De Europese Commissie wil de acties op het gebied van cyberbeveiliging in de gezondheidssector fors aanscherpen. Daarvoor heeft de commissie besloten dat er binnen 100 dagen na de installatie van het nieuwe Europese parlement, eerder deze maand, een nieuw mandaat en actieplan voor de cyberbeveiliging van ziekenhuizen en zorgverleners zal worden gepresenteerd.
Het voornemen is opgenomen in de nieuwe politieke richtlijnen voor 2024-2029 die daags voor de wereldwijde ‘Crowdstrike IT uitval’ werden gepresenteerd. Daardoor werden ook veel zorginstellingen getroffen en de EU benadrukt in de richtlijnen de afhankelijkheid van gezondheidsinstellingen van digitale infrastructuur. Doel is ervoor te zorgen dat de afhankelijkheid van digitale infrastructuren van derden wordt ingeperkt.
Europese strategie
De Commissie zal een Europese strategie voor de gegevensunie voorstellen. Die zal voortbouwen op bestaande gegevensregels om te zorgen voor een “vereenvoudigd, duidelijk en samenhangend wettelijk kader voor bedrijven en overheden om gegevens naadloos en op grote schaal te delen, met inachtneming van strenge normen op het gebied van privacy en beveiliging”, zo wordt in de richtlijnen gesteld.
Behalve de datastrategie presenteerde EU-voorzitter Von der Leyen ook een 'Apply AI Strategy'. Die heeft als doel industriële toepassingen van AI te stimuleren en de levering van verschillende overheidsdiensten, waaronder gezondheidszorg, te verbeteren.
Meer cyberaanvallen sinds ‘corona’
Tijdens en na de COVID-19 pandemie was er een toename van cyberaanvallen op zorgverleners, zoals blijkt uit de eerste analyse van het cyberdreigingslandschap voor de gezondheidssector van het Europees Agentschap voor Cyberveiligheid (ENISA) die vorig jaar werd gepubliceerd. Tussen januari 2021 en maart 2023 werd de EU getroffen door veelvuldige cyberaanvallen. Meer dan de helft daarvan (53%) trof zorgverleners en 42 procent was specifiek gericht op ziekenhuizen.
Het cyberbeveiligingsagentschap waarschuwde in het rapport ook dat deze aanvallen waarschijnlijk zullen doorgaan en wees tevens op de risico's van kwetsbaarheden in zorgsystemen en medische apparatuur.
Versterken cyberdefensie
De uitvoerende macht van de EU zweert dat het de cyberdefensiecapaciteiten van de gemeenschap gaat versterken. Onder andere door de coördinatie van nationale cyberinspanningen en het beveiligen van kritieke infrastructuren. “We zullen onze strategische aanpak van sancties versterken om ervoor te zorgen dat we flexibel kunnen reageren op nieuwe bedreigingen”, aldus de nieuwe richtlijnen.
“Data gerelateerde bedreigingen blijven een van de belangrijkste bedreigingen in de sector, niet alleen in Europa maar ook wereldwijd”, aldus het ENISA-rapport. Ransomware – malafide software die gegevens, apparaten of systemen vergrendelt en versleutelt en pas na betaling van losgeld weer ontgrendeld worden - wordt in het rapport genoemd als een van de belangrijkste bedreigingen voor de gezondheidssector.
Ondanks de dreiging onthulde het agentschap dat slechts iets meer dan een kwart (27%) van de organisaties in de gezondheidssector die aan het onderzoek deelnamen, over specifieke ransomware verdedigingsprogramma's beschikten.
EHDS
Verschillende EU-initiatieven in de implementatiefase zouden kunnen profiteren van het cyberactieplan, waaronder de European Health Data Space (EHDS) en de verordening betreffende medische hulpmiddelen. De EHDS, eerder dit jaar goedgekeurd, stelt een gemeenschappelijk Europees kader in voor het delen van gezondheidsgegevens in de hele EU voor onderzoek, innovatie, volksgezondheid, beleidsvorming en regelgevende doeleinden.
In een onlangs gepubliceerde analyse van de kwetsbaarheden van een steeds meer digitaal gezondheidszorgsysteem, meldde het European Policy Centre (EPC) dat er “geen innovatieve technologie bestaat waarvan de voordelen niet worden gecompenseerd door even ernstige risico's”.
De denktank voegde hieraan toe dat burgers geen gebruik zullen maken van digitale gezondheidshulpmiddelen als ze bang zijn voor cyberaanvallen en diefstal van data, vooral gezien de gevoelige aard van gezondheidsgegevens, tenzij het vertrouwen in de veiligheid van het systeem wordt verbeterd.
