Voldoen aan wet- en regelgeving goed mogelijk met cloud-diensten
Informatiebeveiliging stelt zorginstellingen voor een dilemma. Aan de ene kant zijn er patiënten die verwachten altijd en overal bij informatie te kunnen, gewend als ze thuis zijn aan gebruiksvriendelijke internetdiensten. Aan de andere kant zijn er de forse beveiligingseisen rond patiëntinformatie waar zorginstanties aan moeten voldoen. Service versus veiligheid, dus. Goed nieuws: de cloud biedt beide.
Door te kiezen voor professionele cloud-diensten kunnen zorginstanties twee vliegen in één klap slaan. Het overbrengen van (een deel van) de ICT wordt namelijk als een vorm van uitbesteding gezien. Door te kiezen voor een goede cloud-leverancier die voldoet aan alle compliance-vereisten, besteedt een organisatie daarmee ook (een deel van) de compliance-zorgen uit. Dat is de eerste ‘klap’. Natuurlijk is monitoren nog altijd noodzakelijk – uitbesteden van bedrijfsinformatie betekent niet dat de verantwoordelijkheid ook verschuift. Maar daarvoor bieden professionele cloud-leveranciers monitoringtools en transparante managementrapportages, waarmee een zorginstantie aantoonbaar in control is. Hoe meer ICT naar de cloud, hoe meer compliant werken mogelijk is.
Ten tweede bieden cloud-diensten toepassingen die ingezet kunnen worden als een gebruiksvriendelijk, veilig én compliant patiëntenportaal. Gezien de toename van de samenwerking en uitwisseling tussen zorginstanties, zullen dergelijke veilige portals en sharepoints in een groeiende behoefte voorzien. Goede service én veiligheid, dus.
Voldoen aan wet- en regelgeving
Om gebruik te kunnen maken van cloud-diensten is het wel een randvoorwaarde dat de cloud-leveranciers in kwestie voldoen aan alle wet- en regelgeving. Ook de wet- en regelgeving die specifiek is voor de zorgsector. Bij de inzet van cloud-diensten gaat het vooral om goede bescherming van data en datalocatie. Voor ict-afdelingen is het van belang deze wet- en regelgeving mee te nemen in de overwegingen rond een keuze voor de juiste cloud-leverancier. Dat geeft hen de mogelijkheid stevig regie te voeren over de inzet van cloud-diensten.
In onderstaand overzicht staat aan welke compliance-vereisten een goede en professionele cloud-leverancier moet voldoen.
1. NEN 7510 – Informatiebeveiliging
De belangrijkste norm in de zorg op het gebied van informatiebeveiliging is NEN 7510. Deze is gebaseerd op de generieke internationale ISO 27001 standaard. NEN 7510, en aanvullend NEN 7512 en 7513, gaan over veilige opslag, beheer (inclusief logging) en uitwisseling van patiëntgegevens. Wanneer een cloud-leverancier voldoet aan deze normen, dan is voor een groot deel al voldaan aan de compliance-vereisten. Met name de eisen rond de WMK (zie punt 3) en de Wbp (zie punt 4).
Acties van het College Bescherming Persoonsgegevens (CBP) laten zien dat het volgen van deze normen aan te raden is. Zorginstellingen die niet voldoen aan NEN-normen krijgen een stevige berisping van het CBP. Blijkt bij een volgende controle dat ze nog steeds niet aan de normen voldoen, dan kan een boete volgen.
2. Goed Beheerd Zorgsysteem (GBZ) bij een Zorg Service Provider (ZSP)
Het inzetten van cloud-diensten betekent dat een organisatie kiest voor het uitbesteden van ict-dienstverlening aan een cloud-leverancier. Belangrijk is dan goedkeuring van het Nictiz – een instantie die waakt over de kwaliteit, continuïteit en bescherming van ict-toepassingen en data in de zorg.
Is een cloud-leverancier een officiële Zorg Service Provider (ZSP), dan mag een zorginstelling daar data en servers onderbrengen. Dat betekent ook dat in het datacenter van de cloud-leverancier zorginformatiesystemen gehuisd mogen worden. Deze voldoen dan vervolgens automatisch aan de GBZ-norm (Goed Beheerd Zorgsysteem). Het gebruik van een GBZ is voor een zorginstantie verplicht, om te voorkomen dat cruciale systemen niet op kritieke momenten uitvallen. Of dat medische informatie op straat komt te liggen.
3. Wet Medische Keuring (WMK)
Jaarlijks worden duizenden mensen gekeurd door arbo-artsen, uitkeringsinstanties en verzekeraars, met als resultaat: data die aan specifieke beveiligingseisen moet voldoen. Dit is in de Wet Medische Keuring (WMK) vastgelegd. Slaat een zorginstantie deze patiëntgegevens op in cloud-diensten, dan gelden hoge beschermingseisen. De eisen die de Wbp (zie punt 4) classificeert als niveau 4.
