De meeste grote ggz-instanties in Nederland voldoen niet aan de wettelijk verplichte norm voor informatiebeveiliging, zo stelt de Inspectie Gezondheidszorg en Jeugd (IGJ) op basis van eigen onderzoek. De Inspectie zegt zich zorgen te maken. Het is onbekend wanneer de onderzochte ggz-instanties hun informatiebeveiliging op orde hebben.

Zorgaanbieders in Nederland zijn wettelijk verplicht om de NEN 7510 norm voor informatiebeveiliging in de zorg toe te passen. De norm beschrijft hoe zorginstellingen hun informatiebeveiliging moeten inrichten. "Werken volgens de NEN 7510 betekent dat het information security management system (ISMS ) goed werkt", aldus de IGJ. "De organisatie kan dan laten zien dat de kwaliteitscyclus voor informatiebeveiliging functioneert. Daarvoor is het niet genoeg dat er beleid is en beheersmaatregelen zijn. De organisatie moet ook controleren of deze werken zoals bedoeld. Als het nodig is, moet de organisatie verbeteringen uitvoeren."

Eind vorig jaar onderzocht de Inspectie 87 organisaties van in totaal zo'n 150 grotere ggz-organisaties. Deze instanties bieden allerlei vormen van zorg, zoals forensische zorg, beschermd wonen of verslavingszorg. De IGJ wilde kijken of deze ggz-instellingen aantoonbaar werkten volgens de wettelijk verplichte NEN 7510 norm. Slechts 6 van de 87 instanties kon dit aantonen. De meeste organisaties vertelden dat ze met de norm bezig zijn, maar meer dan de helft kon niet aangeven wanneer zij verwachten volledig te voldoen.

"Opvallend was dat 14 van de 87 organisaties ook na herhaalde oproepen niet reageerden op de gestelde vragen. Zorgaanbieders hebben een plicht om mee te werken aan ons toezicht door informatie te verstrekken. De inspectie gaat er daarom vanuit dat deze aanbieders niet volgens de norm werken", zo laat de Inspectie verder weten. Die verwacht dat organisaties die nog niet voldoen aan de norm dit jaar minimaal een onafhankelijke en deskundige beoordeling laten uitvoeren. "Organisaties moeten zo snel mogelijk aan de norm voldoen."