Informatiebeveiliging
De landelijke infrastructuur maakt digitale uitwisseling van medische gegevens tussen zorgverleners (zoals huisartsen en apothekers) mogelijk. Om de kwaliteit en beveiliging van deze infrastructuur te waarborgen zijn maatregelen getroffen om de correcte werking te waarborgen en mogelijk verkeerd gebruik snel te identificeren.
Bij de ontwikkeling en uitvoering van de infrastructuur zijn verschillende partijen betrokken. In 2010, is een toezichtskader opgeleverd dat de verschillende vormen van toezicht en de verantwoordelijkheden beschrijft.
Technisch/operationeel toezicht
Als beheerder van het landelijk schakelpunt (LSP) is Nictiz verantwoordelijk voor een veilig en goed werkende infrastructuur. Verschillende testen en scans hebben plaatsgevonden. De belangrijkste testen bestaan uit de jaarlijkse toets op de NEN7510-norm, de informatiebeveiligingsnorm binnen de zorg. Daarnaast hebben indringertesten plaatsgevonden op het LSP. De bevindingen en aanbevelingen die uit de testen kwamen, heeft Nictiz beoordeeld en geïmplementeerd. Enkele aanbevelingen zijn na een uitgebreide risico-analyse niet geïmplementeerd.
Extern operationeel toezicht
Nictiz houdt de kwaliteit en het gebruik van de infrastructuur in de gaten. Zo worden schouwingen uitgevoerd van de goed beheerde zorginformatiesystemen (GBZ). Met security monitoring brengt Nictiz het gebruik en de uitwisseling van gegevens in de praktijk in kaart. In 2010 zijn 323 meldingen gesignaleerd die betrekking hadden op mogelijk vermeend misbruik. Veel van deze meldingen hadden betrekking op bevragingen met een UZI-pas die over onvoldoende rechten beschikten of het bevragen van informatie terwijl een patiënt totaal bezwaar had ingesteld. In deze gevallen is geen informatie uitgewisseld, terwijl bij totaal bezwaar ook geen informatie aanwezig is. Daarnaast zijn meldingen gesignaleerd over excessieve aantallen bevragingen. Met name door elektronisch voorschrijven en het grootschalig gebruik bij grote apotheken zijn deze meldingen verklaard als normaal gebruik. Alle meldingen zijn onderzocht en op basis van de GBZ-toelichting en de loganalyse is in 2010 geen afwijkend gedrag geconstateerd, zoals onrechtmatige opvraging van patiëntendossiers.
Het aantal opvraagbare patiëntendossiers is gestegen van 1,3 miljoen eind 2009 tot bijna 7,5 miljoen eind 2010. Drie meldingen van vermeend misbruik hebben plaatsgevonden door burgers via het klantloket. Deze meldingen hadden betrekking op een verkeerd gekoppeld BSN aan een patiëntendossier. In samenwerking met de zorgverlener en de ICT-leverancier zijn deze BSN’s verwijderd en heeft aanpassing van het lokale patiëntendossier van de zorgverlener plaatsgevonden. Omdat er geen bevragingen van deze patiëntendossiers via het LSP hebben plaatsgevonden, is er langs deze weg ook geen foutieve medische informatie over de betreffende patiënten verstuurd.
Voor vragen over informatiebeveiliging, kunt u contact opnemen met Stefan van den Broek.
