Vijf tips voor betere IT-beveiliging in de medische sector

do 30 maart 2017 - 11:49
Nieuws

De overheid heeft veel regels en wetgeving ingesteld om te zorgen dat patiëntgegevens goed beveiligd zijn. Hoewel deze regelgeving juist gemaakt is met het oog op de patiënt, zorgen de compliance-vereisten ook voor dusdanige beveiligingsmaatregelen dat de productiviteit van de medici in het gedrang komt.

Elk type organisatie wordt met dit beveiliging versus productiviteitsconflict geconfronteerd, maar voor de medische sector is de situatie penibeler omdat de kwaliteit van de belangrijkste maatschappelijke behoefte – de zorg – risico loopt beïnvloed te worden. Wat kan u als IT-professional doen om in de hoognodige IT-beveiliging te voorzien, zonder de productiviteit van de medici aan te tasten? Wij geven u vijf suggesties:


1) Verbeter de beveiliging van de digitale werkplek


Uit een recent onderzoek blijkt dat cyberaanvallen steeds vaker worden uitgevoerd door georganiseerde misdaadorganisaties, terroristische groeperingen en buitenlandse overheden. Deze aanvallen beperken zich niet tot patiëntgegevens. Er zijn ransomware die medisch personeel toegang tot kritieke medische applicaties ontzegt waardoor de daadwerkelijke zorg in gevaar komt.

Dit is de reden waarom IT-afdelingen in de medische sector beveiligingsmaatregelen treffen in de digitale werkplek van de medici om zo phising, het per ongeluk downloaden van malware e.d. te voorkomen. Deze maatregelen zijn bijvoorbeeld:

Applicatie whitelisting en beperking tot leesrechten: door alleen veilige applicaties te autoriseren gebaseerd op functieprofiel en beveiligingsbeleid, wordt het per ongeluk downloaden of uitvoeren van malware of ongeautoriseerde apps onmogelijk gemaakt. Daarnaast kan op basis van beveiligingsbeleid en context van de werknemers flexibel en automatisch schrijf- en enkel leesrechten worden toegekend aan documenten, om zo onveilig gebruik te verhinderen.

Dynamische toegang en digitale endpoint controle: door de toegang tot applicaties en systemen te baseren op het profiel van de gebruiker en zijn taken, kan worden voorkomen dat hackers zich ongelimiteerd alle toegangsrechten verschaffen.  Door alle entry points, zoals verbonden medische apparatuur maar ook USB- en andere aansluitpoorten te beveiligen kan malware ook via fysieke toegangswegen niet zomaar voet aan wal krijgen.  

2) Automatiseer voor efficiëntie en productiviteit


IT zou meer tijd kunnen besteden aan ingewikkelde en eventueel beveiliging-gerelateerde zaken als routinematige taken als wachtwoordresets, profielupdates of verlenen van toegang tot printers worden geautomatiseerd. Door de vele verandering en fusies binnen de gezondheidssector is automatisering erg belangrijk geworden om snel twee organisaties met elkaar te laten integreren op IT-vlak. Zo ook op het gebied van de EPD-integratie met andere systemen en gebruikersaccounts. In al deze situaties is automatisering een uitkomst om als IT een meer strategische rol aan te nemen.

3) Snelle on- en offboarding processen


Centraal beheer van de gehele cyclus van elke werknemer, zodat alle verandering automatisch worden verwerkt in alle systemen, is essentieel voor een soepel en veilig on- en offboardingproces. In medische organisaties zijn personeelswisselingen aan de orde van de dag. Artsen in opleiding moeten bijvoorbeeld coschappen lopen. Het is van groot belang dat zij bij indiensttreding snel toegang krijgen tot alle applicaties, diensten en gegevens die ze nodig hebben om aan de slag te kunnen. Handmatig kost het IT een hoop tijd om dit te regelen, zowel bij indienst- als uitdiensttreding, en liggen menselijke fouten op de loer. Door dit proces te automatiseren wordt kostbare tijd bespaart en kunnen er geen vergissingen worden gemaakt, wat met het oog op de privacy gevoeligheid van medische gegevens een belangrijk voordeel is.  

Het centraal en automatisch beheren van elke stap in de cyclus van elke medici en werknemer maakt het mogelijk om elke verandering in zijn functie automatisch te detecteren en door te voeren in alle gekoppelde systemen – van het HR-systeem tot het EPD en specifieke diagnostische applicaties. Zo wordt de toegang tot deze systemen automatisch toegekend, aangepast of ingetrokken wanneer iemand in- of uitdienst treedt of van functie veranderd.

Zo kunnen managers in- en uitdiensttreding automatisch, veilig en compliant afhandelen zonder handmatige tussenkomst van IT.  

4) Selfservice voor medisch personeel


Medici zijn als alle gebruikers: ze willen dat alles snel en goed werkt, ze willen zoveel mogelijk vanaf een mobiel apparaat kunnen doen en ze willen daarvoor het liefst geen contact met de servicedesk opnemen. Door automatisering worden applicaties en diensten sneller en automatisch beschikbaar gemaakt, uiteraard op basis van het beveiligingsbeleid en goedkeuring van de manager. Daarnaast moeten zeer specifieke diensten en software via selfservice beschikbaar zijn, zodat elke medisch specialisme zo snel mogelijk, zo productief mogelijk kan zijn.

5) Zorg voor beter inzicht in uitgaven


De medische sector is zeer streng gereguleerd en er worden vaak audits gehouden. In april 2018 worden de regels binnen de EU bovendien nog verder aangescherpt, met de komst van de GDPR. Het is daarom van belang dat zorgverleners weten wie wanneer welke applicaties gebruikt en dat ook kunnen aantonen tijdens een audit. Wanneer deze gegevens automatisch bijgehouden worden, wordt een berg aan handmatig werk en beboeting door regulerende instanties voorkomen. Ook is er meer inzicht in het gebruik van applicaties, diensten en systemen waardoor software- en applicatielicenties bespaart kunnen worden.