Digitale veiligheid is ook een bestuurlijke verantwoordelijkheid

di 30 juli 2024 - 13:00
Security
Nieuws

De digitalisering van de zorg betekent dat veel zorgorganisaties de komende tijd voor de uitdaging staan te innoveren en zich daaraan aan te passen. De kansen die deze transformatie biedt, brengt ook risico’s met zich mee, onder andere voor wat betreft de digitale veiligheid. Uitdagingen die ook op bestuurlijk niveau de nodige veranderingen en beleidsbeslissingen met zich meebrengen.

Albert Hilvers is bestuurder bij Zorggroep Oude en Nieuwe Land. Hij sprak voor het e-magazine van branchevereniging ActiZ over de wereld van digitale veiligheid. Hij legt daar onder andere uit hoe zijn organisatie zich beschermt tegen bedreigingen van buitenaf en onderstreept het belang van leidinggeven aan digitale transformatie. “Digitalisering is niet langer slechts een administratieve handeling, maar één van de levensaders van een organisatie”, aldus Hilvers.

Digitale veiligheid

Hilvers stelt dat bestuurders hun ogen niet kunnen sluiten voor digitale veiligheid. Als leider van een zorgorganisatie moeten bestuurders tegenwoordig ook aandacht besteden aan beleid op dataveiligheid en privacybescherming. “Als je hierin tekortschiet, kan dit niet alleen grote impact hebben op je financiële stabiliteit, maar riskeer je ook een datalek met cliëntgegevens”, zegt Hilvers.

Bij Zorggroep Oude en Nieuwe Land is men dan ook al enkele jaren actief bezig met dataveiligheid en privacybescherming. Daarbij krijgen zijn ook ondersteuning van door een bedrijf dat cyber incident response biedt. Zij helpen de zorginstelling, door het uitvoeren van jaarlijkse risicoanalyses en prioriteren van thema’, risico’s en ontwikkelpunten in kaart te brengen. De focus ligt vervolgens op het aanpakken van de risico’s met de grootste impact en kans van slagen. De speciaal hiervoor ingerichte stuurgroep informeert Hilvers elk kwartaal over de status en vooruitgang.

Pionieren en doelen stellen

Het nemen van bestuurlijke verantwoordelijkheid, zo stelt Hilvers, betekent ook dat je pioniert en doelen stelt. Daarvoor is het kunnen beschikken over de juiste informatie met betrekking tot datalekken, meldingen of verdenkingen essentieel. Wanneer een acuut probleem de kop op steekt, dan wordt een crisisteam samengesteld.

En ja, fouten maken hoort er ook bij. Dat heeft Hilvers zelf aan den lijve ondervonden. “Ik herinner me een situatie waarbij iemand zich voordeed als een bestuurder en in de organisatie om een spoedbetaling vroeg. Een mail die achteraf vanuit het buitenland is verzonden door iemand die een zeer geloofwaardige opdracht gaf voor spoedbetaling voor mondkapjes. Dit speelde zich af in mijn beginweken bij de organisatie.” Hilvers en zijn organisatie hebben hier van geleerd dat hackers recruitmentbureaus op LinkedIn om mogelijke risico's te identificeren.

Privacy hack veel gevaarlijker

De privacy hack die vorig jaar Zorggroep Oude en Nieuwe Land trof had vele grotere en verstrekkende gevolgen. Gelukkig kon dankzij een sterke BI-afdeling snel een data-analyse worden gemaakt van wat er gelekt was zodat ook elke cliënt snel individueel geïnformeerd werd. De ondersteuning van het cybersecuritybedrijf waarmee de zorginstelling samenwerkt, bleek goud waard, ook tijdens de nazorg van de hack.

“Elke organisatie heeft andere uitdagingen op het gebied van digitale veiligheid maar uiteindelijk ben je als bestuurder verantwoordelijk hoe je dit organiseert”, zegt Hilvers die benadrukt dat zorginstellingen de koe bij de horens moeten vatten en gewoon aan de slag moeten gaan. “Het ziet er vaak uitdagend uit en soms maak je fouten. Maar als je niet aan de slag gaat, ontwikkel je jezelf als bestuurder niet en ontwikkelt je organisatie ook niet. Als organisatie maak je niet langer alleen deel uit van de VVT, maar ben je in de cliëntreis onderdeel van het geheel waarin samenwerking in een netwerk cruciaal is.”

Het belang van cybersecurity werd de afgelopen jaren, helaas ook door schade en schande, al meerdere keren onderstreept. Cybercriminelen storten zich vaak ook op nieuwe technologieën. Zo werd in 2023 al gemeld dat deze criminelen steeds (generatieve) AI inzetten om (gezondheids)data te stelen. Met behulp van AI is vrijwel iedereen met kwade bedoelingen in staat is om met gratis software, binnen enkele seconden, malware te genereren. De tijd dat een hacker een zeer bekwame computerwetenschapper moest zijn, is dan ook definitief voorbij.