Netherlands

Loading

Cyberrisk management in de zorg: waar moet ik opereren?

Blog

Soms vallen dingen samen. Zo zag ik enige tijd geleden een onderzoek van Aon waaruit blijkt dat 50% van de organisaties in de gezondheidszorg weet dat ze de laatste twaalf maanden slachtoffer zijn geweest van cyberaanvallen, systeemstoringen en/of inbreuken op gegevensbeveiliging. Desondanks heeft nog steeds 65% van de organisaties geen (consistent) beleid voor het versleutelen van data. En 50% heeft geen specifiek ‘cyberincident-responseplan’.

Dat deze resultaten niet op zichzelf staan, blijkt wel uit twee artikelen die ik onlangs las over dit onderwerp. Zo legt Martin Zandvliet van Fox-IT in zijn artikel goed uit dat er nog veel te verbeteren valt op security gebied in de zorg. Een ander artikel is wat harder van toon: de gezondheidszorg loopt op het gebied van cybersecurity tien jaar achter.

Ik denk dat beleidsmakers in de gezondheidszorg zich best wel bewust zijn van het feit dat zij gevoelige data beheren. Maar realiseren zij zich ook wat voor goudmijn die data zijn in de ogen van kwaadwillenden?

Digitale heling wezenlijk anders dan materiële heling
Veel mensen denken dat diefstal van data hetzelfde principe is als diefstal van materiële zaken. Dat is een misvatting. Want een gestolen fiets kun je maar één keer verkopen. Wie medische gegevens steelt, kan deze voor 60 euro per dossier verkopen. Maar hetzelfde dossier kan op het zogeheten dark web verkocht worden aan meerdere partijen. Voor helers is dat een lucratieve handel, zij kunnen op die manier heel snel veel geld verdienen. Bovendien kunnen de kopers van de dossiers de data ook weer doorverkopen of koppelen aan andere gegevens om zo bijvoorbeeld makkelijker identiteitsfraude te plegen.

Waar is de impact het grootst?
De gevolgen voor de privacy van patiënten zijn navenant. Maar de impact gaat verder. Want de kerntaak van zorgorganisaties is om patiënten bij te staan met goede zorg. Digitale risico’s bedreigen rechtstreeks deze kerntaak. Immers, hoe kan er goede zorg worden geleverd als door falende systemen geen operaties meer kunnen worden verricht? Of als de juiste medicijnen niet geleverd worden? Digitale lekkage kan er bovendien voor zorgen dat verkeerde data wordt gebruikt waardoor onderzoeksresultaten onbetrouwbaar worden.

Zorgorganisaties moeten zich daarom de vraag stellen wat er kan gebeuren met hun digitale bezittingen. En waar de grootste impact ligt op hun bedrijfsvoering als daarmee iets mis gaat. Een holistische aanpak is daarbij van belang. Je kunt iemand met een leveraandoening wel blijven behandelen, maar als de patiënt alcohol blijft drinken, komt het probleem steeds terug. Zo kun je alle technische beveiligingsmaatregelen nemen die je kunt bedenken, maar als medewerkers vervolgens een USB-stick met onversleutelde patiëntgegevens meenemen naar huis, heeft dit weinig zin.

Een digitale diagnose, daar begint het mee. Alleen dan zijn beperkte budgetten efficiënt te besteden. Dat kan niet zonder goede basisinformatie, overleg met alle stakeholders en een analyse van de risico’s. Pas dan kan worden bepaald welke basisstappen de veiligheid van data kunnen waarborgen. Zeg nou zelf: je gaat toch ook niet in iemand snijden zonder te weten wat het probleem precies is?