Informatiebeveiliging is een onderdeel van goede zorg
Of het nu gaat om het meten van de temperatuur van een patiënt of het analyseren van het verloop van een gemoedstoestand, de zorg is enorm afhankelijk van gegevens. Zowel van de betrouwbaarheid, van de juistheid als van de beschikbaarheid van de gegevens. De integriteit van de registratie is belangrijk om garanderen dat temperaturen altijd in dezelfde eenheden worden vergeleken. De afgifte van medicijn via een infuus werkt alleen als het goed is ingesteld. Het dossier met daarin het voorschrift van de arts moet goed geïnterpreteerd kunnen worden door degene die de infuuspomp instelt, of dat nu een verpleger is of een computer. De tijdigheid van beschikbare informatie is belangrijk, omdat de anesthesist niets heeft aan de zuurstofwaardes van 3 minuten geleden. De juistheid, tijdigheid en integriteit van die gegevens zijn cruciaal voor het verlenen van goede zorg en dienen geborgd te worden middels een informatiebeveiligingsplan.
Informatiebeveiliging is een onderdeel van patiëntveiligheid
De apparatuur die gebruikt wordt om zorg te verlenen bepaalt mede de kwaliteit van de zorg die aan de patiënt verleend wordt. Indien die apparatuur niet goed werkt doordat de informatie niet goed verwerkt wordt door die apparatuur leidt dit tot een verkeerde (onveilige) behandeling van de patiënt. Dat kan veroorzaakt worden vanuit geautomatiseerde en niet-geautomatiseerde systemen. Een onduidelijk ingevulde papieren status kan tot interpretatiefouten leiden, die de veiligheid van de patiënt kunnen schaden. Tegenwoordig kunnen de lees- en interpretatiefouten ontstaan bij verkeerd gekoppelde geautomatiseerde systemen. Indien een dergelijke uitwisseling een fout bevat, kunnen bijvoorbeeld de verkeerde pillen via de robot in de distributie gebracht worden. Hierdoor ontstaan risico’s voor de patiëntveiligheid.
Informatiebeveiliging en privacy zijn niet los van elkaar te zien
Een patiëntbespreking wordt in het behandelteam gedaan op basis van vertrouwelijkheid. Slechts díe zorgverleners zijn bij de bespreking aanwezig, die een zorgrelatie hebben met de patiënt. Dat zou in de geautomatiseerde situatie niet anders moeten zijn. Slechts met een behandelrelatie mag je toegang hebben tot de gegevens van de patiënt. Zorggegevens die in de context van de zorgrelatie worden gedeeld dient binnen die zorgrelatie te blijven. Immers de kennis van het hebben van een bepaalde aandoening kan heel veel persoonlijk, psychisch en economisch leed met zich meebrengen. Een geconstateerde erfelijke aandoening kan effect hebben op bijvoorbeeld de mogelijkheden van de kinderen en kleinkinderen van de patiënt op het verkrijgen van een hypotheek. Daarom zijn vertrouwelijkheid en de zorg voor veilig gegevensbeheer met elkaar verbonden. We hebben in Nederland en in Europa met elkaar afgesproken, dat we dergelijke informatie niet buiten de zorgrelatie willen delen.
Informatiebeveiliging is een kerntaak van een zorginstelling
De impact die zorggegevens kunnen hebben op het leven van mensen en op hun directe omgeving, maken dat gegevensbescherming de grootste zorg vereist. Dat is mede de zorgplicht die een zorgverlener heeft aan zijn patiënten.
De juistheid, integriteit en actualiteit van de gegevens die gebruikt worden bepalen de kwaliteit van de zorg. Een diagnose, die gebaseerd is op verkeerde of verouderde gegevens is een verkeerde diagnose. Daardoor kan een behandeling verkeerd worden opgezet met onvoldoende resultaat.
De zorg kent een doorontwikkeld systeem van behandelprotocollen, ontstaan vanuit een overtuiging dat kwalitatief de beste zorg verleend kan worden vanuit zorgvuldig handelen. Informatiebeveiliging moet onderdeel zijn van die behandelprotocollen. Immers in de behandeling wordt op veel plaatsen informatie gedeeld, op informatie vertrouwd en op basis van informatie besloten.
Informatiebeveiliging moet door de RvB geagendeerd zijn
Vaak maken de woorden ‘hoge kwaliteit’ onderdeel uit van de missie van een zorginstelling. Die hoge kwaliteit is afhankelijk van de kwaliteit van de gebruikte gegevens. Gegevens zijn daarmee een cruciale asset voor de zorgorganisatie. Het bewaken en beschermen van die assets is een hoofdverantwoordelijkheid van de RvB. De beveiliging van gegevens wordt in veel organisaties te gemakkelijk aan de ICT-afdeling overgelaten, terwijl de bescherming van deze kern-assets prioriteit behoort te zijn van de RvB.
Deze bijdrage is geschreven door Daan Koot, Delivery Manager en Technology Adviseur bij Redmax, en is ook verschenen op de Redmax website.