12 November 2004
IGZ Rapport: Informatiebeveiliging in de Zorg
Aan de minister van Volksgezondheid. Welzijn en Sport,
Hierbij bied ik u het verslag aan van een onderzoek naar hat gebruik van informatie- en communicatietechnologie (ICT) in ziekenhuizen. In twintig ziekenhuizen is onderzocht hoe ziekenhuizen invulling geven aan verantwoorde toepassing van ICT.
Steeds meer processen in de zorg zijn afhankelijk van het gebruik van ICT en ook in ziekenhuizen gaat het beeldscherm de plaats van het papier innemen. Het is bijna niet meer verantwoord om geen gebruik te maken van ICT. Nagenoeg alle ziekenhuizen staan aan de vooravond van een ziekenhuisbrede introductie van het elektronische patientendossier en op rontgenafdelingen wordt digitale opslag en verwerking van het beeldmateriaal de standaard. Ziekenhuizen schenken op dit moment echter nog onvoldoende aandacht aan de rosico's die de toepassing van ICT met zich meebrengt.
Dit onderzoek bevestigt bevindingen uit de (inter)nationale literatuur, waaruit blijkt dat ICT zowel een bedreiging voor de kwaliteit van de zorg kan zijn als een bijdrage aan die kwaliteit kan leveren. De inspectie zal daarom meer aandacht aan ICT in de zorg schenken.
Ondanks alle voordelen van het gebruik van ICT - zoals de betrouwbare beschikbaarheid van informatie - loopt de patient hierdoor mogelijk onnodig gevaar. Ziekenhuizen moeten daarom meer aandacht geven aan het verantwoorde gebruik van ICT. Informatiebeveiliging is daarbij een belangrijk aandachtspunt. Een ander belangrijk aandachtspunt is het gebrek aan normen en standaarden. Ziekenhuizen vragen daar massaal om. Ik ben van mening dat het ministerie van VWS daar een belangrijker rol in moet vervullen.
Kingma c.s.
----
Samenvatting
Vanwege de kans dat onjuist en ondeskundig gebruik van informatie- en communicatietechnologle (lCTt de veiligheid van de patient in gevaar brengt, heeft de Inspectie voor de Gezondheidszorg onderzoek gedaan naar de voorwaarden waaronder ICT in de zorg wordt geintroduceerd, toegepast en beheerd.
Het onderzoek betrof een thematisch onderzoek bij een steekproef onder de Nederlandse ziekenhuizen. In tien ziekenhuizen uit de groep van vijftig ziekenhuizen met het hoogste exploitatiebudget en in tien ziekenhuizen uit de groep van vijftig ziekenhuizen met het laagste exploitatiebudget is het onderzoek uitgevoerd.
Uit het onderzoek is gebleken dat ziekenhuizen op dit moment onvoldoende aandacht
schenken aan de risico's die de toepassing van ICT met zich meebrengt. De patient loopt hierdoor een reële kans op gevaar. Er kunnen bijvoorbeeld belangrijke gegevens verloren gaan, gegevens kunnen op de verkeerde plaats terechtkomen en behandelingen kunnen verstoord raken door niet goed functionerende apparatuur. De bijna overal in gang gezette introductie van het elektronisch patiëntendossier vraagt om meer aandacht voor een betrouwbare beschikbaarheid van informatie. De normen voor beveiliging van informatie zullen daarom strak gevolgd moeten worden, anders is de toepassing van ICT niet meer veilig te noemen. Er zijn geen verschillen vastgesteld tussen grote en kleinere ziekenhuizen.
De inspectie zal in de toekomst systematischer aandacht schenken aan de veiligheid van de toepassing van ICT in de zorg door het onderwerp op te nemen in het algemeen toezicht. Daartoe zullen ook op dit onderwerp meer prestatie-indicatoren worden ontwikkeld. Behalve in ziekenhuizen zal de inspectie ook in andere zorginstellingen aan de toepassing van ICT aandacht schenken. In 2005 zal nagegaan worden of in ziekenhuizen de 'NEN 7510 Informatiebeveiliging in de Zorg' norm wordt gevolgd.
