegevens op GitHub Nieuws van 25 augustus 2021
Radboudumc meldt datalek van accountgegevens medewerkers en partners
Radboudumc meldt datalek van accountgegevens medewerkers en partners Nieuws van 12 augustus 2021
Ziekenhuis Isala: bloed vervoeren per drone heeft geen invloed op bloedkwaliteit
Ziekenhuis Isala: bloed vervoeren per drone heeft geen invloed op bloedkwaliteit Nieuws van 11 augustus 2021
Meer producten en artikelen
Beveiliging en antivirus Gezondheid Nederland Overheid

Reacties (60)

-Moderatie-faq
60
60
38
9
0
21
Wijzig sortering
F_J_K Forummoderator 27 september 2022 13:42
NEN7510 hanteren is sinds 2008 verplicht via de Regeling gebruik burgerservicenummer in de zorg. De noodzaak kan dan ook geen verrassing zijn.
RogerDad @F_J_K27 september 2022 13:54
Klopt en de AVG vereist het feitelijk ook via artikel 32 (passende maatregelen), maar IGJ draait de duimschroeven nu (terecht) aan door te stellen dat je voor eind 2023 aantoonbaar moet voldoen aan de norm. In de meeste gevallen betekent dat certificering en dat is wel een heel circus van een ISMS, beleid en processen. Veel ziekenhuizen hebben die certificering al, of zijn een flink eind onderweg, maar als je hebt liggen slapen dan is het nog wel een uitdaging.
DVX73 @RogerDad27 september 2022 14:11
De AVG vereist niet dat data/systemen beschikbaar zijn.
RogerDad @DVX7327 september 2022 14:47
Dat is een misvatting (maar niet breed bekend) beschikbaarheidsincidenten kunnen wel degelijk ook onder datalekken vallen als ze betrekking hebben op persoonsgegevens, zie op de website van de AP: https://autoriteitpersoon...op%20de%20beschikbaarheid
Dus als je EPD er een tijd uit ligt dan moet je dit melden aan de AP als datalek en als je dit niet doet en het is wel in de media gekomen dan heb je grote kans dat je een brief krijgt waarom je dit niet gemeld hebt.
fastedje @RogerDad27 september 2022 16:49
Het gaat dan neem ik aan om het onbedoeld verlies van data?
Wat is een datalek precies?

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
RogerDad @fastedje27 september 2022 20:58
Niet persé, het kan ook zijn dat door het tijdelijk niet beschikbaar zijn van data of diensten er een nadelige impact is voor de persoon of personen. Daarom staat er ook een of in de zin:
Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Ik denk dat onbevoegd verlies van toegang slaat op incidenten die het gevolg zijn van een hack.
Calypso @DVX7327 september 2022 14:39
Nee, maar de kern van de 7510 is toch echt informatiebeveiliging dus heeft @RogerDad hier wel degelijk een punt
Cilph @RogerDad27 september 2022 14:34
Als je NU nog een heel ISMS moet optuigen dan ben je wel erg slecht bezig.
RogerDad @Cilph27 september 2022 21:06
Dat klopt, het belang naar je patiënten is niet alleen goede zorg leveren, maar ook zorgen dat hun gegevens veilig zijn en dat je instelling beschermd is tegen het huidige dreigingslandschap. Een ISMS optuigen is feitelijk niet zo heel moeilijk, maar ervoor zorgen dat het ook effectief is en soepel functioneert dat is nog wel een ander verhaal.
Cloud @F_J_K27 september 2022 13:54
Dat schept wel een ander perspectief op dit nieuwsbericht natuurlijk. Als het iets is wat ze al sinds 2008 hadden moeten hanteren, lijkt het erop alsof de IGJ nu eigenlijk zegt: vanaf eind 2023 gaan we ook echt handhaven op het naleven van deze norm.
SuperDre
@F_J_K27 september 2022 13:56
Juist, men was al langer eigenlijk verplicht zich daaraan te voldoen, alleen nu wordt daar dan ook echt consequenties aangesteld als ze er eind 2023 nog steeds niet aan voldoen.
mrnn @F_J_K27 september 2022 15:01
Klopt helemaal maar ik ben blij dat ze zich nu ook moeten laten accrediteren, die audits maken echt het verschil. Van mij zouden ze dit breder mogen trekken in de zorg, niet alleen ziekenhuizen. Kost veel tijd en geld, maar gaat veel verder dan alleen techniek en storingen.

