Meeste ggz-instanties voldoen niet aan verplichte norm voor informatiebeveiliging

In dit artikel:

De Inspectie Gezondheidszorg en Jeugd (IGJ) constateert dat de meeste grote ggz-instellingen in Nederland niet voldoen aan de wettelijk verplichte NEN 7510-norm voor informatiebeveiliging. Eind vorig jaar onderzocht de IGJ 87 organisaties (van circa 150 grotere ggz-aanbieders) — onder meer instellingen voor forensische zorg, beschermd wonen en verslavingszorg — en slechts zes konden aantonen dat zij volgens de norm werken.

De NEN 7510 vereist een functionerend information security management system: niet alleen beleid en maatregelen, maar ook periodieke controles en verbeteracties. Meer dan de helft van de onderzochte instellingen kon niet aangeven wanneer volledige naleving verwacht wordt. Veertien reageerden zelfs niet op herhaalde verzoeken; de IGJ gaat ervan uit dat zij niet voldoen.

De Inspectie dringt aan op snelle actie: organisaties die nog niet aan de norm voldoen moeten dit jaar een onafhankelijke, deskundige beoordeling laten uitvoeren en zo snel mogelijk op orde komen. De IGJ spreekt haar zorgen uit over de onbekende termijn waarin de ggz-sector de informatiebeveiliging zal verbeteren, met implicaties voor de bescherming van patiëntgegevens.