Privacy en informatiebeveiliging

Lees ons jaarverslag online

Het vertrouwen van patiënten is van het grootste belang voor het Erasmus MC, als het gaat om zorg, onderzoek en onderwijs. Zonder vertrouwen van patiënten en van de maatschappij als geheel kan het Erasmus MC zijn kerntaken niet adequaat vervullen.

Privacy en informatiebeveiliging

Het vertrouwen van patiënten is van het grootste belang voor het Erasmus MC, als het gaat om zorg, onderzoek en onderwijs. Zonder vertrouwen van patiënten en van de maatschappij als geheel kan het Erasmus MC zijn kerntaken niet adequaat vervullen. Privacy, ofwel zorgvuldige omgang met gegevens van onze medewerkers, studenten en de gezondheidsgegevens van patiënten in zorg, onderzoek, onderwijs en bedrijfsvoering, is daarmee randvoorwaardelijk voor de uitvoering van de kerntaken van het Erasmus MC. Gezien de aard van de bedrijfsprocessen en de afhankelijkheid van IT is ook aandacht voor informatiebeveiliging noodzakelijk.

Beveiliging patiëntendossiers

Ter verbetering van de beveiliging van patiëntendossiers is sinds de zomer van 2021 het project Zorg+ voor data uitgevoerd. Dit project is in het najaar van 2023 afgerond. Een aantal restactiviteiten wordt binnen de lijnorganisatie afgerond. De NFU en de NVZ hebben de gedragslijn toegangsbeveiliging digitale patiëntdossiers opgesteld. Met het uitvoeren van dit project is de beveiliging van patiëntdossiers binnen het Erasmus MC structureel verbeterd. Voorbeelden van maatregelen zijn het verder verbeteren van het intern toegang verkrijgen tot het EPD, het beheren en controleren van bevoegdheden en het registreren en controleren van toegang tot patiëntgegevens door medewerkers. Ter verhoging van de bewustwording van management en medewerkers wordt aan alle medewerker een verplichte e-learning voor informatiebeveiliging en gegevensbescherming aangeboden.

Daarnaast heeft het Erasmus MC in 2024 een systeem geïmplementeerd wat het Erasmus MC beter in staat stelt om de raadplegingen van patiëntendossiers risicogebaseerd te monitoren. De impact van deze maatregelen, vooral rond bewustwording en monitoring van de raadplegingen, zal enige tijd na implementatie. worden geëvalueerd.

Bewustwording

In 2023 heeft Erasmus MC het nodige gedaan om bewustwording te vergroten. Aan de hand van een awareness-strategie is via meerdere wegen aandacht besteed aan privacy en informatiebeveiliging. Denk hierbij aan flyeracties, berichten op het Intranet, maar ook zijn er gedragsregels vastgesteld en gecommuniceerd over de spelregels rondom het raadplegen van patiëntdossiers.

De privacy- en informatiebeveiligingsorganisatie van het Erasmus MC zal in 2024 de nodige activiteiten ontplooien om bewustwording en normconform gedrag verder te bevorderen en te vergroten. Dit gebeurt aan de hand van een awareness-strategie en communicatieplan(nen). Centraal staat het raadplegen van het patiëntdossier. Zo worden er trainingen aangeboden aan medewerkers op het gebied van privacy, worden er via het Intranet op regelmatige basis artikelen gepubliceerd en verplichten we medewerkers in 2024 om (wederom) de herziene e-module informatiebeveiliging & privacy te volgen. Dit draagt bij aan de voortdurende aandacht voor dit onderwerp.

Governance

Er is een grote mate van autonomie weggelegd voor afdelingen bij het inrichten van zorg, onderwijs en onderzoek. De centrale organisatie ondersteunt hierbij bij het in control zijn van risico’s. De privacy- informatiebeveiligingsorganisatie van het Erasmus MC is volgens het Three Lines model ingericht. De thema’s, pijlers en programma’s vormen de eerste lijn. Zij worden ondersteund door decentrale privacyfunctionaris(sen) en coördinatoren informatiebeveiliging. Centrale tweedelijns ondersteuning wordt geboden door de Privacy Kennis Organisatie en het Information Security Office; zij verhelderen de kaders, faciliteren bij het beheersen van risico’s en uitdagingen rond gegevensbescherming en informatiebeveiliging en monitoren hoe de organisatie omgaat met deze risico’s en uitdagingen. De Functionaris Gegevensbescherming (FG) fungeert als onafhankelijke toezichthouder binnen het Erasmus MC.

In 2023 zijn (verdere) stappen gezet in de volwassenwording van de privacy-organisatie. De eerste lijn is met capaciteit uitgebreid en met training en kennisvergroting verstevigd. Daarnaast is gewerkt aan een heldere afbakening van rollen, taken en verantwoordelijkheden tussen de tweede en derde lijn waarmee Risk & Compliance, Internal Audit, Privacy Kennis Organisatie, de Information Security Office en de FG beter in staat zijn hun respectievelijke taken te vervullen en verantwoordelijkheden te nemen.

Certificering

Het Erasmus MC is al jarenlang gecertificeerd voor de normen NEN 7510, Informatiebeveiliging in de zorg, en ISO 27001, Managementsystemen voor informatiebeveiliging. In januari 2023 heeft er weer een hercertificeringsaudit plaatsgevonden met positieve uitkomst.

Verbetering cybersecurity

Vanwege de toegenomen dreiging van cyberrisico’s, waaronder ransomware, is ook in 2023 uitgebreid aandacht besteed aan verbetering van cybersecurity in de vorm van het project Cyber Resilience. Dit meerjarige project omvat diverse maatregelen die de weerbaarheid van het Erasmus MC voor cybercrime vergroten. Voorbeelden zijn het segmenteren van de IT-omgeving en het verbeteren van maatregelen voor back-up en restore. Ook wordt aandacht besteed aan het verder verbeteren van cyber incident response. In het voorjaar van 2023 heeft het Erasmus MC deelgenomen aan de sectorbrede cybercrisisoefening voor onderwijs en onderzoek OZON, georganiseerd door ict-coöperatie SURF, om de weerbaarheid in de praktijk te oefenen. Het project Cyber Resilience loopt door in 2024 met nieuwe maatregelen en investeringen.

Onderzoek naar ongeoorloofde inzagen

Het Erasmus MC maakte eind december 2023 bekend dat enkele tientallen medewerkers ongeoorloofd medische gegevens hadden ingezien. Dit betroffen de gegevens van één van de slachtoffers van het schietincident van 28 september 2023. De Raad van Bestuur neemt deze zaak hoog op en doet onderzoek, hetgeen nog lopend is tijdens het opstellen van deze jaarrapportage. Het Erasmus MC heeft bij de Autoriteit Persoonsgegevens melding gemaakt van de ongeoorloofde inzagen.

Het incident benadrukt waarom het van groot belang is dat het Erasmus MC blijft werken om regels rond het raadplegen van patiëntendossiers onder de aandacht te brengen en bewustwording verder te vergroten. Hoe meer bewustwording er is, in alle lagen binnen de organisatie, hoe beter het Erasmus MC in staat is de medische en andere gegevens op een veilige en rechtmatige manier te verwerken en te beschermen. Maatregelen hiertoe zijn ingericht in het Erasmus MC, maar zullen naar aanleiding van dit incident worden geïntensiveerd.