management

Zorg loopt achter met informatiebeveiliging

Ofschoon instellingen in de zorgsector op alle vlakken vooruitgaan met hun informatiebeveiliging, gaat de ontwikkeling lang niet snel genoeg. Daarop duidt een vervolg op een eerder onderzoek uit 2015 van BDO Accountants & Adviseurs.

Raden van bestuur trekken verantwoordelijkheid voor informatiebeveiliging vaker naar zich toe, de kennis van wetgeving groeit en steeds meer instellingen hebben een informatiebeveiligingsbeleid. Ook zijn organisaties vaker correct gecertificeerd. Verdere verbetering is echter snel nodig met het oog op de Europese privacyregulering die in het voorjaar van 2018 ingaat. Veel zorginstellingen hebben daarvoor nog een flinke inhaalslag te maken.

Bestuurders moeten informatiebeveiliging hoog op de agenda houden en blijven werken aan het privacybewustzijn in hun organisatie, zegt BDO. Bijna de helft van alle zorginstellingen heeft namelijk nog altijd geen beleid om de privacy van cliënten en patiënten te kunnen garanderen.

Wetgeving lijkt instellingen op grote schaal in beweging te zetten, maar dit gebeurt pas zodra een nieuwe wet daadwerkelijk geldt. Zo kennen negen op de tien organisaties de Meldplicht datalekken en heeft 85% maatregelen genomen om eraan te voldoen. In 2015, toen deze nog niet gold, was 38% ermee bekend en had 28% maatregelen getroffen. Met de Europese Privacyverordening, die op 25 mei 2018 ingaat en die strenger is dan de vorig jaar ingevoerde Nederlandse wet, is slechts de helft van de respondenten bekend. In 2015 was dat nog 40%.

Een groeiend aantal – ruim een kwart van de zorginstellingen – heeft met een privacy-incident te maken gehad. In 2015 was dit nog 18%. Terwijl privacy-incidenten in maar liefst zeven van de tien gevallen het gevolg zijn van menselijke fouten, heeft maar 27% van de zorginstellingen een zogenaamd security training- en awareness-programma om medewerkers bewustzijn over privacy bij te brengen.

Ook bij de implementatie van beleid boeken zorgorganisaties nog opvallend weinig vooruitgang. Iets meer dan de helft van de instellingen (51%) heeft nu een informatiebeveiligingsbeleid, terwijl dat in 2015 nog 44% was. Een nog kleiner deel (35%) zegt te zijn ingericht conform de belangrijkste richtlijn voor privacy, NEN 7510, een minimale vooruitgang ten opzichte van 2015.

“Bewustzijn is de basis voor gedragsverandering,” zegt Robert van Vianen, partner BDO Advisory en specialist op het gebied van cybersecurity. “Nieuw, state-of-the-art beveiligingsbeleid zet nauwelijks zoden aan de dijk als je de mensen in je organisatie daar niet in meeneemt. Zolang het belang van je beleid niet echt tot de medewerkers doordringt, blijft het risico van data-incidenten onverminderd groot.”

De grootste vooruitgang ten aanzien van informatiebeveiliging hebben zorginstellingen gemaakt op het hoogste niveau, bij de raden van bestuur. Steeds meer instellingen (59% nu tegenover 49% in 2015) zeggen dat daar de (eind)verantwoordelijkheid voor informatiebeveiliging ligt – niet bij de IT-afdeling.

“Ondanks de goede stappen die de sector maakt op het gebied van informatiebeveiliging is tien procentpunt een verontrustend kleine vooruitgang voor een verordening die al over anderhalf jaar ingaat,” zegt Chris van den Haak, partner BDO Audit & Assurance en voorzitter van de branchegroep Zorg.

“Raden van bestuur in de zorg zijn het afgelopen jaar merkbaar alerter geworden als het om informatiebeveiliging gaat. Wat daarbij helpt is dat ICT-afdelingen tegenwoordig assertiever zijn en bestuurders confronteren met hun verantwoordelijkheid.

Zorginstellingen beseffen vaak nog onvoldoende dat die EPV fors strengere eisen stelt. Zo moeten organisaties inzichtelijk maken hoe ze aan de wetgeving voldoen.” Ook de sancties onder de EPV zijn van totaal andere proporties. Boetes bij overtreding kunnen voor grote organisaties oplopen tot 100 miljoen euro of 5% van de opbrengsten.”

ADVERTORIAL

Palo Alto Networks and ICT Media are publishing a guide for the C-suite that includes advice and cybersecurity best practices from CEOs, CISOs, lawyers, consultants and government officials.

Join us for the launch event on 18 May from 2:30pm at the Scheepvaart Museum Amsterdam. There will be an interactive panel discussion with the authors, covering Cloud Security, Cyber Insurance, the GDPR, the NIS Directive, the next-generation CISO and Digital Transformation Trends.

You can register for the event here.

Van onze partners

Magazines

OM 2 - Cloud


Strategic sourcing gaat over het zoeken naar een evenwicht tussen uitbesteden en zelf doen, de mate van uitbesteding, de leveranciersselectie, samenwerken met partners, contractbeheer en de regievoering. Maar ook over standaardisatie, normalisatie, ecosystemen en cultuurveranderingen. Op een strategische manier uitbesteden verbetert de efficiency, bespaart kosten en versnelt productontwikkeling. Organisaties kunnen zich voortaan op hun kernactiviteiten concentreren. Strategic sourcing geeft toegang tot expertise, of tot extra productiecapaciteit waarover men zelf niet beschikt. In dit nummer belicht Outsource Magazine de ervaringen en vorderingen op dit gebied.


Naar alle magazines