Ik ken diverse zorgverleners met webapplicaties met medische patiëntgegevens die openbaar via internet (zonder VPN) toegankelijk zijn met alleen een username/wachtwoord combinatie zonder MFA, zonder pentesten en zonder ondersteuning leveranciers omdat het legacy software is die ze zelf hosten.

Deze partijen zijn netjes ISO 27001 gecertificeerd en hebben een functionaris gegevensbescherming in dienst. Die zaken bieden geen enkele zekerheid. NEN7510 is een stuk strikter en stelt concretere eisen. Kom desnoods met een light variant voor kleinere instellingen maar zelf ervaar ik op dit moment een absoluut gebrek aan toezicht die nog voor vele problemen gaat zorgen.

[Reactie gewijzigd door mrnn op 23 juli 2024 08:42]

CAPSLOCK2000
27 september 2022 13:53
NEN 7510 bevat eisen aan het informatiebeveiligingsmanagementsysteem en richtlijnen voor beheermaatregelen

...

De meeste storingen duurden tussen de zes en achttien uur en minimaal elf storingen zijn begonnen bij een technisch onderdeel in de infrastructuur. Dit onderdeel ging bijvoorbeeld stuk. Geen enkele onderzochte storing werd veroorzaakt door een beveiligingsprobleem.

Op basis van deze veertien storingen adviseert de IGJ dat ziekenhuizen de bestaande infrastructuur en beheerprocedures verbeteren. Daarnaast moeten ze meer oefenen voor crisissituaties, duidelijkere afspraken maken met ict-leveranciers en de communicatie verbeteren.
Kan ik dat rapport ook ergens vinden*? Ik ben wel benieuwd hoe het nu precies zit. Als het grootste deel van de problemen /begint/ met een technisch onderdeel dan snap ik niet waarom er managementsystemen en beheersmaatregelen nodig zijn. Managementsystemen en beleids gaan natuurlijk niet voorkomen dat onderdelen stuk gaan.


Managementsystemen en goed beheer kunnen er wel voor zorgen dat kleine defecten en storingen uitmonden in grote problemen en storingen. Zo kun je een regels hebben zoals dat je backups moet maken en dat je servers dubbel moet uitvoeren. Daamee zorg je dat kleine problemen klein blijven.

Als je het zo uitlegt datn is het wel een beetje flauw en misleidend om te stellen dat de problemen beginnen bij "technische onderdelen". Dat is een beetje zeggen als dat de vloer nat wordt omdat het regent. Dat klopt wel maar het probleem is het gat in je dak, niet de regen.

Het probleem zit in dat geval in beleid, niet in de techniek. In mijn ervaring zijn de meeste technische storingen (zoals uitvallende voedingen en hardeschijven) zeer voorspelbaar en weten de meeste beheerders dat ze daar rekening mee moeten houden. Budget en tijd krijgen om het goed te doen is echter erg lastig (zoals overal, niet alleen in de IT hoor).

Ik vind het typisch hoor, ik zie niet anders. Mensen zeggen dat het probleem in A zit en daarom gaan ze iets veranderen in B, want B is hun specialiteit (?). Managers zeggen dat techniek faalt en dat ze het gaan oplossen met management. Techneuten zeggen dat management faalt en denken het op te lossen met een klein scriptje. Dan klopt of de probleemstelling niet of de oplossing niet.

Technische problemen moet je met techniek oplossen, beleidsproblemen moet je met beleid oplossen, managementsproblemen moet je met management oplsosen. Je kan het zelden verwisselen. Het (juiste) probleem vaststellen is de eerste stap. Dus, waar gaat het nu echt fout?

aanvulling

* Ik heb een samenvatting gevonden: https://www.igj.nl/public...stuurders-en-ict-managers
  • Les 1: verbeter de bestaande infrastructuur én scherp de beheerprocedures aan
  • Les 2: oefen meer!
  • Les 3: maak duidelijkere afspraken met ICT-leveranciers
  • Les 4: verbeter de crisisorganisatie en de communicatie
  • Les 5: betrek de regio bij crisisvoorbereiding en -evaluatie
Alleen het eerste punt lijkt iets met techniek te maken te hebben. En wat gaat er dan fout:
Bij sommige storingen speelde achterstallig
onderhoud van de infrastructuur een rol.
Bijvoorbeeld doordat netwerken in de loop van de
tijd onnodig ingewikkeld waren geworden door
samengaan van organisaties. Of doordat het
ziekenhuis bepaalde onderdelen te laat vervangen
had. In andere gevallen had het ziekenhuis niet
genoeg kennis en/of documentatie over de inrichting
van de infrastructuur. Soms was er onvoldoende
deskundig personeel beschikbaar. Ook volgden
ziekenhuizen bestaande (wijzigings)procedures niet
altijd.
Onderdelen te laat vervangen? Dan denk ik aan redundante hardware (raid, dubbel voeding) die niet gemonitord wordt. De rest heeft nog minder met techniek te maken.

