Een meerderheid van de grotere Nederlandse geestelijke-gezondheidszorginstellingen voldoet niet aan de wettelijke eisen voor informatiebeveiliging. Dat meldt de Inspectie Gezondheidszorg en Jeugd, die ook zegt hier zorgen over te maken. Een klein deel van de instellingen reageerde helemaal niet op vragen van de Inspectie.
Dit nieuws in het kort
- De Inspectie Gezondheidszorg en Jeugd zegt dat 81 van de 150 ggz-instellingen de informatiebeveiliging niet op orde hebben.
- Het merendeel hiervan zei wel hiermee bezig te zijn, al deelden veel instellingen hier geen concrete planningen voor.
- De beveiliging is belangrijk, omdat de geestelijke gezondheidszorg met zeer gevoelige persoonsgegevens werkt, zoals over de mentale en fysieke toestand van mensen.
Het onderzoek richtte zich op de grotere ggz-organisaties in Nederland met minstens 50 fulltimemedewerkers. Hier zijn er circa 150 van, waarbij er 87 instellingen zijn waarvan de inspectie niet wist of ze zich aan de regels hielden. De instellingen bieden bijvoorbeeld forensische zorg, beschermd wonen of verslavingszorg aan.
De instellingen moeten voldoen aan de NEN 7510-norm, die onder meer gaat over wie toegang heeft tot gegevens, of risico's regelmatig gecontroleerd worden en of instellingen passende maatregelen nemen. Zorgaanbieders moeten met een audit kunnen aantonen dat ze aan de norm voldoen.
Vragenlijst
De IGJ vroeg de organisaties met een vragenlijst of ze aan de norm voldeden. Van de 87 instellingen konden 6 organisaties aantonen dat ze inderdaad aan die norm voldoen. De 81 andere instellingen konden dit dus niet. Hiervan gaven 40 organisaties aan dat er een streefdatum was om wel aan die norm te voldoen.
"Opvallend was dat 14 van de 87 organisaties ook na herhaalde oproepen niet reageerden op gestelde vragen", schrijft de inspectie. Zorgaanbieders zijn verplicht mee te werken aan toezichtsverzoeken van de inspectie. Zij 'gaat er daarom van uit' dat deze instellingen niet volgens de norm werken.
De IGJ blijft de ggz-instellingen die nog niet aan de norm voldoen, volgen met gesprekken en het opvragen van documentatie. "De inspectie verwacht dat organisaties die nog niet voldoen aan de norm dit jaar minimaal een onafhankelijke en deskundige beoordeling laten uitvoeren."
Gehackte Clinical Diagnostics voldeed ook niet aan norm
De NEN 7510-norm geldt niet alleen voor ggz-organisaties, maar bijvoorbeeld ook voor het Clinical Diagnostics-lab dat bevolkingsonderzoek uitvoerde. Dit lab werd vorig jaar gehackt, waarbij de gegevens van zeker 715.000 Nederlandse vrouwen werden gestolen. De inspectie zei recent dat als het lab wel aan de norm had voldaan, de kans op zo'n hack kleiner had kunnen zijn en de gevolgen kleiner.
:strip_exif()/i/2008161872.jpeg?f=imagenormal)
/i/2008150426.png?f=fpa_thumb)
:strip_icc():strip_exif()/i/2008150434.jpeg?f=fpa_thumb)
/i/2008112534.png?f=fpa_thumb)
:strip_exif()/i/2006223660.jpeg?f=fpa)
:strip_exif()/i/2007676730.jpeg?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
/i/1333037966.png?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
:strip_icc():strip_exif()/u/629386/crop64ff4ce891e4b_cropped.jpg?f=community){kind=small}
/u/94298/crop60003510062c7_cropped.png?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_exif()/u/1094057/crop5b492428c0704.gif?f=community){kind=small}
:strip_exif()/u/67066/crop5df8a7920e238_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/126511/avatar.jpg?f=community){kind=avatar}