Onderzoeksraad: ‘Ziekenhuizen moeten zich meer bewust worden van ICT-risico’s’

Ziekenhuizen moeten de risico’s van ICT-uitval beter op het netvlies hebben. Dat constateert de Onderzoeksraad voor Veiligheid (OVV) in een rapport dat gisteren verscheen. De raad komt met adviezen voor de hele ziekenhuiswereld, gericht aan de Nederlandse Vereniging van Ziekenhuizen (NVZ), de Nederlandse Federatie van Universitair Medische Centra (NFU) en IGJ.

Het schort allereerst aan de voorbereiding op het uitvallen van ICT. Dit is te ondervangen door ICT te testen en te oefenen met scenario’s waarin de ICT niet werkt. In een podcast zegt OVV-voorzitter Jeroen Dijsselboem: ‘Hierbij is het specifiek van belang dat de redundantie van systemen wordt getest, dat wil zeggen: “Is er, als het systeem nu uitvalt, een ander systeem beschikbaar om de taak over te nemen?” Net als de noodstroomvoorziening moet dit regelmatig worden getest.’ Dijsselbloem zegt in de podcast vaak te horen dat ziekenhuizen niet kunnen testen omdat ze geen moment zonder die systemen kunnen. ‘Deze reactie laat precies zien waar het om gaat: Juist omdat we er niet zonder kunnen, en de kans dat het een keer fout gaat toch aanwezig blijft, zul je moeten blijven testen en oefenen.’

Maar ook als zo’n voorval zich voordoet, onderzoeken ziekenhuizen dit nu ‘slechts beperkt’, zegt Dijsselbloem. De vraag of de patiëntveiligheid in het geding was, beantwoorden ziekenhuizen door te kijken of er echt schade is opgetreden. Maar de raad wil dat ziekenhuizen zich grondig verdiepen in het ontstaan van onveilige situaties voor de patiënt. Dijsselbloem: ‘Er is weinig zicht op de risico’s die patiënten hebben gelopen, ook die patiënten die vanwege de patiëntenstop werden weggestuurd. Dat inzicht zal bijdragen aan een gevoel van urgentie.’

Tot slot wil de raad dat ziekenhuizen zich ook gaan bezighouden met de veiligheid in het geval dat de ICT in meerdere ziekenhuizen in een regio hapert. Dijsselbloem noemt het voorbeeld van een softwarefout die in meerdere ziekenhuizen op hetzelfde moment aan het licht komt. Maar ook het feit dat ziekenhuizen steeds vaker meerdere locaties hebben, vergroot het risico op grootschalige ICT-uitval. De raad vindt dat de ziekenhuizen jaarlijks publiekelijk verantwoording moeten afleggen en dat de inspectie in het toezicht op ziekenhuizen aandacht besteedt aan de punten in de aanbevelingen.

Aanleiding voor het onderzoek dat in 2018 van start ging, waren een ICT-storing in het IJsselland Ziekenhuis in Capelle aan den IJssel, problemen met ICT in het Radboudumc in Nijmegen in januari 2018 en verschillende ransomwareaanvallen op ziekenhuizen in de jaren daarvoor. De raad stelt dat incidenten niet worden bijgehouden, maar constateert aan de hand van nieuwsberichten een forse toename. In januari sloten ziekenhuizen hun thuiswerksystemen omdat er een lek zat in de beveiliging van softwarefabrikant Citrix. Ziekenhuis Leeuwarden legde half januari zijn dataverkeer stil na te zijn gehackt.

NVZ-voorzitter Ad Melkert onderkent toenemende risico’s en zegt dat het rapport helpt om hiermee aan de slag te gaan. Volgens Melkert waarschuwt de NVZ al jaren voor het achterblijven van investeringen in ICT. Melkert: ‘Het is echt nodig dat ziekenhuizen méér in ICT kunnen investeren. Die ruimte is er nu onvoldoende. Tegelijkertijd zullen we op basis van het rapport goed moeten kijken hoe we zo efficiënt mogelijk op ICT-storingen kunnen reageren en inspelen. Want het is een illusie dat risico’s volledig zijn uit te bannen.’