Ik zeg niet dat de problemen niet kloppen maar alleen dat pretenderen dat "technische storingen" het grote probleem zijn vind ik misleidend.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 08:42]

Keypunchie
@CAPSLOCK200027 september 2022 14:19
Kan ik dat rapport ook ergens vinden*? Ik ben wel benieuwd hoe het nu precies zit. Als het grootste deel van de problemen /begint/ met een technisch onderdeel dan snap ik niet waarom er managementsystemen en beheersmaatregelen nodig zijn
Een managementsysteem is in deze context een set van procedures en regels, die er voor moeten zorgen dat men in controle is van het IT-landschap. Dus geen technische oplossing an sich.

Om het over bvb. netwerkapparatuur te hebben:

Wat een beleidsmaatregel zou kunnen zijn dat er regelmatig een overzicht is van alle routers die tegen vervangingsleeftijd aanlope en dat er een overzicht is van de uptime.

Met het managementsysteem wordt dan bedoeld wat je dan met die beleidsmaatregel doet. Bijvoorbeeld elke maand overleggen of er nieuwe routers moeten worden gekocht.

Bij een audit wordt dan gekeken naar het managementsysteem niveau: in plaats van de inidviduele rapportages te checken, wordt op dat niveau gekeken: zijn de rapportages aangeleverd, is er over overlegd (notulen) en zijn er besluiten n.a.v. genomen. Dit kan ook zijn dat de rapportages aangepast moeten worden, bvb. en dat bvb. de routers het nog prima doen, dus dat het zo nog wel een tijdje door kan.

De individuele maatregelen zijn namelijk vaak zo specifiek voor een organisatie, dat daar niet op de auditten is, maar op managementsysteem-niveau kun je dingen wel makkelijker vastleggen in normen: zijn de verantwoordelijkheden op een goede en gestructureerde manier bezig met de kwaliteit van hun IT?

[Reactie gewijzigd door Keypunchie op 23 juli 2024 08:42]

Sluuut @CAPSLOCK200027 september 2022 14:27
Ik ben inderdaad ook benieuwd naar dit rapport en met welke gedachte, door wie, dit rapport is gemaakt. Leuk om NEN7510 gecertificeerd te zijn, maar dat geeft mijn inzien alleen handvaten om bepaalde processen te volgen en bij bepaalde vragen bepaald beleid te volgen.

99%+ van de "technische storingen" (configuratie) komen door foutieve handelingen van een persoon of meerdere personen. Om dat naar beneden te brengen heb je juist weinig aan NEN7510 invoering en juist meer aan 4-ogen principes, ontwikkel/test/acceptatie-omgevingen en trainingen/bewustwording van wijzigingen in grote infrastructuren.Uitvallende hardware daargelaten, maar ik mag er toch wel vanuit gaan dat ziekenhuizen zoveel mogelijk redundant hebben uitgevoerd.
Cilph @Sluuut27 september 2022 14:38
Als je middels je NEN7510 managementsysteem beoordeelt dat ergens een hoog risico is op foutieve handelingen, dan ga je volgens dat managementsysteem daar maatregelen voor moeten introduceren. Dus iets als 4-ogen, OTAP, bewustwording, etc. In fact, OTAP en bewustwording zijn letterlijk vereist in de NEN7510. Zonder iets als NEN7510 ben je maar uit de losse pols maatregelen aan het introduceren zonder feedbackcyclus om te kijken of iets wel werkt.

[Reactie gewijzigd door Cilph op 23 juli 2024 08:42]

jaenster 27 september 2022 13:36
En maar afvragen waarom de zorg duurder word. Misschien moeten we er voor zorgen dat een ziekehuis niet spreekwoordelijk plat ligt als de IT er uitligt. Leid mensen op zodat ze kunnen werken met een fallback of iets. Zorg dat je dingen die je in het systeem moet zetten kan uitstellen, dat de programma's ook offline werken en werken met een cache van de mensen die er nu liggen/zijn.