4. Algemene (privacy)richtlijnen
Tenslotte is er algemene wet- en regelgeving waar elke organisatie in Nederland aan moet voldoen als het gaat om dataprotectie. De belangrijkste is de Wet bescherming persoonsgegevens (Wbp). De Wbp verplicht organisaties een dataclassificatie uit te voeren en op basis daarvan maatregelen te treffen. Daarnaast is er de EU privacyrichtlijn, die niet heel veel afwijkt van de al vrij strenge Nederlandse Wbp. Het grote verschil met de Wbp is vooral de boete die de EU zet op overtreding: 2 procent van de wereldwijde bruto jaaromzet.
Het goede nieuws is dat wanneer een bewuste keuze is gemaakt voor een cloud-leverancier die voldoet aan NEN 7510 én wanneer dit gemonitord wordt, organisaties al grotendeels voldoen aan de vereisten van de Wbp. Namelijk: aantoonbaar maken dat er alles aan gedaan is om de patiëntgegevens te beschermen. Van belang is verder dat het CBP álle bedrijfsdata bij álle zorgorganisaties heeft geclassificeerd als niveau 4: de hoogte categorie, waarvoor passende maatregelen genomen moeten worden. Die passende maatregelen verschillen per organisatie en kunnen daarom het best gebaseerd worden op een professioneel uitgevoerde risicoanalyse. Wel kan algemeen gesteld worden dat niveau 4-informatie absoluut het land niet uit mag.
5. ICT-sector zelf: CSA
De ict-sector zelf laat zich ook niet onbetuigd. Zo heeft een aantal Amerikaanse ondernemingen met elkaar een platform opgericht, waarin ze kennis verzamelen over veiligheid en hoe integer om te gaan met de data van hun klanten. Deze ondernemingen zijn verenigd in de Cloud Security Alliance (CSA). Nederland heeft ook een ‘chapter’, dat onder meer trainingen geeft. Lidmaatschap van de CSA heeft geen juridische status, wel zegt het iets over de mate waarin een cloud-leverancier zich wil inspannen voor de beveiliging aan de hen toevertrouwde data.
Specifieke eisen aan inrichting
De inrichting van de cloud-diensten valt feitelijk buiten de scope van dit artikel. Toch mag deze eis niet over het hoofd gezien worden, want specifiek voor de zorgsector gelden verschillende bewaartermijnen van data. Standaard hanteert de fiscus een bewaarplicht voor data van zeven jaar. Voor de zorg loopt dat uiteen van zeven jaar tot honderd jaar, afhankelijk van de soort data.
Belangrijk bij de keuze van een passende en goede cloud-leverancier is daarom dat de oplossingen voorzien in de mogelijkheid van dataclassificatie, datamastermanagement, het koppelen van reminders aan specifieke data – bijvoorbeeld wanneer deze verwijderd moeten worden – en automatische conversie van formats, wanneer een bestandsformaat dreigt te verjaren. Zeker voor data die honderd jaar opgeslagen moeten worden, is dat een absolute randvoorwaarde.
Goede risicoanalyse is het halve werk
Mocht na het zien van alle wet- en regelgeving de moed u in de schoenen zakken: dat is niet nodig. Zo zijn er accountants en auditors die specifieke cloud-risicoanalyses uitvoeren. Dat geeft in één keer duidelijkheid over de te nemen maatregelen. Vaak zijn dit maatregelen die sowieso nodig zijn voor elke organisatie die bedrijfsinformatie op servers, intern of extern, heeft staan. Zo’n beetje alle organisaties in Nederland dus. Dit is het gevolg van aangescherpte privacywet- en regelgeving aan de ene kant en de oprukkende (cloud-)technologie aan de andere kant. Door in deze risicoanalyse direct een (gedeeltelijke) overgang naar cloud-diensten mee te nemen, houdt de ict-afdeling bovendien de regie.
KPN biedt compliant cloud-diensten
Voor zorginstellingen die zeker willen weten dat hun data in Nederland staat, blijft en onder Nederlandse jurisdictie valt, heeft KPN de ZorgCloud geïntroduceerd. In deze zorgspecifieke cloud worden door KPN zorgapplicaties ontsloten die getoetst zijn aan het zogeheten Cloud Compliance Framework. Hiermee verzekert u zich ervan dat uw cloud-diensten voldoen aan wet- en regelgeving, ook specifiek voor de Zorgsector. Het Cloud Compliance Framework (CCF) is ontwikkeld door Deloitte. Daarnaast voert Deloitte audits uit op de protectiemaatregelen van KPN. Van functiescheidingen tot procesinrichting, alle maatregelen audit Deloitte elk kwartaal. Verder heeft Deloitte een team ethical hackers, die geregeld gecontroleerd de ‘grenzen’ van CloudNL testen.
Meer informatie over de cloud-diensten van KPN vindt u op http://webforms.tripolis.com/kpn_whitepaper_cloud.
Wilt u weten wat de ZorgCloud voor uw organisatie kan betekenen? Neem dan contact op met Bart Verlaat, programmamanager ZorgCloud, 06-23438504 of bart.verlaat@kpn.com.
