Nog maar een paar eeuwen geleden was het de normaalste zaak om heksen verantwoordelijk te stellen voor cholera en buiktyfus. Er bestond geen riolering of waterzuiveringssysteem en dat kostte heel wat zieken, doden en geld. Er ging immers lange tijd overheen voordat de samenleving het, nu voor ons, zo voor de hand gelegen verband zag en tot actie overging.
Analoog aan hoe water werd behandeld rondom die industriële revolutie, kan nu de parallel getrokken worden met hoe we in deze technologische revolutie, informatie in het digitaal domein behandelen. Het is nu tijd voor een mindshift en actie om digital security te borgen.
Cybercriminelen bepalen
Destijds ging het om het beheersen van uitbraken van infectieziekten veroorzaakt door watervervuiling; vandaag de dag gaat het om het veilig beheren van (de toegang tot) gevoelige informatie. Als bestuur van een zorginstelling loop je gevaar om ‘zaken’ te moeten doen met cybercriminelen wanneer je genoodzaakt bent om ‘gekidnapte’ gevoelige informatie terug te kopen. Denk aan het incident bij de universiteit Maastricht, twee jaar geleden.
Wettelijke aansprakelijkheid en vervolging als directie voor nalatigheid, laat staan de totale kosten die ermee gemoeid gaan en de schade die optreedt door een stilgelegde bedrijfsvoering, is een ander actueel issue. En realiseert u zich: dat gaat in de zorg over dood of leven, of tenminste herstel of complicatie. Hierbij mag ook nog opgeteld worden de secundaire schade zoals corrupte informatie die tot ernstige medische missers kan leiden; gestolen informatie die doorverkocht kan worden voor chantage; phishing; het kopen van bijvoorbeeld medicatie op voorschrift om valse verzekeringsclaims in te dienen, et cetera.
Een vrij recent voorbeeld hiervan is de WannaCry ransomware-aanval in het Verenigd Koninkrijk, waarbij de totale kosten geraamd werden op meer dan 100 miljoen dollar, boven op het disruptieve effect op de zorg.
Do no harm
En dan te bedenken dat je zoiets al kan gebeuren, doordat enkele jaren eerder één medewerker op die link in die phishing-email drukte, of door één slecht beschermde website, server of database die onder jouw beheer valt. Om nog maar te zwijgen over de medical devices en alle randapparatuur die notoir onveilige plekken in het ecosysteem kunnen opleveren. Want verouderde software die geen updates meer krijgt, is een fantastisch doelwit.
Zeker met een forse groei aan technologische ondersteuning, vraagt dit om onze voortdurende aandacht. Voor degene die het zou willen zoeken in inperking en controle is het slechte nieuws dat dit niet houdbaar meer is, want veilig en naar de maatstaven van vandaag zorg garanderen betekent het continue inpassen van state-of-the art-technologie. Daarbij komt ook nog aspect dat steeds meer devices (zoals wearables) - los van hoe zinvol dit is- als een IoT aan het web verbonden zullen zijn en daarmee om beheer (blijven) vragen om continue veiligheid te kunnen garanderen.
Technologie is ook oplossing
Nu zou men de moed in de schoenen kunnen laten zakken, zeker tegen het licht van de noodzakelijke kostenbesparingen in de zorg, maar dezelfde technologie levert ons ook de oplossing!
Een enorme tijdverslinder en irritatie voor zorgprofessionals in de zorg is de extreme hoeveelheid administratieve obstakels en wildgroei aan certificering in de zorg in het algemeen. Evenals het inrichten en uitvoeren van periodieke controles en metingen bijvoorbeeld. Hierdoor lopen zorgprofessionals achter de feiten aan. Technologie zal steeds meer de mogelijkheid bieden om transparant de eigen performance realtime in beeld te brengen. Dus zonder tijdverslindende achterafrapportages en verslaglegging.
Mindshift in security
Om technologie optimaal te benutten in het werk, is het cruciaal dat onze mindset van verantwoorden verschuift naar openstaan voor nieuwe mogelijkheden . Samenwerken met elkaar, ondersteund door technologie, moet de standaard worden. Doordat technisch steeds meer werkprocessen gefaciliteerd worden, kunnen wij als zorgprofessionals onze rol pakken die bij onze expertise en ervaring past. Dat je ook direct in beeld hebt welke technologie componenten en services die jouw zorg ondersteunen en hun 24/7 performance. En van de data van patiënt en zorgprofessional verzekerd bent dat ze veilig zijn, omdat je maatregelen ‘by design’ hebt getroffen.
Dat behelst zeker ook encryptie van de data, maar het start met een beveiligde archivering by design én selectieve beschikbaarheid van die data in het kader van meerwaarde van gezondheid direct en later.
Nog niet in control
Momenteel zien we helaas nog bij alle domeinen, inclusief het publieke domein, dat awareness op het gebied van digital security achterblijft bij de snelheid waarmee technologie ons om de oren vliegt. Kan je, wanneer je zelf zo’n ransomware-incident meemaakt als arts, nog professioneel verder? Is het onderwerp te behappen voor een klein team per instelling of ziekenhuis? Kan ik ervan uitgaan dat ik dit aan mijn instelling kan overlaten, net zoals voorzieningen als schone ruimten met verwarming, licht en stroom? Is de expertise die nodig is te behappen voor een CEO en is die daarmee in staat om die verantwoordelijkheid op zich te nemen?
Wat kunnen we leren van andere sectoren, zoals de banken die de digitale transformatie al doormaakten? Hoe zitten de gemeenten erin? Het bedrijfsleven? En hoe kijkt de IT-auditor tegen de zorgsector aan?
Samen in debat over digital security
Op 10 november ga ik tijdens het National Digital Security-debat van de KNVI in gesprek met de top van deze sectoren, met het doel dat we net als ten tijde van de cholera en buiktyfus van rampen leren. U bent allen als zorgbestuurder en zorgprofessional van harte welkom. Ik ben heel benieuwd naar uw opvattingen en ervaringen. Digital security: wat verwachten we ervan?
Aanmelden voor het debat? Klik hier.