Ik noem maar wat dingen op, zo on the fly, er zijn vast betere manieren om dit te doen. Maar we vertrouwen te veel op de IT.
Pindakaasman @jaenster27 september 2022 14:15
Als jij bij een specialist op spreekuur mag komen en hij kan niet bij jouw bloeduitslagen, foto's, resultaten van andere onderzoeken, kan hij niets. Hij heeft maar 10 minuten voor je op zijn spreekuur, dus als dat systeem er een tijdje uit ligt, kan je een andere keer terugkomen. Er zijn voor bijna alle scenario's wel procedures en protocollen, hier is echt wel in geïnvesteerd en dit hebben ziekenhuizen over het algemeen echt wel voor elkaar.
De zorg is zo veranderd, dat je wel moet vertrouwen op IT, 20 jaar geleden liepen er 15 man op een archief rond, die renden door het hele huis met statussen op papier, die mensen werken nu bij IT. Een röntgen afdeling kon ook zonder computers werken, nu zijn al die beelden digitaal.

Misschien een beetje offtopic, maar wel van toepassing op jouw reactie, kijk eens naar de documentaire dodelijke zorg, en vraag je dan nog een keer af hoe smakelijk het gaat zijn om aan een software leverancier te vragen om op elke werkplek een offline cache zoals je het omschrijft te bewerkstelligen.
En dan heb je het alleen over het ziekenhuis informatie systeem/epd, laat staan alle andere systemen die daar aan gekoppeld zijn.
jaenster @Pindakaasman27 september 2022 15:27
Dit is juist een goed voorbeeld waar het een stuk beter zou kunnen toch? Je weet al dat deze mensen komen op spreekuur vandaag, laad al deze informatie alvast in zolang er netwerk is, hou die data over de afspraken vandaag (of de komende 24 uur whatever) alvast in huis. En als er data bij komt (zoals een uitslag), sync deze mee.

Zo dat mocht er een storing zijn, deze dat er al is. En denk aan de tijdwinst die je op termijn haalt omdat niet alles constant hoeft te laden, dat kan zo 5% van de tijd van het gesprek zijn, dat je aan het wachten bent op het laden van de resultaten.
SunnieNL @jaenster27 september 2022 16:41
Daar komen dan ineens veel meer zaken bij spelen.
Hoe zorg je dat die data veilig is opgeslagen en alleen door de juiste personen kan worden ingezien? Hoe weet je achter welk werkstation iemand gaat zitten of krijgt iedereen een niet flexibele werkplek? Of ga je de data van iedereen synced die die dag komt? En ga je dan 1 dag synced of meerdere dagen? Daarnaast moet dat sync systeem continue in de gaten houden of de data niet ineens veranderd en dat synced over meerdere werkplekken.

En moeten al de plekken dan ook wijzigingen lokaal houden en terugsyncen? En wat als er dan op meerdere werkplekken in de offline tijd data is aangepast en teruggesynced moet worden waarbij dezelfde secties zijn overschreven, wie wint er dan? En wat als dan de storing ook een bepaalde werkplek heeft geraakt, daar offline op is gewerkt en dan dat werkstation een hardware probleem krijgt. Hoe ga je dan die lokale gewijzigde data weer naar het centrale systeem krijgen?

Als je de data op meerdere plekken gaat opslaan geldt ineens voor die plekken een veel hogere mate van informatieveiligheid (cia driehoek) die actief moet worden.
Pindakaasman @jaenster27 september 2022 19:25
Klinkt alsof je het systeem nog gecompliceerder wil maken dan het al is. Klinkt in theorie allemaal heel mooi, maar ik zie niet hoe je dit in de praktijk gaat realiseren zonder dat je extra factoren gaat introduceren die het geheel juist storingsgevoeliger maken. En wie zegt er dat je moet wachten op resultaten die geladen moet worden? :)
The Zep Man
@jaenster27 september 2022 13:42
En maar afvragen waarom de zorg duurder word. Misschien moeten we er voor zorgen dat een ziekehuis niet spreekwoordelijk plat ligt als de IT er uitligt. Leid mensen op zodat ze kunnen werken met een fallback of iets. Zorg dat je dingen die je in het systeem moet zetten kan uitstellen, dat de programma's ook offline werken en werken met een cache van de mensen die er nu liggen/zijn.
Een probleem is dat in dit soort situaties er veel inhaalwerk achteraf is, nadat het incident is opgelost. In de overspannen medische sector is daar simpelweg geen tijd voor. Beter is om het te voorkomen. En ja, daar zijn investeringen voor nodig.

