Eind september 2022 heeft de Inspectie Gezondheidszorg en Jeugd (IGJ) de Factsheet: ‘ICT-storingen in ziekenhuizen: lessen voor bestuurders en ICT-managers’ naar buiten gebracht. Daarin doen zij drie aanbevelingen om goede en veilige zorg in ziekenhuizen te waarborgen. Van grote invloed is de aanbeveling dat alle ziekenhuizen uiterlijk 2023 aantoonbaar aan NEN 7510 moeten voldoen. In dit nieuwsartikel vertellen we je meer over het onderzoek en de aanbevelingen.
Uit Nederlands onderzoek blijkt dat zich steeds vaker grote ICT-storingen voor doen in ziekenhuizen. Om meer informatie te krijgen over de oorzaak, het verloop, de gevolgen en evaluatie van deze storing is de IGJ in 2018 een onderzoek gestart. In totaal hebben zij 14 ziekenhuizen ondervraagd na een grote ICT-storing. Meestal ging het om storingen die enkele uren tot een dag duurden. In tenminste 11 van de 14 gevallen begon de storing bij een technisch onderdeel in de ICT-infrastructuur. Storingen waren vaak onverwacht en de genomen maatregelen niet altijd werkzaam. Bij geen enkel van de onderzochte ICT-storingen is de oorzaak een probleem in de informatiebeveiliging. Naast dreigingen van hackers en ransomware kunnen er dus ook dreigingen bestaan in de normale dagelijkse ICT-operatie, bijvoorbeeld door verouderde hardware of kennistekorten in de beheerorganisatie.
De ICT-storingen hadden grote gevolgen. Maar liefst 12 van de 14 onderzochte storingen verstoorden de continuïteit van de zorgprocessen. In de meeste gevallen waren belangrijke informatiesystemen zoals het elektronische patiëntendossier (EPD) niet of slecht bereikbaar. Vaak met sluiting van de spoedeisende hulp (SEH) en het uitstellen van poliklinische afspraken en operaties als gevolg. Volgens de rapportages van de ziekenhuizen liep geen enkele patiënt aantoonbaar gezondheidsschade op door de storing. De ziekenhuizen stelde bijna altijd het bedrijfsnoodplan in werking en activeerden de crisisorganisatie. Elk ziekenhuis evalueerde achteraf de stroring. De IGJ ziet vijf algemene lessen hierin naar voren komen:
De IGJ raadt aan bovengenoemde lessen en aanbevelingen uit het rapport van de Onderzoeksraad voor de Veiligheid (OvV) toe te passen op het ziekenhuis. Daarnaast presenteren zij in de factsheet nog drie extra aanbevelingen voor goede en veilige zorg in ziekenhuizen.
Aanbeveling 1: betrek patiënten bij de evaluaties van storingen.
Patiënten ondervinden vrijwel altijd gevolgen van ICT-storingen, maar worden zelden of nooit bij de evaluatie betrokken. Terwijl zij nuttige informatie kunnen geven over de impact van de storing op de patiënt en de wijze waarop de storing werd gecommuniceerd. Betrek dus niet alleen medewerkers maar ook patiënten bij de voorbereiding en evaluatie van storingen.
Aanbeveling 2: deel ervaringen met elkaar.
De IGJ raadt ziekenhuizen dringend aan om elkaar actief te informeren over het verloop van opgetreden storingen en de geleerde lessen. Elk ziekenhuis kan ten slotte te maken krijgen met een grote ICT-storing. Naast communicatie op technisch niveau, is het belangrijk dat dit ook gebeurd op bestuurlijk niveau. Er zijn immers ook lessen over de gevolgen voor het ziekenhuis en de omgeving.
Aanbeveling 3: voldoe zo snel mogelijk aan (wettelijke normen)
Voor informatiebeveiliging in de zorg bestaat een wettelijke norm, namelijk de NEN 7510. Nog lang niet alle ziekenhuizen voldoen aan deze norm. De IGJ eist dat alle ziekenhuizen uiterlijk eind 2023 aantoonbaar voldoen aan NEN 7510. Daar hoort bij dat ziekenhuizen regelmatig een onafhankelijke beoordeling laten uitvoeren. De IGJ gaat alle ziekenhuizen hiernaar vragen. Certificering is niet verplicht maar wel een eenvoudige manier om aantoonbaar te voldoen.
Daarnaast raadt de IGJ aan om ook te voldoen aan andere relevante normen en richtlijnen. Allereerst de gedragslijn toegangsbeveiliging digitale patiëntendossiers 2.0 van de Nederlandse Vereniging van Ziekenhuizen (NVZ). Deze richtlijn vult verschillende belangrijke onderdelen van de NEN 7510, die raken aan bedrijfscontinuïteit, verder in. Voor bedrijfscontinuïteit en de opzet van een crisisorganisatie verwijst de NEN 7510 ook naar de NEN-EN-ISO 22301. Dit is de norm voor bedrijfscontinuïteit.
Heeft jouw ziekenhuis (organisatie) ondersteuning nodig bij het aantoonbaar voldoen aan de eisen uit NEN 7510? Onze Information Security Consultants helpen je graag verder! Neem vrijblijvend contact met ons op en we vertellen je graag over de mogelijkheden.
Bronnen: Factsheet ‘ICT-storingen in ziekenhuizen: lessen voor bestuurders en ICT-managers’ van Inspectie Gezondheidszorg en Jeugd (IGJ).