----
1 Conclusies en aanbevelingen
Conclusies
Ziekenhuizen schenken op dit moment onvoldoende aandacht aan de risico's die de
toepassing van ICT met zich meebrengt. De patient loopt hierdoor de kans op gevaar. Dat gevaar valt nu nog mee vanwege de beperkte toepassing van ICT, maar omdat door de bijna overal in gang gezette introductie van het elektronisch patientendossier binnen korte tijd de toepassing van ICT enorm zal zijn toegenomen, wordt dat gevaar aanzienlijk groter. In het onderzoek zijn geen duidelijke verschillen tussen de grotere en kleinere ziekenhuizen waargenomen.
Ook de beveiliging van de IC-applicaties en -apparatuur is onder de maat. De 'NEN 7510 Informatiebeveiliging in de Zorg' norm, die duidelijk aangeeft waar op gelet moet worden, wordt in ziekenhuizen niet systematisch nageleefd. De veiligheid van de informatie die in ziekenhuizen aanwezig is. wordt hierdoor bedreigd. Dat betreft niet alleen de beveiliging van de gegevens zodat onbevoegden er geen kennis van kunnen nemen, maar ook aanwezigheid van de gegevens op het juiste moment bij de juiste persoon. Of de gegevens op zich wel juist zijn (de integriteit van gegevens) is een onderwerp dat eveneens onder de beveiliging van gegevens valt, maar waar onvoldoende aandacht naar uitgaat.
De inhoud van de ICT-applicaties krijgt minder aandacht dan de technische kant. Dat komt onder meer doordat de technische aspecten, dat wil zeggen de apparatuur, de bekabeling en de netwerksoftware vallen onder de centraal gepositioneerde ICT-afdeling. De inhoudelijke kant, ook wel aangeduid met het gebruikersaspect, van de ICT-applicatie berust bij applicatiebeheerders die deel uitmaken van de zorgafdelingen. De verantwoordelijkheid en deskundigheid is daarmee versnipperd en wat betreft continuiteit bedreigd.
Behalve de bovenstaande conclusies zijn nog meer conclusies opgenomen bij de
respectievelijke beschrijvingen van de bevindingen in hoofdstuk 3.
Aanbevelingen
De inspectie beveelt een aantal maatregelen aan die in het bijzonder gelden voor de
ziekenhuizen maar ook van toepassing kunnen zijn op andere zorginstellingen.
- Ziekenhuizen moeten zich bij elke applicatie systematisch afvragen wat de specifieke risico's voor de patient zijn. Risico's bij uitval, maar ook de risico's voor de betrouwbaarheid van de gegevens moeten in kaart gebracht worden en moeten leidend zijn voor de veiligheidsmaatregelen.
- Ziekenhuizen moeten de NEN7510 norm voor de informatiebeveiliging in de zorg volgen.
- Bij de introductie van afdelingsspecifieke applicaties zal een strakkere centrale sturing noodzakelijk zijn dan nu in veel instellingen het geval is.
- Uit een duidelijke organisatiestructuur (voor de toepassing van ICT) met heldere
verantwoordelijkheids- en bevoegdheidstoedelingen moet blijken dat deze past bij een
integrale ondersteuning van het zorgproces.
- Ziekenhuizen die dat nu niet doen, moeten hun voornemens met betrekking tot ICT
explicieter in beleidsplannen en werkplannen opnemen.
- (Bijna)- fouten en incidenten bij de toepassing van ICT moeten nauwgezet volgens een vastgestelde procedure geanalyseerd worden, zodat er maximaal van geleerd kan
worden.
- Scholing van medewerkers bij de toepassing van ICT moet, net als bij de introductie
ervan, systematisch blijven plaatsvinden.