Verder vallen medische instellingen niet onder vitale infrastructuur. Met andere woorden: als bijvoorbeeld een ziekenhuis even geen nieuw werk kan oppakken, dan kan het door een ander overgenomen worden. Kennelijk is dat een geaccepteerd risico dat niet maatschappelijk ontwrichtend is.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:42]

jaenster @The Zep Man27 september 2022 13:50
Vandaar mijn idee, zonder medische kennis overigens, om deze systemen ook offline te laten werken, dat na het kwatiertje de meuk weer online komt het word bijgewerkt.

Het lijkt me de moeite om iedereen die op dat moment op een afdeling ligt, lokaal te syncen voor het geval het systeem plat gaat. Of waarvan ze weten dat iemand daar over een paar uur gaat zijn (na een operatie b.v.).

Alles kan kapot maar het lijkt nu soms wel alsof alles centralized moet en zal werken en 100% up moet zijn. Juist in een ziekehuis wil je toch dat het allemaal wat robuster gemaakt is.

Kijk eens naar het OV. Moet je voorstellen dat je niet in de bus kan uit checken als er ffe buiten het bereik is van een mobiel netwerk, dat gaat toch niet goed zijn. Waarom kunnen we een bus checkin/uit systeem robuster bouwen dan dit? Fair het gaat wel over andere gegevens maar het blijft iig in huis met noodstroom
The Zep Man
@jaenster27 september 2022 13:54
Vandaar mijn idee, zonder medische kennis overigens, om deze systemen ook offline te laten werken, dat na het kwatiertje de meuk weer online komt het word bijgewerkt.
Als dat kwartiertje een halve dag kost om in te halen, dan is dat een dure oplossing.
Het lijkt me de moeite om iedereen die op dat moment op een afdeling ligt, lokaal te syncen voor het geval het systeem plat gaat. Of waarvan ze weten dat iemand daar over een paar uur gaat zijn (na een operatie b.v.).
'Lokaal te syncen'. Bij synchronisatie van systemen moeten systemen daarvoor ingericht worden. Ook daarvoor betaal je (of via papier, of om het digitaal mogelijk te maken).
Alles kan kapot maar het lijkt nu soms wel alsof alles centralized moet en zal werken en 100% up moet zijn. Juist in een ziekehuis wil je toch dat het allemaal wat robuster gemaakt is.
Kijk eens naar het OV. Moet je voorstellen dat je niet in de bus kan uit checken als er ffe buiten het bereik is van een mobiel netwerk, dat gaat toch niet goed zijn. Waarom kunnen we een bus checkin/uit systeem robuster bouwen dan dit? Fair het gaat wel over andere gegevens maar het blijft iig in huis met noodstroom
Bussen robuust? Vaak genoeg meegemaakt dat in- en uitchecken niet ging. Dat kon achteraf gecorrigeerd worden d.m.v. een administratieve procedure, maar voor mij (gebruiker) was die vaak in tijd duurder dan een 'vergeten uit te checken' buskaartje.

Ziekenhuizen zitten in een vergelijkbare situatie. Als corrigeren duur is, dan kan je beter investeren om corrigeren te voorkomen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 08:42]

_Eend_ @The Zep Man27 september 2022 15:46
Corrigeren is niet alleen duur, het is ook nog zoveel foutgevoeliger. En dat kan in de zorg ernstige consequenties hebben
The Third Man @jaenster27 september 2022 13:56
Ik denk dat je eenzijdig de conclusie trekt dat niks meer werkt als het even eruit ligt en dat vervolgens op de hak neemt, een stroman-argument dus. Zoals genoemd in het artikel gaat om langere storingen van meer dan een paar uur, dus pas na een tijdje ontstaan de problemen. Dat is naar mijn idee niet anders dan bijvoorbeeld in het OV. Genoeg nieuwsberichten dat er een vervoerder eruit ligt omdat de coordinerende systemen wegvallen, en dan heb ik het niet alleen over NS of ProRail. En dat het bij een vliegmaatschappij minder snel gebeurt is omdat die er nog veeeel meer geld tegenaan smijten om beter tegen downtime bestand te zijn.

En uit eigen ervaring heb ik vaak genoeg gezien dat als de IT even teleurstelt de behandelaar gewoon iets op papier noteert en het 'later wel regelt'. Dus volgens mij is jouw systeem gewoon al de status quo.

[Reactie gewijzigd door The Third Man op 23 juli 2024 08:42]

Xander2 @jaenster27 september 2022 14:00
Alles kan kapot maar het lijkt nu soms wel alsof alles centralized moet en zal werken en 100% up moet zijn. Juist in een ziekehuis wil je toch dat het allemaal wat robuster gemaakt is.
Daar ontkom je niet aan, alle machines zijn geïntegreerd en zonder uitslagen kan een arts niet veel doen.

