Ziekenhuizen zien informatiebeveiliging als een prioriteit, maar bestuurders ervaren informatiebeveiliging niet werkelijk als een reële bedreiging en het budget voor de implementatie van het beleid blijft achter. Tegelijkertijd blijkt uit het jaarlijkse Internet Security Threat Rapport van Symantec dat het aantal data inbreuken toeneemt en dat de meeste daarvan zich voordoen in de zorgsector. Toenemende beveiligingsrisico’s voor deze sector dus. Onder deze omstandigheden wordt het lastig om met een gelijkblijvend budget te blijven voldoen aan de wettelijke beveiligingseisen.
In maart van dit jaar publiceerde KPN het rapport ‘Informatiebeveiliging in de zorg’. Zoals te verwachten blijkt uit het rapport dat zo’n 80% van de ziekenhuizen die mee hebben gedaan in het onderzoek, informatiebeveiliging als een hoge prioriteit op directieniveau ziet. Dat het met de implementatie van dat beleid bij de medewerkers nog niet al te best is gesteld, kan ook niet verbazen. Net als in andere sectoren zit beveiliging ook binnen de zorg nog niet ‘tussen de oren’.
Hoge risico’s, lage budgetten
Wat mij wel verbaast is dat de budgetten voor informatiebeveiliging niet in de pas blijven lopen bij de toegenomen risico’s. KPN beschrijft dat de helft van de bevraagde ziekenhuizen dacht dat het budget voor beveiliging in het komende jaar niet zou groeien. Deze verbazing is omgeslagen in een daadwerkelijke zorg na het lezen van het jaarlijkse rapport van Symantec over cyber security. Hierin staat veel statistische informatie over de diverse vormen van cyberaanvallen. Wat mij opviel, is dat van de geregistreerde data breaches, bijna 40% in de zorgsector heeft plaatsgevonden. De systemen en data van zorginstellingen zijn blijkbaar interessant in de ogen van hackers en cyber criminelen.
Informatiebescherming is wettelijke verplichting
Deze ontwikkeling roept de vraag op of de ziekenhuizen voldoende oog hebben voor hun wettelijke plicht tot het treffen van passende beveiligingsmaatregelen. De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat een verantwoordelijke passende technische en organisatorische maatregelen moet treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Om te bepalen wat passend is moet onder meer worden gekeken naar de risico’s die de verwerking met zich brengt en naar de aard van de te beschermen gegevens.
In de zorg gaat het veelal om medische gegevens waarvoor de lat nog wat hoger moet worden gelegd. De gevolgen van het uitlekken van dergelijke gegevens kunnen fors zijn. Het uitlekken van medische gegevens kan voor de betrokkene verstrekkende gevolgen hebben, bijvoorbeeld op het werk of richting een verzekeraar. Bij het bepalen van de te treffen beveiligingsmaatregelen mag ook rekening worden gehouden met de kosten van de uitvoering van die maatregelen. Uit de richtsnoeren die het College Bescherming Persoonsgegevens (CBP) hierover in 2013 heeft gepubliceerd volgt dat in de ogen van de toezichthouder de kosten van de te treffen maatregel nauwelijks relevant is.
Noodzakelijke implementatie beveiligingsbeleid
Een krimpend of gelijkblijvend budget kan dus geen excuus zijn om de passende beveiligingsmaatregelen achterwege te laten. Ik wijs nogmaals op het feit dat de wet ook het treffen van organisatorische maatregelen voorschrijft. In het licht van de bevindingen van KPN lijkt het onvermijdelijk te zijn dat ziekenhuizen werk moeten gaan maken van de implementatie van het beveiligingsbeleid. De noodzaak van de beveiligingsmaatregelen moet ‘tussen de oren’ landen.
Patrick Wit is ICT-recht advocaat en partner bij het Amsterdamse advocatenkantoor Kennedy Van der Laan