- Instellingen die beheer en onderhoud decentraliseren moeten centraal voor waarborgen zorgen dat beheer en onderhoud decentraal verantwoord gebeurt.
Voor de overheid is het volgende van belang.
- Standaardisatie bij de toepassing van ICT zal voortvarend ter hand genomen moeten
worden. De inspectie is van mening dat door de traagheid waarmee de standaardisatie
tot nu toe plaatsvindt, de overheid hierin het initiatief moet nemen.
De inspectie zal in de toekomst bij toezicht in ziekenhuizen aan deze onderwerpen meer aandacht schenken. Daarom zal de inspectie onderzoek instellen naar de mogelijkheid om meer prestatie-indicatoren te gebruiken op het gebied van ICT in de zorg. Niet alleen voor ziekenhuizen, maar ook voor andere instellingen van de gezondheidszorg.
De inspectie zal in 2005 nagaan of de ziekenhuizen inmiddels de NEN7510 norm voor Informatiebeveiliging in de zorg volgen.
----
2 Inleiding
Regelmatig ondervinden patienten risicovolle bijwerkingendoor het gebruik van geneesmiddelen. Een belangrijk deel daarvan kan worden voorkomen door het gebruik van een elektronisch patientendossier. Maar informatiesystemen veroorzaken ook fouten. Patienten krijgen de verkeerde medicijnen omdat de verpleegkundigen verkeerde informatie van de computer kregen. Ook is het bekend dat patienten niet worden geopereerd omdat computers uitvallen.
Enerzijds is het bijna niet meer verantwoord om geen ICT te gebruiken, maar anderzijds kan de patient gevaar lopen wanneer er onvoldoende aandacht is voor de veiligheid van het gebruik daarvan.
Er is, zowel van de beleidsmakers als van het veld van de gezondheidszorg zelf, veel
aandacht voor het gebruik van ICT. De betrouwbare beschikbaarheid van informatie kan - zo wordt gesteld - veel bijdragen aan de kwaliteit van zorg. Dit rapport bestrijdt dat niet, maar vraagt aandacht voor de risico's.
Waarom aandacht voor ICT?
Omdat er een kans is dat de patient schade ondervindt door het gebruik van ICT besteedt de inspectie aandacht aan het onderwerp.
Voorbeelden van incidenten en problemen bij de toepassing van ICT zijn:
- Onjuist ingevoerde medische gegevens leiden tot herhaling van fouten.
- ICT-producten maken gebruik van verschillende terminologieen en codetabellen, waardoor informatie-uitwisseling onbetrouwbaar is.
- ICT-producten maken gebruik van verouderde codetabellen, waardoor registraties onjuist zijn.
- Verwisseling van gegevens van patienten leidt tot het geven van medicatie aan een
naamgenoot.
- De gebruiksinstructie van ICT-producten sluit niet aan bij de gebruiker(s), waardoor
(herhalings-)fouten worden gemaakt.
- ICT-producten bevatten onjuiste of achterhaalde protocollen en/of rekenregels, waardoor uitkomsten onjuist worden geinterpreteerd.
- Verwisseling van bloedgroepen met dodelijke afloop.
- Verkeerd voorschrijven vanwege het verkeerd aanklikken in een lijst op een computerscherm.
- Systemen met verschillende versies van diagnose classificaties.
- Wat wordt ondertekend: hetgeen op het scherm te zien is? Of dat wat in de database
staat?
- Diefstal van de identiteit van een ander.
- Vernietigen van dossiers door bijvoorbeeld virussen.
- Problemen bij de bewijsbaarheid van handelen door niet-traceerbare gegevensmutaties.
- Het gebruik van autonome programma's (sofware agents) die zonder directe sturing
gegevens zoeken en verwerken. Bijvoorbeerd: Autonomous Decision Support.
