Deloitte meldt dat Nederlandse ziekenhuizen onvoldoende rekening houden met de beveiligingsaspecten van hun genetwerkte medische apparatuur. Hoewel het bewustzijn onder ziekenhuizen groeit heeft maar een klein deel van de zeventien geïnterviewde instellingen een expliciet beleid.
Ruim de helft van de zeventien door Deloitte onderzochte ziekenhuizen zou een keer te maken hebben gehad met malware op hun medische apparatuur. Over de aard en ernst hiervan doen zij verder geen mededelingen. Wel meldt het adviesbureau dat het gebruik van versleuteling een aandachtspunt is. Krap een kwart van de ziekenhuizen weet of hun netwerk versleuteling gebruikt, daarbij is het bij een kwart van de instellingen mogelijk om gegevens vanaf een medisch apparaat direct versleuteld op een usb-stick op te slaan.
Deloitte adviseert ziekenhuizen om de volgende maatregelen toe te passen: netwerksegregatie, periodieke patching, monitoring en waar mogelijk fysieke afscherming van apparatuur. Daarnaast is het van belang om een beleid van informatiebeveiliging over deze medische apparatuur te ontwikkelen, evenals een enkele verantwoordelijke voor de beveiliging van ict en medische technologie. Ten slotte vindt Deloitte dat privacy en security van meet af aan meegenomen moeten worden in het ontwerp en bij de aanschaf van medische apparatuur.
Knap dat Deloite dat ontdekt heeft.
Computable lezers wisten het echter al eerder daar dit issue zo ongeveer elke week wel een keer gemeld wordt.
Dit uiteraard buiten elke discussie over hoe het zover heeft kunnen komen.
Zoals Pascal al stelt is voor de oplettende lezers de nieuwswaarde niet zo hoog, probleem is dan ook niet zo zeer technisch maar organisatorisch. Want of je nu door de hond of de kat gebeten wordt maakt dus niet zoveel uit als informatiebeleid binnen steeds verder uitdijende zorgketen niet integraal aangepakt wordt. Saillant detail, zorgverzekeraars (en de toezichthouders) zijn aangaande de privacy een veel groter risico door ongezonde controledrang aangaande de kosten. De ‘kruidendokter’ die momenteel minister is schippert dan ook teveel tussen de belangen van alle ‘marktmeesters’ in de zorg zoals ik al eens schreef in Help! De dokter verzuipt.
Al 15 jaar rammelt blauwdruk aan alle kanten als ik overweeg dat we nog steeds niet zoiets hebben als HIPAA, wil niet zeggen dat Amerikaanse model beter is maar het belegt in ieder geval de verantwoordelijkheden beter. Na verschijnen van onderzoeksrapport NZa hoef ik hopelijk niet meer uit te leggen hoe de lamme de blinde leidt, het paard achter de wagen spannen is namelijk tot kunst verheven als we kijken naar de markwerking van de zorg.
Beetje kort door de bocht van Deloitte. Die gaan ervan uit dat alle genetwerkt medische apparatuur gebaseerd is op Microsoft software of soortgelijk die regelmatig wordt gepatched, etc. Veel medische apparatuur is nog van nature obscuur, met een eigen operating systeem. Als het allemaal zo standaard was dan waren de voor de hand liggende maatregelen allang genomen.