De kans dat een zorginstelling hinder ondervindt van een cyberincident bij een leverancier is groter dan dat een zorgorganisatie zelf direct wordt getroffen. Het levert risico’s op voor bijvoorbeeld de bevoorrading door ransomware-incidenten. Kwetsbaarheden in de beveiliging bij leveranciers van medische apparaten of IT-dienstverleners zijn bovendien riskant, omdat leveranciers soms toegang hebben tot de netwerken en systemen van zorginstellingen. Hoe zorg je ervoor dat de samenwerking met leveranciers veilig verloopt?
Leveranciersmanagement is een proces dat bestaat uit het selecteren van leveranciers, het onderhandelen over contracten, het monitoren van prestaties en het verbeteren van de samenwerking. In dat proces zijn verschillende interne belanghebbenden betrokken en hun rol kan variëren, afhankelijk van de specifieke situatie en organisatie. “Bij multinationals - die vaak een heel streng governancemodel voor riskmanagement hebben - wordt leveranciersmanagement veelal tactisch/strategisch ingericht. In de zorg daarentegen wordt vaak van inkoop verwacht om dit op operationeel/tactisch niveau op te tuigen, terwijl eigenlijk de verantwoordelijkheid bij de lijn ligt”, signaleert Dick Barelds, manager Inkoop bij GGz Eindhoven.
Het managen van leveranciers is een complex proces, dat gebaat is bij een multidisciplinaire aanpak, waarbij naast inkoop en de zorgafdeling ook de IT-afdeling, de medische technologie-afdeling, juridische zaken, financiën, security en privacy betrokken moeten worden. Ieder vanuit een eigen adviserende, beherende, toezichthoudende en uitvoerende rol. Het is daarom aan te raden om een duidelijk organisatie- en besluitvormingsmodel te hebben dat de verantwoordelijkheden en rollen van alle betrokken partijen beschrijft.
Gedeelde verantwoordelijkheid
Bedrijfsprocessen en informatievoorziening van zorginstellingen worden in toenemende mate uitbesteed aan leveranciers. De risico’s die daarmee samenhangen, hebben een grote impact op de patiëntveiligheid, de continuïteit van de zorgprocessen en de reputatie van de zorgaanbieder. Daarom wordt het steeds belangrijker om met leveranciers goede afspraken te maken over de informatiebeveiliging, dit vast te leggen in overeenkomsten en hierop te blijven (bij)sturen. Dit is primair de verantwoordelijkheid van de bestuurders en zorgmanagers van de instelling. Immers, zij zijn de risicodrager.
Om de juiste leverancier te kunnen selecteren, voeren veel zorginstellingen een risicoanalyse uit. Dit is vaak een eenmalige activiteit en een momentopname bij inkoop. De ervaring leert echter dat er onvoldoende stilgestaan wordt bij de ontwikkeling van het product of de dienst na ingebruikname. Een voorbeeld geeft Joyce van Eijk, information security officer bij het Flevoziekenhuis.
“Stel je hebt een contract voor het gebruik van een app door patiënten waar geen persoons- of medische gegevens in opgeslagen worden, maar er komt een update die wel persoons- en medische gegevens opslaat (de update zelf slaat geen gegevens op). Dan klopt dit niet meer met het contract en dus de beveiligingsmaatregelen die zijn afgesproken.”
Met andere woorden: vernieuwingen van producten of diensten kunnen leiden tot andere risico’s of afhankelijkheden die van invloed zijn op dienstverlening én de onderlinge klant-leverancier relatie. In een continu wijzigend cyberdreigingslandschap moet informatiebeveiliging daarom beter geborgd worden in een gezamenlijke aanpak van informatiebeveiligingsrisico’s. Daarbij moeten duidelijke afspraken gemaakt en vastgelegd worden over de rollen en verantwoordelijkheden van alle partijen.
Leverancier als trusted advisor
De MDR (Medical Device Regulation, een verordening voor medische hulpmiddelen die in de Europese Unie worden verkocht en gebruikt) stelt dat de fabrikanten van medische apparaten, importeurs, distributeurs en gebruikers een gedeelde verantwoordelijkheid voor de veiligheid hebben. De regelgeving bevat ook specifieke vereisten over de cybersecurity van medische apparaten.
Alle partijen die betrokken zijn bij het ontwerpen, produceren, distribueren én gebruik, moeten samenwerken om de risico's van cyberaanvallen op deze apparaten te minimaliseren. Fabrikanten moeten bijvoorbeeld zorgen voor robuuste beveiligingsfuncties en gebruikers moeten zorgen voor veilig gebruik van de apparaten en het melden van beveiligingsproblemen. De leverancier dient een trusted advisor te worden. Gezamenlijk kunnen opdrachtgever en leverancier bepalen wat nodig is om een product of dienst veilig te houden gedurende de looptijd van het contract.
