Actueel
18 augustus 2025
Resultaten informatiebeveiligingsonderzoek ggz: waar staan we?
Om patiëntgegevens veilig te kunnen uitwisselen via het Landelijk Schakelpunt (LSP) of Koppeltaal, moeten zorgaanbieders voldoen aan duidelijke eisen voor informatiebeveiliging. VZVZ onderzocht eind 2024 of ggz-instellingen die op het LSP en/of Koppeltaal zijn aangesloten daar ook echt aan voldoen, en hoe zij die eisen in de praktijk brengen.
Het onderzoek laat zien dat veel instellingen hun informatiebeveiliging goed op orde hebben. Tegelijkertijd zijn er ook duidelijke aandachtspunten. Vooral als het gaat om het controleren van toegangsrechten van medewerkers, het testen van back-ups, en het regelmatig bijscholen van personeel over veilig omgaan met patiëntgegevens.
Het onderzoek laat zien dat veel instellingen hun informatiebeveiliging goed op orde hebben. Tegelijkertijd zijn er ook duidelijke aandachtspunten. Vooral als het gaat om het controleren van toegangsrechten van medewerkers, het testen van back-ups, en het regelmatig bijscholen van personeel over veilig omgaan met patiëntgegevens.
Wat is onderzocht?
Ggz-instellingen die gebruikmaken van het LSP en/of Koppeltaal hebben een vragenlijst vanuit VZVZ ingevuld over hoe zij hun informatiebeveiliging hebben geregeld. Ook werd gekeken naar in hoeverre dat aansluit bij de eisen van het Goed Beheerd Zorgsysteem (GBZ), de norm die geldt voor aansluiting op het LSP. De vragen gingen onder andere over beleid, technische maatregelen en hoe medewerkers worden getraind. Het was geen audit, maar een inventarisatie met als doel om instellingen en VZVZ inzicht te geven in waar het goed gaat, en waar verbetering mogelijk is. Op basis van de antwoorden kregen alle deelnemende instellingen een persoonlijk adviesrapport met tips om hun beveiliging nog beter te maken.
Drie belangrijke aandachtspunten
De meeste ggz-instellingen voldoen op hoofdlijnen aan de basis van wat wordt gevraagd. Uit het onderzoek kwamen drie verbeterpunten naar voren die in veel instellingen nog aandacht verdienen:
-
Toegangsrechten controleren
Niet alle instellingen controleren regelmatig of medewerkers nog wel de juiste toegang hebben. Bijvoorbeeld als iemand uit dienst is of van functie verandert. Door dit structureel te doen, voorkom je onnodige risico’s.
-
Back-ups/restore testen
Veel instellingen vertrouwen op hun GBZ-beheerder (ICT-beheerder) voor back-up en restore testen die nagaan of een back-up van data succesvol kan worden hersteld, maar controleren niet altijd of die testen daadwerkelijk zijn uitgevoerd. Regelmatig testen en bewijzen opvragen helpt om problemen bij storingen of dataverlies te voorkomen.
-
Bewustwording van personeel
Nieuwe medewerkers krijgen vaak uitleg over informatiebeveiliging, maar bijscholing gebeurt niet overal standaard. Terwijl risico’s en technieken snel veranderen. Structurele herhaling en bewustwording zijn dus essentieel.
Reactie van de Nederlandse ggz
Branchevereniging de Nederlandse ggz noemt het positief dat er zo’n uitgebreid onderzoek is gedaan. "Het assessment geeft waardevolle inzichten in hoe ggz-instellingen bezig zijn met hun beleid en uitvoering rond informatiebeveiliging. Dat alle deelnemers een terugkoppeling kregen is een groot pluspunt," aldus de organisatie.
Uit het onderzoek blijkt dat 60% van de deelnemende instellingen hun informatiebeveiliging heeft ingericht volgens de NEN 7510, de landelijke norm voor informatiebeveiliging in de zorg. De Nederlandse ggz herkent de verbeterpunten die uit het onderzoek naar voren kwamen en benadrukt dat ook zij het belang zien van het regelmatig trainen van medewerkers. Ze stimuleren hun leden hier actief in, onder meer via het programma Informatieveilig Gedrag Zorg.