- Uitval van ICT-apparatuur veroorzaakt bijvoorbeeld verlies van gegevens, uitval van
spreekuren, uitval van OK-programma's en verlies van digitale rontgenfoto's.
Normering (1) en standaardisatie (2) op het gebied van ICT in de zorg kent veel variatie. Normen en standaarden zijn te vinden in drie functionele groepen, te weten: proces-, product- en kwaliteitsnormen en -standaarden. Er is bijvoorbeeld geen duidelijke standaard waaruit blijkt dat bij bepaalde processen en bij bepaalde functies sprake moet zijn van de toepassing van ICT. Ook is niet vastgelegd welke product- en kwaliteitsnormen van toepassing zijn als men eenmaaJ overgaat tot de implementatie van ICT. Hoewel NICTIZ, (Nationaal ICT Instituut in de zorg), het NEN (Nederlands Normalisatie Instituut), CEN (Comite Europeen de Normalisation), ISO (lnternational Organisation for Standardisation) en HL7 (Health Level Seven, een standaard in de gezondheidszorg voor gegevensuitwisseling) vele inspanningen verrichten om tot normeringen standaardisatie te komen, zijn deze pas over een zeer beperkt aantal onderwerpen ontwikkeld. Helaas zijn er voor die onderwerpen meer dan een standaard of zijn er standaarden die voor verschillende uitleg vatbaar zijn.
ICT-Ieveranciers zijn bovendien geneigd om eigen productstandaarden te hanteren voor bescherming van intellectueel eigendom en marktaandeel. Dat leidt er toe dat er een grote diversiteit mogelijk is in de toepassing van ICT in de zorg, waardoor mogelijk gegevens niet uitgewisseld kunnen worden, men onvoldoende gebruik kan maken van producten die voldoen aan andere standaarden etc. Er is dan sprake van variatie in de mate waarin het gebruikt wordt als variatie in de wijze waarop.
Waarom NU aandacht voor ICT?
ICT wordt veel toegepast in de zorg. We staan evenwel aan de vooravond van een
uitgebreide introductie van het elektronisch patientendossier, die gepaard zal gaan met een enorme toename van het elektronisch informatiebeheer en elektronische informatieuitwisseling. Dat is niet alleen in ziekenhuizen, maar betreft zorginstellingen in het algemeen. Die toename van het belang van ICT is gekoppeld aan de verwachting dat:
- samenwerking tussen zorgaanbieders gaat toenemen en informatiedeling daarom nog
meer noodzakelijk wordt;
- ICT positief bijdraagt aan de doelmatigheid en doeltreffendheid van de zorg wat betreft administratieve en zorginhoudelijke processen.
De ontwikkeling van ICT in ziekenhuizen kent al een lange historie met aanvankelijk meer aandacht voor de producten voor de ondersteuning van financieel beheer en logistiek. Veel meer dan tot nu toe het geval was, worden ICT-producten ontwikkeld, aangeboden en geimplementeerd voor de ondersteuning van diagnostiek, behandeling en therapie.
De verwachte toename van ICT in de zorg dwingt tot noodzaak van het stellen van heldere toetsingscriteria voor het verantwoord toepassen van de ICT, zodat onacceptabele aantallen patientveiligheidsincidenten kunnen worden voorkomen.
Waar kijkt de inspectie naar?
Door de grote mate van variatie van de normen en standaarden op ICT-gebied en de variatie in de toepassing van ICT schenkt de inspectie in eerste instantie aandacht aan de voorwaarden die instellingen hanteren voor een verantwoorde toepassing van ICT.
In 1999 is ter voorbereidlng op de milienniumwisseJing door de inspectie veel aandacht besteed aan de veiligheid van apparatuur en software in de gezondheidszorg, gericht op het voorkomen van de zogenaamde milleniumbug. Het huidige onderzoek richt zich dus op een ander element van de toepassing van ICT. Dit onderzoek richt zich niet op specifieke problemen of calamiteiten. Indien daar sprake van is, volgt zonodig onderzoek door de inspeetie. De Leidraad onderzoek door de Inspectie voor de Gezondheidszorg naar aanleiding van meldingen is dan het uitgangspunt.
