ICT, Nieuws, Veiligheid

31-01-2017

Zorginstellingen moeten aan de slag met beveiliging van gegevens

Zorginstellingen moeten aan de slag met beveiliging van gegevens
Zorginstellingen boeken resultaat met hun informatiebeveiliging, maar de vooruitgang gaat niet snel genoeg. Raden van bestuur trekken verantwoordelijkheid voor informatiebeveiliging ook vaker naar zich toe.

Dat concludeert BDO Accountants & Adviseurs op basis van een onderzoek naar informatiebeveiliging in de zorg onder bestuurders en managers van 53 Nederlandse zorginstellingen. Een eerste onderzoek werd in 2015 gedaan.

Verdere resultaten: de kennis van wetgeving groeit. Ook hebben steeds meer zorgaanbieders een informatiebeveiligingsbeleid. De certificering van zorginstellingen komt eveneens vaker voor. Maar in 2018 gaat de Europese Privacyverordening in. Volgens BDO moeten veel zorginstellingen nog veel activiteiten ontplooien om daaraan te voldoen.

Geen privacybeleid

BDO adviseert bestuurders van zorginstellingen om informatiebeveiliging in de peiling te houden. Ook het privacybewustzijn en het gedrag van medewerkers op dat gebied zijn van belang. Bijna de helft (49 procent) van de zorginstellingen uit het onderzoek blijkt nog geen beleid te hebben om de privacy van cliënten en patiënten te garanderen.

Wetgeving stimuleert actie

Wetgeving zet zorginstellingen op grote schaal in beweging. Maar pas op het moment dat een nieuwe wet daadwerkelijk geldt, aldus het onderzoek. Zo zegt 92 procent van de ondervraagde instellingen bekend te zijn met de Meldplicht Datalekken.

85 procent heeft maatregelen getroffen om daar ook aan te voldoen. In 2015, toen de meldplicht nog niet gold, was 38 procent ermee bekend en had 28 procent maatregelen getroffen. Slechts de helft van de respondenten kent de Europese Privacyverordening. Die geldt vanaf 25 mei 2018. In 2015 was dat nog 40 procent.

Kostbare boetes bij overtreding

Boetes bij overtreding van de Europese Privacyverordening kunnen voor grote organisaties oplopen tot 100 miljoen euro of vijf procent van de opbrengsten. Dat zegt Chris van den Haak, partner BDO Audit & Assurance en voorzitter van de branchegroep Zorg.

27 procent van de zorginstellingen heeft al eens een privacy-issue aan de hand gehad. In 2015 was dit nog 18 procent. Privacy-incidenten zijn in zeven van de tien gevallen het gevolg van menselijke fouten. Slechts 27 procent van de zorgaanbieders heeft een security training- en awareness-programma ingezet om medewerkers privacybewustzijn bij te brengen.

Vooruitgang bij raden van bestuur

De grootste vooruitgang ten aanzien van informatiebeveiliging hebben zorginstellingen gemaakt bij de raden van bestuur. Steeds meer instellingen (59 procent nu tegen 49 procent in 2015) zeggen dat daar de (eind)verantwoordelijkheid voor informatiebeveiliging ligt – niet bij de IT-afdeling. (Bron: BoardroomZorg)

> Lees ook Wat is een goede balans tussen patiëntveiligheid en informatieveiligheid?

Reageer op dit bericht:

Vakmedianet gebruikt cookies om bepaalde voorkeuren te onthouden en advertenties af te stemmen op je interesses. Meer informatie over het gebruik van cookies.