De week verscheen de zorgbenchmark voor het informatiebeveiligingsthema van Ernst en Young (EY). In de benchmark zijn de 35 verschillende Nederlandse ziekenhuizen anoniem tegen elkaar afgezet. De conclusie van sommige media naar aanleiding van deze publicatie: 26 ziekenhuizen halen een voldoende op het gebied van ICT-Beveiliging. Maar is deze conclusie wel terecht?

Als we kijken naar de scope van het onderzoek dan zien we dat EY de informatiebeveiliging slechts op een klein onderdeel heeft onderzocht. Men keek naar 33 normelementen binnen de thema's:
► Beleid en organisatie;
► Personeel;
► Ruimten en apparatuur;
► Continuïteit;
► Identificatie, authenticatie en autorisatie.

EY noemt het opmerkelijk dat bijna 30% een onvoldoende scoort op de risicoanalyses. Je zou dit ook een positieve verrassing kunnen noemen. Als we kijken naar de huidige beveiligingsstaat bij veel organisaties, dan hebben de meeste organisaties nog wel een stap te maken. Is het niet in de opzet, dan is het wel in de bestaan of de werking. Voor veel organisaties is het lastig om te blijven inspelen op een veranderende dreigingsomgeving. Of om onderwerpen in zijn totaliteit te belichten. Zo zie je bijvoorbeeld veel dat organisaties hun authenticatie en autorisatiemaatregelen met name richten op individuele applicatiegebruikers, terwijl veel applicaties ook generieke accounts bevatten. De ervaring leert dat deze generieke (door leveranciers meegeleverde accounts) vaak veel rechten en standaard wachtwoorden hebben. EY bevestigt dit zelf eigenlijk ook al in het rapport. Zo stel men dat ondanks he3t feit dat de accademische ziekenhuizen een 4 scoren op het gebied van identificatie, authenticatie en autorisatie: "In onze dagelijkse praktijk zien wij nog voldoende aandachtspunten rondom dit onderwerp, ook bij de academische huizen.

Het is dus voorbarig om op basis van het staatje op pagina 9 van deze rapportage te concluderen dat slechts 9 ziekenhuizen een onvoldoende scoren op het gebied van informatiebeveiliging. Beter is het om de context van de rapportage in dergelijke berichtgeving beter van EY over te nemen. En dan mag er best wat kritischer naar de resultaten van het onderzoek worden gekeken. Het gaat immers wel om medische gegevens.