In de periode mei 2007 tot oktober 2007 heeft Comfort-IA een vragenlijst nformatiebeveiliging gepubliceerd. Deze Position Manager wordt geregeld ingevuld, op 1 oktober inmiddels een kleine honderd maal. Uit de consistentie van de scores blijkt dat men de vragen serieus invult.
Hierna volgt een algemeen beeld dat uit de scores naar voren komt en enkele opmerkelijke conclusies die uit afzonderlijke vragen kunnen worden getrokken.

Men stelt hoge beveiligingseisen (score 80%).
De maatregelen lijken daarbij achter te blijven (score 50%). Invullers zijn goed bekend met de stand van zaken van hun informatiebeveiliging (80% van de vragen konden worden beantwoord).

Drie mogelijke oorzaken van problemen met informatiebeveiliging zijn in aanmerking genomen: organisatie, cultuur en techniek. De techniek lijkt redelijk in orde, de oorzaken van problemen lijken min of meer gelijk verdeeld te zijn.

Opmerkelijke conclusies die uit afzonderlijke vragen kunnen worden getrokken.
Het merendeel van de invullers (74%) ziet het zorgproces tot stilstand komen na één of twee dagen systeemuitval. Dit komt ook overeen met onze waarneming. Verder verwachten de meeste invullers dat gevaarlijke fouten met gegevens gewoonlijk in de praktijk wel worden ontdekt: 33% ziet dit als enkele gevallen gevaarlijk voor de patiënt’ en slechts 16% als ‘Veelal gevaarlijk voor de patiënt’, de rest als
‘hinderlijk of storend’. De invullers hechten veel waarde aan privacy in de gezondheidszorg: 54% vindt dat al van calamiteit kan worden gesproken als enkele patiëntgegevens bekend raken.

Zijn de maatregelen in evenwicht met de eisen? Uit de antwoorden rijst een opmerkelijk beeld op. Maatregelen waarvan de noodzaak alom wordt erkend, worden volgens de invullers lang niet overal
toegepast:

• 33% geeft aan dat hem of haar niet duidelijk is of actuele viruscheckers actief zijn op alle werkstations,
• 28% maakt niet ‘dagelijks en altijd’ een back-up,
• 28% heeft geen duidelijk beeld of de back-up wel werkt omdat men niet of nauwelijks controleert of er wel iets op staat,
• 27% geeft aan dat de wachtwoorden van belangrijke systeemprogramma’s die overal
  toegang toe kunnen verlenen niet worden aangepast bij vertrek van medewerkers.

Er zijn wel meer interessante gegevens, bijvoorbeeld over het gebruik van patiëntgegevens als
testgegeven zonder deze te anonimiseren. Ook op dit punt laat de invulling zien dat men weliswaar hoge eisen stelt aan patiëntenprivacy maar daar in de praktijk niet naar handelt.