Hoe staat uw zorginstelling er financieel voor? Wat is de bezettingsgraad van de bedden en operatiekamers in uw zorginstelling? Waarschijnlijk weet u direct het antwoord op deze vragen. Maar kent u ook het belang van goede informatiebeveiliging? Hoewel het volwassenheidsniveau van informatiebeveiliging in de zorg flink toeneemt, is er nog steeds ruimte voor verbetering én meer aandacht voor dit onderwerp nodig. Kernwoorden daarbij zijn: voorkomen, detecteren, beschermen, reageren en herstellen.
Dat het beter kan, is geen verrassing. Dat geldt voor iedere branche. Onze samenleving kent een hoog tempo van digitalisering en dat geldt ook voor de beschikbare informatie. Meer data betekent ook meer kans op, bijvoorbeeld, datalekken. In 2017 werden al 10.000 datalekken gemeld bij de Autoriteit Persoonsgegevens).
Verrassend is dat zorgbestuurders vaak te weinig relevante informatie krijgen om op te sturen vanuit hun organisatie. Vaak ontbreken de antwoorden op bijvoorbeeld deze basale vragen:
Hoeveel medische hulpmiddelen zijn er op het netwerk aangesloten? Zijn ze allemaal voorzien van de laatste security-updates?
Hoeveel technische koppelingen met externe partijen heeft uw zorginstelling? Worden deze allemaal gebruikt en adequaat gemonitord?
Hoeveel wordt er geïnvesteerd in continue verbetering van informatiebeveiliging en privacy van patiëntgegevens. Wat zijn daarvan de resultaten?
Zijn de medewerkers van uw zorginstelling zich voldoende bewust van risico’s op het gebied van informatiebeveiliging en privacy? Is er voldoende trainingsbudget beschikbaar?
Weet u waar u op het gebied van informatiebeveiliging in proces en techniek risico loopt en waar u kunt verbeteren?
Dit zijn slechts enkele vragen, maar zij kunnen bij beantwoording al een aardig beeld geven van de status van informatiebeveiliging binnen uw zorg-instelling. Meer inzicht hoeft niet altijd duur te zijn.
Informatiebeveiliging: taak van IT?
Informatiebeveiliging is bij veel zorginstellingen ondergebracht in een aparte afdeling. Vaak is het voor deze afdeling lastig om binnen de organisatie aansluiting te vinden. We horen bijvoorbeeld regelmatig dat de IT-afdeling ‘lastig doet’ als zorgprofessionals een nieuw IT-project willen implementeren binnen hun organisatie.
Maar de IT-afdeling wil de zorginstelling niet blootstellen aan applicaties die een verhoogd risico op bijvoorbeeld een datalek met zich meebrengen, of erger nog: een afdeling kunnen platleggen vanwege een gebrek aan passende beveiliging. Onderschatting van informatiebeveiliging blijft echter een groot risico, zoals elke week opnieuw blijkt uit berichten in de media
Samen bijdragen aan meer vertrouwen
Informatiebeveiliging is de verantwoordelijkheid van iedere medewerker van uw zorginstelling. Maar wat betekent dit in de praktijk? Puntsgewijs
Voorbeelden voorkomen risico’s
De mens is een van de belangrijkste factoren op het gebied van informatiebeveiliging. Om een zorginstelling te beschermen binnen het digitale domein, is het noodzakelijk dat alle werknemers zich bewust zijn van de aanwezige risico’s.
Een effectieve manier is het opzetten van een security escape room waarin in spelvorm elementen zoals phishing, data classificatie, wachtwoordgebruik en data delen aan bod komen. De combinatie van spelvorm en herkenbare casuïstiek zorgt voor een groter beveiligingsbewustzijn bij medewerkers. Een andere belangrijke vorm van voorkomen is het gebruik van security en privacy by design bij digitale ontwikkelingen. Deze principes lijken kostbaar, maar de afwezigheid van by design principes brengt pas echt hoge kosten en andere schade met zich mee. Denk aan imagoschade en boetes vanuit de meldplicht datalekken. Security en privacy behoren tot de fundamentele uitgangspunten van een digitale ontwikkeling.
