Compliance

Voldoen aan wet- en regelgeving

 

Compliance - het voldoen aan voorschriften en de wet- en regelgeving - staat hoog op de agenda van elke organisatie. In de informatiebeveiliging en in het bijzonder als er met persoonsgegevens of patiëntgegevens wordt gewerkt, zijn er richtlijnen en normen waaraan organisaties en zorginstellingen zich willen conformeren maar er zijn ook minder vrijblijvende wetten en regels. Er zijn verschillen tussen Europese wetten en richtlijnen en lokale wetten die ook nog eens in Nederland anders zijn dan in België. Compliance is dus een lastige uitdaging. Met single sign-on en authenticatiebeheer op basis van Imprivata-oplossingen, wordt het thema compliance een heel stuk eenvoudiger. Het slim omgaan met loginmogelijkheden en wachtwoorden beschermt immers de primaire toegangspoort tot alle data. Imprivata biedt oplossingen die passen in elke sector en is markleider in de zorgsector.

 

Wat de klant zegt

 

Medisch specialisten en verpleegkundigen zijn hier (Imprivata) laaiend enthousiast over. En passant voldoet Flevoziekenhuis hiermee ook aan de NEN7510 normering. “Dit is volgens mij het enige project dat je kunt bedenken waarbij én de gebruikerservaring beter wordt, én de veiligheid beter wordt gegarandeerd. Normaal gaat meer veiligheid ten koste van de gebruikerservaring, maar hierbij gaat het hand in hand.”

- Lex Pate, ICT-Manager, Flevoziekenhuis

 

Kenmerken

Meldplicht datalekken

Sinds 1 januari 2016 zijn Nederlandse zorgorganisaties, bedrijven en overheden die met persoonsgegevens werken wettelijk verplicht om datalekken of ongeoorloofde verwerking onmiddellijk te melden bij de Autoriteit Persoonsgegevens  (voorheen het College Bescherming Persoonsgegevens). Als een datalek niet wordt gemeld, kunnen boetes tot een hoogte van 860.000 euro worden opgelegd. Daarnaast krijgen bestuurders, topmanagers en CISO's een persoonlijke aansprakelijkheid. Ook in Vlaanderen worden instellingen en beroepsbeoefenaars in de gezondheidszorg onderworpen aan strafsancties en eventueel tuchtsancties als ze hun plicht tot adequate informatiebeveiliging niet naleven volgens de Belgische Privacywet. Er kan een strafrechtelijke geldboete worden opgelegd van 600 euro tot 120.000 euro en bij een tweede veroordeling zelfs 600.000 euro. Goed omgaan met wachtwoorden helpt datalekken te voorkomen. Met Imprivata:

  • logt elke zorgprofessional altijd zelf in, snel en eenvoudig met een pasje
  • hebben onbevoegden geen toegang
  • zijn wachtwoorden geëlimineerd wat phishing en andere cyberaanvallen onmogelijk maakt: als medewerkers geen wachtwoord kennen,
    valt dit ze ook niet te ontfutselen.

Balans tussen security en gemak

Binnen de Europese Unie geldt geharmoniseerde wetgeving voor de verwerking van persoonsgegevens. Deze wetgeving schrijft voor dat persoonsgegevens moeten worden beveiligd met technische en organisatorische maatregelen. Medische gegevens zijn vanwege hun gevoelige aard onderworpen aan strengere regels en vereisen derhalve nog verdergaande beveiligingsmaatregelen. Deze beveiligingsmaatregelen moeten de drempel verlagen en bovendien op gebruikersvriendelijke wijze zijn geïmplementeerd. Imprivata zorgt ervoor dat er een goede balans wordt gevonden tussen compliance-maatregelen en gebruiksgemak en:

  • faciliteert goed gedrag
  • biedt een hoge mate van gebruikersgemak zonder concessies te doen aan security
  • zorgt voor gemakkelijk en snel Inloggen in het EPD en alle applicaties met een pas of badge
  • zorgt ervoor dat er geen wachtwoorden meer hoeven te worden onthouden (of opgeschreven)

