IT-partijen veranderen mee met de steeds snellere ontwikkelingen op het gebied van technologie en security. Hetzelfde geldt echter voor de rol van zorgaanbieders. “Zij mogen veel meer een demand-rol pakken, duidelijk krijgen waar de verantwoordelijkheid van de leverancier eindigt en die van hen begint”, stelt Frank van Rijn, Director Platform & Operations - KPN Health. “Het is niet meer voldoende om een security-oplossing aan te schaffen en aan te nemen dat je veilig bent. Zeker met de komst van wetgeving zoals NIS2 is aannemen dat je zo voldoende beschermd bent, niet langer genoeg.”
Wat moet je als zorgorganisatie doen als het gaat om privacy en cybersecurity en wat kun je van je IT-leverancier verwachten? Dat is de kern van het betoog van Van Rijn in ICT&health 3. “We zijn op securitygebied de afgelopen jaren als IT-sector al heel ver gegroeid. Van punt-oplossingen naar brede platforms, van hardware naar SaaS-diensten, van een IT’er in een hok naar 24/7 monitoring middels externe dienstverleners met een eigen SOC (security operations center).”
Zelf nadenken
Inmiddels is daar het concept van zero trust bij gekomen: in principe vertrouw je niets of niemand en op basis daarvan richt je je securitytechnologie en -beleid in. Zero trust is een goede, maar zeker niet de enige aanpak om alle veranderingen in het dreigingslandschap te vertalen naar cybersecurity-technologie, stelt Van Rijn. Het
ontslaat je als zorgaanbieder, klein of groot, bovendien niet van de verantwoordelijkheid om zelf na te denken.
“Je moet in ieder geval weten welke veranderingen er in de markt zijn die vragen om een andere aanpak van security – denk aan wat De Europese security-richtlijn NIS2 van je eist - en met je IT-leverancier overleggen of voor jou als zorgaanbieder –zero trust zinvol is. Dus weet wat er speelt en stel daarover vragen.”
Rolverdeling
Natuurlijk, benadrukt Van Rijn, moet iedereen doen waar hij of zij goed in is. De IT-leverancier moet de security-technologie regelen en afdoende gecertificeerd zijn. De zorgaanbieder moet vooral zorg kunnen verlenen en niet met security toepassen bezig zijn, maar wel met nadenken over hun aandeel in security en weerbaarheid, zoals afdoende awareness bij medewerkers. NIS2 voegt hier persoonlijke aansprakelijkheid
van bestuurders aan toe.
Makkelijk is dit alles niet, beseft Van Rijn. De IT-sector en daarin security heeft een enorme transformatie doorgemaakt. Op technologisch gebied is security meestal wel goed geregeld. Het is vooral het stuk van weerbaarheid – awareness bij medewerkers over security-gevaren, hoe om te gaan als je toch gehackt wordt – waar de volgende stappen gezet moeten worden. Hier moeten leveranciers en zorgorganisaties een nieuwe balans in vinden, met een duidelijke verdeling van verantwoordelijkheid.
“Zo stellen controlerende partijen zich anders op tegenwoordig dan een paar jaar geleden. Ik sprak onlangs iemand bij een ziekenhuis die zei: ‘We melden datalekken altijd netjes. Maar de vragen die we van de Autoriteit Persoonsgegevens krijgen als zoiets gebeurt, zijn echt anders, veel specifieker.’ Alleen melden en beterschap beloven is niet meer genoeg. Je moet bewijs leveren dat je echt tegenmaatregelen hebt genomen om een lek te voorkomen, dat je de oorzaak van het huidige lek hebt aangepast. Ook daar zie je de impact van NIS2.”
Lees het hele interview met Frank van Rijn in ICT&health 3, die op 13 juni verschijnt.
Door innovation partner