(zie ook afbeelding rechts) leggen wij enkele aspecten alvast uit. Wat gaat er vaak mis? Wat kunt u - tegen zo laag mogelijke kosten – doen om incidenten tot een minimum te beperken?
Voorkomen
Binnen informatiebeveiliging is de allerbelangrijkste en uiteindelijke goedkoopste maatregel het creëren van awareness (’beveiligingsbewustzijn’) bij alle medewerkers, van receptie tot chirurg en van directie tot aan artsen in opleiding.
Dit bewustzijn kweken kan met traditionele trainingen, maar ook met diverse spelvormen, zoals de security escape room (zie onderliggend kader). Daarnaast zijn digitale vormen zoals e-learning of microlearnings, waarvan onze AVG coach een goed voorbeeld is, populair. De waarde in de vorm van goed beveiligde patiëntdata is hoog en de kosten blijven meestal beperkt.
Detecteren: effectief maar lastig
Volledige informatiebeveiliging is een utopie, zowel vanuit kostenperspectief als vanuit gebruikersperspectief. Wat veel belangrijker is, is om naast preventiemaatregelen ook maatregelen te implementeren die snelle detectie van incidenten mogelijk maken.
Bij detectiemaatregelen denken we vaak aan logging. Dit maakt het mogelijk om bijzondere inlogpogingen op het netwerk te detecteren maar geeft bijvoorbeeld ook inzicht in afwijkende dossierinzages of complexe patronen binnen de IT-omgeving. Zo worden externe dreigingen opgespoord, maar ook ongeoorloofd gedrag binnen uw eigen zorginstelling.
Een andere eenvoudige en welbekende detectiemaatregel is het gebruik van virusscanners en andere anti-malware security. Daarmee wordt oneigenlijke software (zoals ransomware, waarmee data wordt ’gegijzeld’ en pas wordt vrijgegeven na betaling) vaak al direct gedetecteerd. Een nadeel van virusscanners is wel dat deze zich vooral richten op bekende security–incidenten. Kwaadwillenden proberen met nieuwe methodieken om virusscanners heen te werken.
Beschermen
Bij het beschermen van oneigenlijke toegang tot patiëntdata komen veel klassieke (technische) maatregelen aan bod, zoals:
Een automatische blokkade van het gebruikersaccount bij te vaak foutief inloggen;
Maatregelen bij het gebruik van eigen apparaten ( ‘bring-your-own-device beleid’), USB-sticks en software;
Adequate instelling van firewalls;
Het (periodiek) uitvoeren van securitytesten op infrastructuur, netwerk en applicatie(s) om risico’s inzichtelijk te maken en adequaat op te volgen.
Ook deze maatregelen zijn in principe goedkoop en hebben direct meerwaarde. Daar bovenop kunnen meer complexe maatregelen worden toegepast.
Reageren
Zodra een incident wordt gedetecteerd, moet adequaat worden gereageerd. Daarvoor is een snel en helder inzicht in de impact noodzakelijk. Denk hierbij aan maatregelen zoals het loskoppelen van kritieke apparatuur van het netwerk (dat besmet is met het incident). Een zorginstelling moet beschikken over een passend en doordacht security incident management beleid of procedure – en over mensen die ervoor kunnen zorgen dat bij een incident het zorgproces niet of nauwelijks wordt onderbroken.
Herstellen
Na een incident is het belangrijk om zo snel mogelijk te beginnen met de herstelmaatregelen. Voor een snel herstel heeft uw organisatie bijvoorbeeld backups van data nodig, evenals reserve-hardware voor cruciale onderdelen. Evaluatie van incidenten is nodig om herhaling te voorkomen.
Goede basishygiëne als uitgangspunt
Kortom: een goed basisniveau (baseline) van security–elementen, met maatregelen die passen bij uw zorginstelling, is cruciaal. Daarbij horen een goede voorbereiding, juiste en tijdige (technische) controles en mitigerende maatregelen. Alleen als informatiebeveiliging serieus wordt genomen, kunnen we veilige zorg (technisch) blijven garanderen in een steeds meer gedigitaliseerde wereld.