Wet Bescherming Persoonsgegevens

In Nederland zijn de Europese regels over de bescherming van persoonsgegevens geïmplementeerd in de Wet Bescherming Persoonsgegevens. In België is dit vastgelegd in de Privacywet. Elk nationaal recht kent ook voorschriften omtrent de medische vertrouwelijkheid, die bepalen dat een zorginstelling alleen toegang tot een EPD mag geven aan zorgmedewerkers die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst. De maatregelen om dit mogelijk te maken zijn onder meer terug te vinden in de NEN 7510-norm. Hierin staat dat wachtwoordbeveiliging niet altijd voldoende is en dat krachtige authenticatie en verificatie van de identiteit vereist is. Imprivata:

  • werkt met alle gangbare ziekenhuis(passen) en tokens en andere authenticatiemethoden
  • maakt inloggen op de werkplek, in het EPD en alle applicaties mogelijk door simpel met bijvoorbeeld een pasje te vegen of tikken
  • zorgt ervoor dat alleen de juiste zorgverleners de juiste patiëntinformatie zien

Voldoen aan de Time-Out Procedure

Ziekenhuizen moeten voorafgaand aan operatieve ingrepen een checklist hanteren om de laatste details voor een operatie door te nemen, de zogenaamde ‘TOP’ (Time-Out Procedure). Deze cruciale veiligheidsnorm vereist dat op betrouwbare wijze wordt vastgelegd wie, wanneer over welke medische gegevens beschikte en wie, wanneer betrokken was bij de medische behandeling van de patiënt. Op grond van NEN 7510 zijn zorginstellingen verplicht om raadplegingen door hulpverleners van patiëntgegevens vast te leggen in logbestanden (logging). Ziekenhuizen die werken met Imprivata-oplossingen realiseren dit doordat:

  • elke zorgverlener zelf inlogt (met pasje of badge zonder wachtwoord) voor automatische authenticatie in het EPD en alle andere klinische en administratieve applicaties en dus identificeerbaar is
  • Imprivata elke login en elke actie logt. Het is altijd bekend wie op enig moment ingelogd is en bezig is met de patiëntgegevens

Voldoen aan de Closed Loop

Het proces van het voorschrijven, uitzetten en toedienen van medicatie in de zorg moet een gesloten systeem zijn, waarin interne controles door alle betrokken disciplines (artsen, verpleegkundigen, apothekers) zijn ingebouwd om zo de kans op medische fouten te verkleinen. Imprivata zorgt voor:

  • het snel in- en uitloggen om data van een patiënt bij te werken
  • het voorkomen van uit- en weer moeten inloggen bijvoorbeeld bij Witness signing (waar een tweede arts bijvoorbeeld een behandeling te accorderen in het EPD)
  • her-authenticatie met een pasje, bijvoorbeeld bij het accorderen van zware medicatie
  • de mogelijkheid om met Fast User Switching zorgprofessionals zeer snel te laten wisselen

JCI/NIAZ-accreditatie

Een geaccrediteerd of gecertificeerd Veiligheidsmanagementsysteem (VMS) in ziekenhuizen is vaak een verzoek vanuit de overheid of de verzekeringsmaatschappijen. Dit houdt in dat de ziekenhuizen het VMS door een externe partij hebben laten toetsen waaruit moet gebleken is dat ze voldoen aan de basisvereisten. De internationale accreditatieschemas voor ziekenhuizen zijn ontwikkeld door de “Joint Commission International” (JCI) en het “Nederlands Institutuut voor Accreditatie in de Zorg” (NIAZ) en bevatten ziekenhuisbrede kwaliteitsstandaarden. Hospitalen in Vlaanderen worden door deelname aan dergelijke externe accreditatiesystemen vrijgesteld van systeemtoezicht door de Zorginspectie en zijn zij enkel onderworpen aan een beperkter “nalevingstoezicht”. Kwalitatief informatiebeheer is een centrale pijler om accreditatie te verkrijgen. Ziekenhuizen dienen een beleid vast te leggen omtrent de beschikbaarheid en beveiliging van informatie waarbij de NIAZ de NEN 7510-norm gebruikt. Imprivata ondersteunt accreditatie onder meer:

  • door taken te scheiden en rolgebaseerde authenticatie mogelijk te maken
  • actieve sessies automatisch te beveiligen bij beëindiging
  • apparatuur te vergrendelen tegen onbevoegd gebruik
  • authenticatie te realiseren voor gebruikers die op afstand werken
  • de identiteit van de zorgprofessional en het tijdstip te registeren van een wijzing of “entry” in een dossier
Other Hot Topics