Risico’s in de toeleveringsketen
Vanzelfsprekend staat de veiligheid van de patiënten altijd voorop in de zorginstellingen. Fouten of tekortkomingen van leveranciers kunnen ernstige gevolgen hebben voor de veiligheid en gezondheid van de patiënten. Stel bijvoorbeeld dat een leverancier inferieure of vervalste medicijnen levert, dan kan dit ernstige gezondheidsrisico's veroorzaken voor patiënten. Maar het kan ook gaan om leveranciers van medicijnen, medische apparatuur, voedsel, schoonmaakdiensten of andere benodigdheden. De juiste leveranciers zijn van groot belang voor de bedrijfscontinuïteit en de kwaliteit van zorg die wordt geboden aan patiënten.
Bovendien is er een verschil tussen leveranciers van producten en dienstenleveranciers, meent Erwin Kemink, information security officer en functionaris gegevensbescherming van Rivas Zorggroep. "Als een product dat je op de eigen locatie hebt draaien niet meer functioneert, dan kan je daar met je eigen medewerkers prioriteit aan geven. Als je echter een dienst afneemt, dan is het enige wat je hebt een telefoonnummer en hopelijk afgestemde service level afspraken. Het is dus belangrijk inzicht te hebben in het risicoprofiel van deze diensten voor je organisatie.”
Met name clouddiensten zijn eenvoudig af te nemen en relatief goedkoop. Een afdelingsmanager kan zelf besluiten om een deel van zijn proces bij een SaaS-dienst (Software-as-a-Service) onder te brengen, omdat de kosten daarvoor binnen zijn inkoopbevoegdheid vallen. Zo ontstaat shadow-IT, die risico’s met zich meebrengt waarvan de gemiddelde zorgmanager zich niet bewust is.
Aangezien SaaS-applicaties toegankelijk zijn via internet, kan een inbreuk op de beveiliging van het netwerk of de applicatie leiden tot het uitlekken van vertrouwelijke informatie of persoonsgegevens. En als de SaaS-leverancier downtime heeft – bijvoorbeeld door een DDoS-aanval – kan dat leiden tot onacceptabel verlies van productiviteit. Het grootste risico - omdat SaaS-applicaties worden uitgevoerd op de infrastructuur van de SaaS-provider - is dat het onvoldoende transparant is hoe die leverancier de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie van de zorginstelling beveiligd heeft. Maak security daarom onderdeel van uw ‘cloud-first strategie’ en neem een beveiligingsparagraaf op in uw cloudbeleid.
Komst NIS2
Een supply chain-aanval op een SaaS-provider kan grote impact hebben op de zorginstelling. Bij een supply chain-aanval probeert een hacker kwetsbaarheden te vinden in de producten, software of diensten die door een derde partij worden geleverd. Door deze te misbruiken, krijgt de aanvaller toegang tot het netwerk van het eigenlijke doelwit, de zorginstelling. Dit soort aanvallen zijn moeilijk te detecteren. Daarom is het belangrijk dat zorg- instellingen de beveiliging van leveranciers serieus nemen.
De Europese richtlijn over beveiliging van netwerk- en informatiesystemen (NIS2) wordt in september 2024 van kracht. Het bevat verschillende bepalingen die bedoeld zijn om de cyberweerbaarheid van organisaties in de hele toeleveringsketen te versterken. Voor elke zorginstelling met meer dan vijftig medewerkers of tien miljoen euro omzet, gelden verplichtingen tot:
- Risicobeoordelingen: de zorginstelling moet periodiek een risicobeoordeling uitvoeren van haar netwerk- en informatiesystemen en hierbij ook rekening houden met de risico's die voortvloeien uit de toeleveringsketen.
- Due dilligence: de zorginstelling moet nagaan of hun leveranciers voldoen aan de beveiligingseisen van de NIS2 en of zij geschikte maatregelen hebben genomen om de risico's van hun eigen toeleveringsketen te beperken.
- Contractuele maatregelen: de zorginstelling moet in haar contracten met leveranciers specifieke bepalingen opnemen om de beveiliging van de toeleveringsketen te waarborgen en om incidenten te melden.
- Transparantie: de zorginstelling moet transparant zijn over haar toeleveringsketen door een overzicht te geven van de leveranciers die betrokken zijn bij de levering van essentiële diensten en digitale diensten. Ze moet ook informatie kunnen verstrekken over de beveiligingsmaatregelen die deze leveranciers hebben genomen.
Bovendien kan de zorgbestuurder onder NIS2 aansprakelijk worden gesteld bij beveiligingsincidenten. Het is daarom belangrijk om nu de risico’s van de leveranciersketen aan te pakken, te beginnen door inzicht te krijgen in de producten en diensten van leveranciers die van vitaal belang zijn voor de primaire processen van de instelling.
Expert community leveranciersmanagement voor de zorg
Om zorginstellingen te helpen bij het beheer van leveranciersrisico's maakt Z-CERT - het cybersecurity expertisecentrum voor de zorg - samen met een aantal deelnemers en hun leveranciers diverse kennisproducten. Denk daarbij aan een whitepaper en een vragenlijst waarmee zorginstellingen aan het begin van een inkoopproces het risicoprofiel van de beoogde leverancier kunnen vaststellen. Voor meer informatie kunt u contact opnemen met Z-CERT door te mailen naar info@z-cert.nl.
