In de vorige versie van de norm voor informatiebeveiliging in de zorg, de NEN 7510:2004, stond dat een instelling moet zorgen voor duidelijk verantwoordelijke functionarissen voor de informatiebeveiliging en voor de coördinatie tussen hen. Het toetsbaar voorschrift bij die norm (NEN 7511) legde de coördinatie bij een Stuurgroep ICT en stelde: ‘een specifieke functie voor informatiebeveiliging kan bijvoorbeeld een “security manager” zijn’. De Nederlandse Vereniging van Ziekenhuizen borduurde hierop voort in het Toetsingsreglement voor de externe audit van 2010: ‘Er is een aangewezen persoon/afdeling die belast is met de informatiebeveiliging’.

Geen macht, wel schuld

Zo werd het voor instellingen gebruikelijk iemand aan te stellen als information security officer, meestal hangend onder het bestuur, zonder personeel, zonder budget en zonder mandaat, maar wel met verantwoordelijkheden. Geen macht, maar wel schuldig is als het misgaat. Veel deskundige medewerkers met hart voor de zaak meldden zich vrijwillig voor deze functie, gingen voortvarend aan de slag maar kregen weinig voor elkaar.

Europese privacyverordening

Misschien gaat de Europese privacyverordening hun helpen. Het Europese Parlement stemde op 12 maart jongstleden met overweldigende meerderheid in met de eerste versie deze verordening: 621 voor, 10 tegen, 22 onthoudingen. De verordening is nog niet helemaal af en de ministers in de Raad van Europa moeten haar nog accepteren, maar het ziet ernaar uit dat ze binnen een paar jaar van kracht wordt. Deze verordening zal grote invloed hebben op de informatiebeveiliging. Globaal kun je stellen dat de privacyregels strenger worden. Ging informatiebeveiliging voorheen vooral over het ‘dichtspijkeren’ van de ICT-voorzieningen, onder de verordening krijgt de bescherming van gegevens prioriteit. En de straffen bij overtredingen kunnen oplopen tot procenten van de omzet; voor een ziekenhuis van een beetje omvang kan dat al snel een miljoen euro of meer zijn.

Dan ben je als goedwillende information security officer je leven niet meer zeker. Als het dan misgaat ben jij als verantwoordelijke degene die het ziekenhuis in de verliescijfers heeft geholpen waardoor er ontslagen moeten vallen.

Oplossing

Gelukkig is er een betere structuur in te richten. Die staat eigenlijk al in de nu geldende norm voor informatiebeveiliging in de zorg, de NEN 7510:2011. Niet delegeren, maar managers en directieleden zelf verantwoordelijk maken en de coördinatie opwaarderen. De Nederlandse privacywetgeving, de Wet bescherming persoonsgegevens van 2000, bevat daarvoor een prima oplossing: creëer de functie ‘Functionaris gegevensbescherming’. Dit is een combinatie van de ‘oude’ privacyfunctionaris en de information security officer. De wet heeft de positie van die functionaris versterkt met onder andere een ontslagbescherming die vergelijkbaar is met die voor leden van een Ondernemingsraad. En de Europese privacyverordening zet een paar aardige to do’s op het werklijstje van de functionaris gegevensbescherming: opstellen van allerlei verantwoordingsdocumenten want de eisen die daaraan worden gesteld gaan aanzienlijk omhoog.

Flinke klus

Nu is het aan de zorginstellingen om te besluiten dat bestuur en managers meer verantwoordelijkheid krijgen en dat de functie van information security officer omgebouwd wordt tot functionaris gegevensbescherming, zoals die er al vanaf 2000 had horen te zijn. Dat wordt nog een flinke klus; de tijd dringt.

Berend de Vries, managing partner bij Comfort-IA