Bij wie kijkt de inspectie?
Dit onderzoek van de inspectie is gericht geweest op ziekenhuizen. Ziekenhuizen zijn de meest complexe organisaties in de zorg met de meeste risico's voor de veiligheid van de patient (3). Bovendien is de toepassing van ICT in ziekenhuizen ver gevorderd. Het instrument (4) dat in samenwerking met TNO is gebouwd, is evenwel toe te passen in iedere instelling voor de gezondheidszorg, dus ook bij een huiszorgorganisatie en een instelling voor verstandelijk gehandicapten.
Wat wil de inspectie bereiken?
De inspectie wil een beeld krijgen van de mate waarin instellingen de randvoorwaarden voor verantwoorde toepassing van ICT invullen. Het is de eerste keer dat de inspectie een dergelijk onderzoek uitvoert. De criteria die de inspectie hanteert, zijn de algemene criteria die voortvloeien uit wetgeving zoals de Kwaliteitswet zorginstellingen, de Wet op de beroepen in de individuele gezondheidszorg (Wet BIGt en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Daarnaast wil de inspectie bereiken dat instellingen deze criteria toepassen. Wat betreft privacywetgeving is deze beoordeeld voor zover deze van belang is in het kader van de Kwaliteitswet zorginstellingen. Voor beveiligingsaspecten wordt gerefereerd aan de concept NEN7510 Informatiebeveiliging in de zorg norm.
In dit rapport wordt verslag gedaan van een onderzoek bij twintig ziekenhuizen. De
gegevens die verkregen zijn bij deze ziekenhuizen, geven aanleiding een aantal conclusies te trekken en daarop aanbevelingen te doen.
Dit rapport is tevens te vinden op www.igz.nl.
Noten:
(1) Norm: manier van handelen waarnaar een categorie van personen zich kan of moet richten. Van Dale. Groot Woordenboek Hedendaags Nederlands, versie 2.0. 2002.
(2) Standaardiseren: brengen tot een standaard of eenheid in afmeting. vorm, inhoud. Samenstelling enz. Van Dale, Groot Woordenboek Hedendaags Nederlands, versie 2.0, 2002.
(3) C.A. Baan, J.P.J.M. Smits. l.C.M. Limburg. Risico's verkend : naar een risicomodel voor toezichtstrategie van IGZ. Bilthoven : RIVM, 2001.
(4) A.C.M. Dumay eo M. Schoone. TICTZorg. Toetsing kwaliteit van ICT in de zorg. TNO-rapport PG/TG/2003-032, 4 juli 2003.
----
3 Bevindingen
3.1 ICT-beheer : taken en verantwoordelijkheden goed vastleggen is vereist
Alle bezochte ziekenhuizen hebben een centrale ICT afdeling. Daamaast is in vrijwel alle ziekenhuizen de verantwoordelijkheid voor ICT-gebruik (het zogenaamde applicatiebeheer) gedelegeerd naar divisies, vakgroepen of afdelingen. Medewerkers met een zorginhoudelijke achtergrond hebben de taak van applicatiebeheerder gekregen. Zij vallen hierarchisch onder het hoofd van een zorginhoudelijke afdeling. Ook in grote ziekenhuizen zijn de grote, relatief zelfstandige, decentrale organisaties (zorggroepen, divisies, afdelingen) door hun koppeling aan het centrale netwerk afhankelijk van een centraal automatiseringssysteem. Gegevens uit decentrale systemen worden geheel of ten dele getransporteerd, beheerd, verwerkt,
bewerkt in de centrale netwerkstructuur. In alle ziekenhuizen is in de centrale organisatie de technologische kant van ICT geconcentreerd en daarmee beter geoutilleerd en gekwalificeerd {'professioneler'}. Overigens hebben we ook ziekenhuizen gezien waarnaast de ICT-technici in de centrale organisatie -ook ICT-technici door de afdelingen in de decentrale organisatie werden aangesteld, zonder dat een relatie met de centrale ICT afdeling geregeld was. Veel ziekenhuizen experimenteren met een elektronisch patientendossier (EPD) als zijnde decentrale systemen. Waar dit gebeurt komt het voor dat EPD's worden gebruikt zonder dat centrale standaardisatie aanwezig is, of wordt nagestreefd. Een enkele keer werd een ziekenhuis aangetroffen waar tussen de centrale ICT-afdeling en de decentrale applicatiebeheerders een gestructureerd contact was, met voor alle applicatiebeheerders geldende werkafspraken.