Dat zijn geen workflows die je eenvoudig uit elkaar kan trekken en elk ziekenhuis heeft zo ongeveer zijn eigen workflows en implementatie.
gaskabouter @jaenster27 september 2022 20:00
Over het algemeen is dat ook zo. Veel epd hebben een noodsysteem waarop je gegevens kan inzien en later bijwerken.

Het probleem is dat een ICT storing er vaak ook voor zorgt dat apparaten gewoon niet werken
gaskabouter @The Zep Man27 september 2022 20:06
Nou... Veel dingen kunnen in geval van een storing gewoon beter blijven liggen. Liever niet werken dan veilig werken. Acute zorg wordt real time omgeleid. En bij hyperacute zorg zoals reanimatie of spoedkeizersnede moet je gewoon handelen en heb je niet veel ICT nodig.

Laatste super spoed keizersnede kwam vanuit huis en het kind was eruit op ok voordat er ook maar één ander apparaat dan mijn anesthesie toestel aanstond.... Nood breekt wet en een computer is voor de veiligheid, niet om iemand beter te maken.

Kan me trouwens nog levendig herinneren dat we oudjaarsdag 1999 met zes dokters op de seh op de ramp zaten te wachten die niet kwam....
thunder7 @jaenster27 september 2022 13:42
Wat stel je voor? Papieren dossiervoering? Als je nu leest over een storing, is het ook alleen over een grote storing. Een hikje van 15 minuten is bijzonder onhandig, maar daar haal je de krant niet mee. Een systeem waarbij je ICT meerdere uren kunt missen gaat er niet komen.
W!mpix @jaenster27 september 2022 13:51
Een groot gedeelte van deze "IT" zorgt er net voor dat de factuur naar beneden gaat. Kan je voorstellen wat een enorme overhead zou onstaan als alles analoog moet gaan, of als je maar zelfs een analoog backup-scenario moet voorzien voor elke (zelfs essentiële) handeling. Mensen opleiden, extra offline trajecten voorzien,... is niet gratis.

Voorbeeld is online communicatie. Als de mailserver plat ligt wacht je ook tot hij terug online komt, en ga je niet noodzakelijk een brief opsturen @ 1.89 euro per stuk. Tegen de tijd dat je brief aankomt is de server (hopelijk) al lang terug online.
oef! @jaenster27 september 2022 14:23
Terug gaan naar de tijd van papieren agenda's, dossiers, old school factureren en afscheid nemen van zaken als BI is simpelweg geen optie. Daarnaast is de mate van integratie met medische apparatuur hoog. Alles wordt digitaal vastgelegd en met goede reden - kostenbesparing, foutreductie en effectieve communicatie met ketenpartners. Dit leidt direct of indirect tot een hogere zorgkwaliteit voor de patient.

Je kan IT zo robuust maken als je zakken diep zijn, van noodstroom tot netwerk tot failovers van softwarediensten naar andere rekencentra. En dat is wat er eigenlijk dient te gebeuren.
bytemaster460 @jaenster27 september 2022 14:39
Wat jij noemt bestaat ook allemaal, maar je kunt niet de volledige zorg laten doordraaien als de systemen uitvallen. Dat zou namelijk betekenen dat die systemen feitelijk overbodig zijn. Belangrijke zaken zijn dan op andere manieren inzichtelijk en alle afdelingen hebben procedures opgezet en getest voor het geval alles in storing gaat.
_Eend_ @jaenster27 september 2022 15:37
Ziekenhuizen vertrouwen juist zoveel op IT omdat alles goedkoper moet.

Vroeger hadden we kamers vol met typistes die medische verslagen van specialisten uittikten die de specialist op bandje had opgenomen. Tegenwoordig kan de specialist dat zelf met een microfoon en spraakherkenningssoftware, en dan staat het ook nog direct in het EPD (uiteraard na controle en goedkeuring)

Het EPD scheelt ook heel veel tijd, nu kan een arts een dossier opvragen zonder dat er iemand in het archief het dossier hoeft op te graven en het met de interne post naar de arts gestuurd wordt. En dat dossier moet dan zsm weer terug, want het is dan niet beschikbaar voor andere artsen. (en het moest officieel altijd terug naar het archief).

Nog een voorbeeld: hartmonitoren bij de hartbewaking. Die mooie grafiekjes moeten in het dossier van het patient komen te staan. Vroeger moest iemand dus het papier van die monitor trekken en het in het juiste dossier doen. Dat gaat nu automatisch. En zo zijn er nog bergen met voorbeelden te noemen.

