management

Zorg loopt achter met informatiebeveiliging

Ofschoon instellingen in de zorgsector op alle vlakken vooruitgaan met hun informatiebeveiliging, gaat de ontwikkeling lang niet snel genoeg. Daarop duidt een vervolg op een eerder onderzoek uit 2015 van BDO Accountants & Adviseurs.

Raden van bestuur trekken verantwoordelijkheid voor informatiebeveiliging vaker naar zich toe, de kennis van wetgeving groeit en steeds meer instellingen hebben een informatiebeveiligingsbeleid. Ook zijn organisaties vaker correct gecertificeerd. Verdere verbetering is echter snel nodig met het oog op de Europese privacyregulering die in het voorjaar van 2018 ingaat. Veel zorginstellingen hebben daarvoor nog een flinke inhaalslag te maken.

Bestuurders moeten informatiebeveiliging hoog op de agenda houden en blijven werken aan het privacybewustzijn in hun organisatie, zegt BDO. Bijna de helft van alle zorginstellingen heeft namelijk nog altijd geen beleid om de privacy van cliënten en patiënten te kunnen garanderen.

Wetgeving lijkt instellingen op grote schaal in beweging te zetten, maar dit gebeurt pas zodra een nieuwe wet daadwerkelijk geldt. Zo kennen negen op de tien organisaties de Meldplicht datalekken en heeft 85% maatregelen genomen om eraan te voldoen. In 2015, toen deze nog niet gold, was 38% ermee bekend en had 28% maatregelen getroffen. Met de Europese Privacyverordening, die op 25 mei 2018 ingaat en die strenger is dan de vorig jaar ingevoerde Nederlandse wet, is slechts de helft van de respondenten bekend. In 2015 was dat nog 40%.

Een groeiend aantal – ruim een kwart van de zorginstellingen – heeft met een privacy-incident te maken gehad. In 2015 was dit nog 18%. Terwijl privacy-incidenten in maar liefst zeven van de tien gevallen het gevolg zijn van menselijke fouten, heeft maar 27% van de zorginstellingen een zogenaamd security training- en awareness-programma om medewerkers bewustzijn over privacy bij te brengen.

Ook bij de implementatie van beleid boeken zorgorganisaties nog opvallend weinig vooruitgang. Iets meer dan de helft van de instellingen (51%) heeft nu een informatiebeveiligingsbeleid, terwijl dat in 2015 nog 44% was. Een nog kleiner deel (35%) zegt te zijn ingericht conform de belangrijkste richtlijn voor privacy, NEN 7510, een minimale vooruitgang ten opzichte van 2015.

“Bewustzijn is de basis voor gedragsverandering,” zegt Robert van Vianen, partner BDO Advisory en specialist op het gebied van cybersecurity. “Nieuw, state-of-the-art beveiligingsbeleid zet nauwelijks zoden aan de dijk als je de mensen in je organisatie daar niet in meeneemt. Zolang het belang van je beleid niet echt tot de medewerkers doordringt, blijft het risico van data-incidenten onverminderd groot.”

De grootste vooruitgang ten aanzien van informatiebeveiliging hebben zorginstellingen gemaakt op het hoogste niveau, bij de raden van bestuur. Steeds meer instellingen (59% nu tegenover 49% in 2015) zeggen dat daar de (eind)verantwoordelijkheid voor informatiebeveiliging ligt – niet bij de IT-afdeling.

“Ondanks de goede stappen die de sector maakt op het gebied van informatiebeveiliging is tien procentpunt een verontrustend kleine vooruitgang voor een verordening die al over anderhalf jaar ingaat,” zegt Chris van den Haak, partner BDO Audit & Assurance en voorzitter van de branchegroep Zorg.

“Raden van bestuur in de zorg zijn het afgelopen jaar merkbaar alerter geworden als het om informatiebeveiliging gaat. Wat daarbij helpt is dat ICT-afdelingen tegenwoordig assertiever zijn en bestuurders confronteren met hun verantwoordelijkheid.

Zorginstellingen beseffen vaak nog onvoldoende dat die EPV fors strengere eisen stelt. Zo moeten organisaties inzichtelijk maken hoe ze aan de wetgeving voldoen.” Ook de sancties onder de EPV zijn van totaal andere proporties. Boetes bij overtreding kunnen voor grote organisaties oplopen tot 100 miljoen euro of 5% van de opbrengsten.”

Van onze partners

Magazines

TITM nr 1 - Cloud & Data


In het eerste nummer van Tijdschrift IT Management (TITM) staat dataopslag in de cloud centraal. Nu de cloud steeds meer de primaire strategie is voor ondernemingen, is het zaak dat medewerkers op een veilige, consistente en snelle manier toegang hebben tot hun data, ongeacht het device waarop ze werken of de locatie waar ze zich bevinden. Vooral voor bedrijven met meerdere vestigingen en veel mobiele werknemers is dit een uitdaging. Tel daarbij op het stijgend aantal hybride cloud-architecturen en de uitdagingen op het gebied van security en compliance, en de complexiteit wordt in één oogopslag duidelijk.


Naar alle magazines