| Tabel 1 Aspecten van centraal en decentraal beheer van ICT-producten | |
| Centraal Inkoop, beheer en onderhoud van centrale voorzieningen: computer server(s), intern datanetwerk, aansluiting(en) op extern datanetwerk(en). Primair verantwoordelijk voor technische installatie, beheer en onderhoud van de centrale communicatievoorzieningen. | Decentraal Inkoop, beheer en onderhoud van specifieke, klinische ICT-producten: Afdelingsspecifiek EPD, zeer afdelingsspecifieke soms zelf ontwikkelde systemen. Primair verantwoordelijk voor productkeuze en onderhoud van de zorgafdeling. |
Conclusie en beoordeling
In veel ziekenhuizen is het beheer van ICT-toepassingen onvoldoende geborgd, omdat de verantwoordelijkheden niet duidelijk zijn vastgelegd.
17 March 2004
Invoering van het VIR bij de nederlandse overheid
Begin 2004 ben ik een ondezoek gestart naar de implementatie (invoering) van het VIR, het Voorschrift Informatiebeveiliging Rijksdienst, bij de nederlandse overheid.
Lees meer via VIR.
2 February 2003
Residentie.net: samen voor ons eigen
Februari 2003 ben ik gestart met het werk voor Residentie.net, het extranet van de gemeente Den Haag.
De website is te vinden op www.residentie.net. Zie ook Makers en Wiki.
17 October 2002
despinoza -- over de filosoof Spinoza
Een project waarin een vertaling van Spinoza's meesterwerk, de Ethica, online wordt geplaatst. Een aantal vrijwilligers maakt gebruik van wiki technieken om pagina's over te typen en te publiceren. Onder auspiciën van vereniging Het Spinozahuis.
Online op www.despinoza.nl.
1 August 2002
Informatiebeveiliging in het onderwijs
Begin 2000 werden de eerste stappen gezet voor dit project. Met subsidie van OC&W en met medewerking van de Aloysius stichting werd gesproken over informatiebeveiliging. Als resultaat van het project zijn onder meer templates ontwikkeld voor het opstellen van een beveiligingsbeleid. En werd de film "Warriors of the Net" in het nederlands vertaald en nagesynchroniseerd.
Meer lezen op IBOS.
4 July 2001
De Code voor Informatiebeveiliging
In 2001 werd deze website gestart rondom de Code voor Informatiebeveiliging.
De website is te vinden op www.cvib.nl.
1 May 2000
Nedsecure Consulting
Opgericht in mei 2000. Het bedrijf houdt zich primair bezig met advisering op het gebied van informatiebeveiliging.
De website staat op www.nedsecure.nl.
1 October 1999
Netsecure Nederland
In 1999 ben ik gestart met Netsecure Nederland, na overleg met m'n duitse partner. De naam "Netsecure" wordt door hen gebruikt. Zie www.netsecure.de.
De eerste stappen in de ontwikkeling van het bedrijfslogo werden in 1999 gezet. Hoe dat er uitzag is via deze link te zien. Het logo en de website zijn inmiddels overgenomen door Nedsecure Consulting, zie Nedsecure.