Ook trainen we jaarlijks op een uitval van het gehele IT landschap. Ik noem dat ook wel eens "IT Appreciation Day", want dan gaat alles weer ouderwets met de telefoon en papier. Want dan blijkt elke keer dat ze minder werk hebben kunnen verrichten omdat ze zoveel tijd kwijt zijn aan het regelen van dingen.
belal @jaenster27 september 2022 16:19
Nen 7510 raakt alleen de it processen en it medewerkers en dan nog beperkt. Nen7510 kun je overigens relatief eenvoudig halen, zorg dat je duidelijk vast legt dat je met het genoemde onderwerp bezig bent en voila.

Nen 7510 is dan ook een wassen neus en een irritatie bij de operationele afdelingen.
SunnieNL @belal27 september 2022 17:06
Als het irritatie opwekt dan houdt dat in dat je over bepaalde zaken dus nog nooit hebt nagedacht en procedures en processen niet goed op papier staan en er niet geaudit wordt. Had je dat wel gedaan, dan is een groot deel van de nen7510 zonder problemen gedekt.

Het raakt ook niet alleen de it processen en it medewerkers. Het raakt het gehele ziekenhuis met alle medewerkers en partijen waar ze zaken mee doen.. Het raakt namelijk patiëntdata! En daarmee ook fysieke beveiliging (wie mag op welke locatie naar binnen en hoe regel en audit je dat) en nog veel meer (bv wie mag bij welke data en hoe wordt dit gewaarborgd, scheiden van taken, etc.). Medewerkers moeten van dit soort zaken ook geïnformeerd worden over het hoe en vooral het waarom. Om het goed te doen moeten ook risico’s worden ingeschat. In Groningen kan ik mij bijvoorbeeld voorstellen dat ze moeten denken aan aardbevingen en hoe dat risico wordt opgevangen om bv beschikbaarheid van de patientdata te garanderen.

Het behalen ervan is overigens niet alleen vastlegging. Een audit kan zomaar vragen om zaken te bewijzen en te laten zien dat het in de praktijk ook gebeurd.
belal @SunnieNL29 september 2022 16:12
Nee, wij in de techniek hadden er allang over nagedacht (letterlijk elk onderwerp, bleek dat management alle voorstellen niet eens las want 80% hadden ze nog nooit van gehoord) en kregen steeds nee als antwoord. Toen kwam NEN7510 en is het 3 jaar lang als "mee bezig" afgescheept. Waar doen we de audit dan voor als je iets kunt roepen maar niets doet?

Anderzijds, misschien zegt het meer over het management bij ons dan over NEN7510, de intentie daarvan is goed, maar te makkelijk te omzeilen door kneusjes in management.
TrustNobody 27 september 2022 13:36
Goed dat er een norm wordt afgesproken, echter vind ik voor eind 2023 vrij snel voor ICT projecten. (niet onhaalbaar)
Waar ik benieuwd naar ben, misschien ziet hier iemand met meer inzicht daarin. Zijn er wel budgetten beschikbaar om dit goed in te regelen?
RogerDad @TrustNobody27 september 2022 13:56
Informatiebeveiliging zou ondertussen overal wel op de agenda moeten staan en een standaard onderdeel moeten zijn van ICT en kwaliteitsprocessen. Er komt hier geen extra budget voor van de overheid, maar middels samenwerkingsverbanden en Z-CERT kan je snel een heel eind komen
the_shadow @TrustNobody27 september 2022 16:33
Het is geen ICT project. Je moet een ISMS op orde hebben en aan kunnen tonen dat je de afspraken die daarin staan volgt. Het gaat dus om regels en procedures, en dat zou je met een beetje commitment vanuit hoger management (tevens 1 van de eisen) wel moeten kunnen halen.
phYzar 27 september 2022 13:32
Ik begrijp dat bij fouten in het verleden met goed nadenkt over hoe dit in de toekomst te voorkomen, maar de hoeveelheid management- en proces-overhead die de ziekenhuizen er hierdoor bij krijgen zal ongetwijfeld aanzienlijk zijn.
SuperDre
@phYzar27 september 2022 13:54
Nouja, die norm ligt er al langer, alleen per eind 2023 moet men nu eindelijk er aan voldoen.
Freekers 27 september 2022 13:40
Wat verstaat men onder een 'grote' storing en waarom focust men zich op beveiliging terwijl (volgens het bovenstaande artikel) "minimaal elf storingen zijn begonnen bij een technisch onderdeel in de infrastructuur"?
Cilph @Freekers27 september 2022 13:54
Informatiebeveiliging (aldus NEN 7510) gaat niet alleen maar over "mag Pietje wel bij deze gegevens?". Beschikbaarheid, het kunnen raadplegen van informatie wanneer je het nodig hebt, is een grote pilaar erin.

