Vier ziekenhuizen hebben van het College Bescherming Persoonsgegevens (CBP) een dwangsom opgelegd gekregen omdat de informatiebeveiliging niet op orde is. Doordat de beveiliging niet aan de geldende norm voldoet, handelen de ziekenhuizen in strijd met de Wet bescherming persoonsgegevens. Met name het ontbreken van kennis over waar men welke risico’s loopt op het gebied van informatiebeveiliging rekent het CBP de ziekenhuizen aan. Dit kan namelijk ernstige gevolgen hebben voor de kwaliteit van de zorg en de privacy van patiënten. Het betreft de Ommelander Ziekenhuis Groep, MC/Lelystad, Medisch Spectrum Twente en het Rijnland Ziekenhuis. Een vijfde aangesproken ziekenhuis, het Diaconessenhuis Leiden, wist de dans te ontspringen omdat het inmiddels wel over een adequate risicoanalyse beschikt.

Naar aanleiding van het onderzoek naar het niveau van informatiebeveiliging in 2007, kregen de ziekenhuizen tot 15 oktober 2008 de tijd om een Plan van Aanpak op te stellen. Hierin moest duidelijk worden omschreven wat het ziekenhuis onderneemt om de beveiliging op orde te brengen zodat het aan de geldende norm voor informatiebeveiliging in de zorg voldoet. Een actuele risicoanalyse van de informatiebeveiliging moest onderdeel van het Plan van Aanpak uitmaken. Drie van de vier ziekenhuizen hadden echter geen adequate analyse opgenomen.

Gele kaart
“Als je niet weet waar risico’s gelopen worden, kun je ook geen serieuze informatiebeveiliging ontwikkelen. Het ontbreken van een goede risicoanalyse is voor ons mede aanleiding om een gele kaart uit te delen in de vorm van een last onder dwangsom. Als de ziekenhuizen hun informatiebeveiliging niet binnen drie maanden op orde brengen, volgt een rode kaart en innen we de dwangsom”, aldus CBP-voorzitter Jacob Kohnstamm.