[Reactie gewijzigd door Cilph op 23 juli 2024 08:42]

djoelzz 27 september 2022 13:57
Op NPO is nu een documentaire beschikbaar over falende zorgsystemen.
robertpNL @djoelzz27 september 2022 14:56
Dit. Dit documentaire geeft een goed inzicht hoe EPD's in ziekenhuizen werken. En hoe één leverancier ervoor kan zorgen dat een ziekenhuis miljoenen moet betalen aan een falend ICT systeem. Kijktip!
roawser 27 september 2022 14:10
De titel van dit artikel vond ik nogal intrigerend en eerlijk gezegd ook niet helemaal kloppend. NEN7510 is eigenlijk gewoon een kloon van ISO27001 en daar de kinderen van. Hoe dat stelsel nou "ICT storingen voorkomt" is me een raadsel. ISO27001 is een systematiek om risico's ten aanzien van de CIA van informatie te managen. Het voert wel erg ver om daaraan op te hangen dat je er kapotte harddisks, verkeerde DNS configuraties, stroomvoorziening mee "voorkomt".

Ja, ik weet dat er een hoofdstuk in staat over documentatie, over continuïteitsoefeningen etc maar vind het vergezocht. Dan kan ik ook wel beredeneren dat we hier thuis de NEN7510 nodig hebben om genoeg pleisters in het EHBO-kastje te hebben en houden.
Cilph @roawser27 september 2022 14:41
Hoezo voert wel erg ver? Je hebt een risicobeoordeling. Je stelt de eis dat iets niet mag uitvallen. Dan ga je toch technische maatregelen introduceren om te voorkomen dat iets uitvalt? Redundantie, training, 4-ogen, noem maar op.
bytemaster460 @roawser27 september 2022 14:43
Klopt, tot hoog in de hierarchische boom denkt men dat dit soort normen storingen gaat voorkomen. De norm probeert het risico op (menselijke) fouten te reduceren, maar de meeste grote storingen liggen op een ander niveau.
deniz280 27 september 2022 13:41
ICT'er die landelijk te kort komen en tegelijkertijd eisen ze dat dit wordt gerealiseerd eind 2023. Hebben ze niet heel goed over nagedacht lijkt het wel?
mennomoog 27 september 2022 15:41
Dezelfde boodschap is door de IGJ bij mijn klanten in de zorg inderdaad gegeven. Het probleem dat ik in mijn werkgebied tegenkom (en helaas heeft de NEN die situatie deels zelf veroorzaakt) is dat de grote zorgverleners vaak verwijst/verwees naar hun ICT-leverancier ('zij zijn toch ISO 27001 en/of NEN 7510 gecertificeerd?'). Sterker nog, er werd door grote ziekenhuizen geëist dat dezelfde leveranciers NEN 7510 gecertificeerd moesten worden anders werden de contracten opgezegd. Door deze acties komen waarschijnlijk veel zorgorganisaties nu in de knel te zitten omdat ze hierop gingen vertrouwen en zelf niet of nauwelijks hebben gewerkt aan hun eigen managementsysteem, dus hun eigen beleid, procedures, bewustwording, gedrag, continuïteit, et cetera.

Het is natuurlijk (op z'n zachts gezegd) bijzonder dat je zoiets gaat eisen van een ICT-leverancier, want een ziekenhuis is verantwoordelijk voor de bescherming van de persoonlijke gezondheidsinformatie van hun patiënten/cliënten en de ICT-leverancier levert alleen de techniek en/of dienstverlening. Ja klopt, de patiëntinformatie staat op het geleverde systeem, maar het gaat om het gedrag en de procedures van zorgpersoneel hoe hiermee wordt omgegaan. Hiermee schuif je dus (als zorgverlener) je verantwoordelijkheid af naar een externe partij. Het managementsysteem draait immers op de beveiliging van informatie die van toepassing is binnen je organisatie.

Uiteindelijk vind ik het een goede ontwikkeling dat er nu meer verplichting komt in het aantoonbaar voldoen aan de NEN 7510 (bijv. certificering), maar (zoals ook eerder hier genoemd in de reacties) zou dat zeker uitgebreid mogen worden naar alle zorginstellingen aangezien de risico's daar ook net zo groot kunnen zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq