Waar tref je de meeste gevoelige gegevens aan? In de gezondheidszorg. Je kunt letterlijk niet dichter bij mensen komen dan in de zorg. En waar lijkt de it zo lek als een mandje…? Precies…
De Autoriteit Persoonsgegevens bevestigde het een paar weken terug in dagblad Trouw: het regent meldingen van datalekken. Van alle 4700 meldingen van privégegevens die mogelijk in handen van derden waren gevallen, kwam een kwart uit de zorgsector. Een kwart van die meldingen (ruim 300) kwam van ziekenhuizen. Dat is niet gering.
Ik sprak erover met mijn collega Nanno Ouwehand, die veel met grote zorginstellingen overlegt, en hem verbaast het niet echt. Er is in die wereld – en bij de universitaire ziekenhuizen al helemaal – een natuurlijke drang om inzichten te delen, niet alleen tussen doktoren onderling voor overleg, maar ook met collega’s wereldwijd. Daarvoor maken de artsen gebruik van wat ze kennen: ze versturen fysieke dragers (usb-sticks) per post of maken gebruik van klassieke FTP-verbindingen. Als ze wat moderner zijn ingesteld gaat het via OneDrive, Dropbox en WhatsApp.
Vaak zien ze niet eens waarom dat een probleem is. WhatsApp is toch zeker ook versleuteld tegenwoordig? Jawel. Maar wat doet die dokter aan het andere eind met die foto’s? Dat weet je niet, en dan heb je dus toch een probleem als je dat moet uitleggen aan de Autoriteit Persoonsgegevens.
Cybersecurity is prijzig
De zorg is dienstbaar en it stelt zich dienstbaar op in de zorg. Veel zorginstellingen leggen – terecht – de nadruk op hun kerntaken en beschouwen it als volledig ondersteunend: hoewel alle ziekenhuizen uiteraard grote waarde hechten aan de veiligheid van gegevens, geldt voor alles dat it de zorg niet in de weg mag zitten. Dat betekent ook dat de vaak beperkte budgetten liever worden aangewend voor directe zorgtaken, dan voor ondersteunende taken als it. Het betekent zelfs in voorkomende gevallen, dat instituten liever een budget reserveren om mogelijke boetes af te kopen, dan serieus te investeren in it security.
Want eerlijk is eerlijk: cybersecurity is, als je het écht goed wilt doen, heel prijzig. De dreiging neemt hand over hand toe – niet alleen doordat actief geprobeerd wordt toegang tot andermans gegevens te krijgen, maar ook doordat ziekenhuizen, net als de rest van de maatschappij, steeds meer gegevens verzamelen en steeds meer middelen tot hun beschikking krijgen om die gegevens te delen en te verspreiden. De mogelijkheden nemen toe, niet alleen voor gebruikers, maar daardoor ook voor kwaadwillenden. Om die dreiging het hoofd te bieden is steeds meer gespecialiseerde kennis nodig, die voortdurend moet worden bijgehouden – en die kennis is in hoog tempo schaars aan het worden.
Met een virusscanner, een firewall en encryptie kom je er niet meer tegenwoordig. In organisaties waar gevoelige informatie door zoveel handen gaat, wil je veel meer controle hebben over gegevens – niet alleen om te weten wie ze gebruikt, met wie ze gedeeld worden en waar ze zijn geweest, maar bijvoorbeeld ook om gegevens op afstand te kunnen wissen als een drager verloren gaat. Dataverlies voorkomen is uiteraard belangrijk. Minstens zo belangrijk is het tegenwoordig om, àls het onvermijdelijke een keer gebeurt, daar zo snel mogelijk achter te komen, direct in te kunnen grijpen, en te kunnen aantonen wat er mogelijk met die gegevens kan zijn gebeurd.
Mobiele gebruiker
Ik denk dat het zo langzamerhand tijd is het idee los te laten dat organisaties waar it geen kerntaak is, dit allemaal zelf nog kunnen oplossen. Het wordt steeds moeilijker organisaties te beveiligen naarmate de gebruikers mobieler worden en steeds meer verschillende devices gaan gebruiken. Maar het wordt een stuk makkelijker als je, zoals wij, oplossingen ontwikkelt die juist gericht zijn op die groeiende flexibiliteit. In plaats van een laag security aan te brengen op een voortdurend veranderende organisatie, leveren we de motor van die verandering met ingebakken beveiliging. Om in zorgtermen te blijven: wij leveren geen pleister op de wond – wij leveren het medicijn.
We leven in een wereld waarin criminelen gericht op jacht gaan en alle tijd en middelen hebben om te pakken wat ze krijgen kunnen. Daar kun je geen goedbedoelende it’ers tegenover zetten voor wie cybersecurity geen kerntaak is. Niet alleen omdat je daar als organisatie verantwoordelijk voor wordt gesteld en keihard op wordt afgerekend, maar vooral ook omdat het deel uitmaakt van je zorgtaak. Als je de digitale gezondheid van je klanten serieus neemt, dan is het nu tijd in gesprek te gaan met een partner die ervoor zorgt dat je hele keten op een veilige manier gebruikt kan worden.
De beste oplossingen komen vanuit de organisatie zelf. Zie bijvoorbeeld: http://www.ru.nl/nieuws-agenda/nieuws/vm/icis/cybersecurity/2016/veilige-verwerking-patientgegevens
“Veel zorginstellingen leggen – terecht – de nadruk op hun kerntaken en beschouwen it als volledig ondersteunend”
Dat is dus niet terecht: Lek data en je geloofwaardigheid als zorgverlener is weg.
Dit is een kernprobleem in eigenlijk alle automatisering. Zodra je vergeet dat bijvoorbeeld je patienten ook nog mensen zijn, waar menselijk mee omgegaan moet worden en wier data door-en-door privacygevoelig is, kun je jezelf wijsmaken dat voor deze data zorgen geen kerntaak is en dan kun je wachten op datalekken.
Je weet namelijk heel zeker dat die gaan voorkomen. Bijvoorbeeld omdat die data geld waard is en er dus op gejaagd gaat worden. Door externe criminelen want ze kunnen zo je digitale kantooromgeving binnenslenteren, bijvoorbeeld, maar net zo goed medewerkers hier of elders, of verzekeraars, al doen die dat via lobbyen en dus hoegenaamd legaal, of noem maar op. Zelfs de overheid doet grif mee.
Dat “kerntaak”-geneuzel is in deze context gewoon weglopen voor je verantwoordelijkheid.
En waarom ook niet? De IT is een vreselijk soepzooitje, allemaal systemen die gebouwd zijn voor, vaak niet eens de functie, maar de schijn van de functie. Daar kun je later niet tegenop siebersekjoeriteren, ongeacht de prijs die je er voor wil betalen. Daar zit er gewoon een diepe breuklijn tussen al die superdure IT/ICT/automatisering/digitalisatie/digitale transformatie/noem-maar-op consultants en de rest van de wereld: De techniek verkrijgbaar in de huidige mainstream is [x] ongeschikt om als fundament te dienen voor echt werk.
En dat gaat echt heel diep. De applicaties zijn lek, maar de middleware ook, en de backends, en de OSen, en zelfs de firmware, de hardware en de netwerken. Het is een groot feest van veiligheidsvergieten.
Het is dus nog helemaal de tijd niet om echt gevoelige zaken als medische gegevens, maar ook vele taken van de overheid en nog een stel van die zaken, “digitaal” te willen hebben.
Maarja, de consultants moeten ook eten. En omscholen tot schoenverkoper is ook niet risicovrij.
Goede IT security is helemaal niet zo moeilijk en vergroot je al snel door mensen awareness training te geven en IT gewoon bij grote cloud providers onder te brengen.
Daarnaast kan een EPD het best gecentraliseerd worden landelijk, Michiel Steltman heeft daar nog een zinnig artikel over geschreven:
https://www.linkedin.com/pulse/onze-cenofobie-remt-innovatie-en-veiligheid-michiel-steltman
Beveiliging in de gezondheidszorg is niet alleen een kwestie van techniek, maar ook van cultuur. In de gezondheidszorg staat (persoonlijke) dienstverlening op nummer 1. Patiënt of cliënt eerst en dan pas het proces dat wordt ondersteund door IT. Het besef van beveiliging is ondergeschikt aan het helpen en ondersteunen. De crux van het oplossen van het probleem is naast de techniek ook de cultuur te betrekken en bewustwording te creëren.
100 punten Willem, den spijker op den kop. Maar ja, dat is een kwestie van herhalen en inslijten bij de medewerkers. (Waarbij de techniek ondersteunend en ook werkbaar moet zijn)
In het verlengde van de reactie van Willem: we (de IT-ers) vergeten nogal eens dat de gebruikers wat minder IT-minded zijn dan wij. Technisch kan er heel veel, maar de primaire taak van deze gebruikersgroep is zorg verlenen in al haar vormen. Als het aantal handelingen wat nodig is om de IT hulpmiddelen op een veilige manier in te zetten te complex en/of te tijdrovend wordt, dan schiet de IT haar doel voorbij en wordt het een last ipv een lust.
De afgelopen tijd heb ik -als mantelzorger- extra ervaring opgedaan met zorgverleners, en met mijn it-achtergrond nog al eens verbaasd gestaan. Bij meerdere (grote) instellingen bleven terminals ‘open’ staan; geen schermbeveiliging gebruikt, eenvoudige gebruikerscodes/wachtwoorden. Opvallend was dat in de instellingen waar dit het beste beveiligd was (met smartcard/wachtwoord) het zorgpersoneel klaagde over de lastige (niet gebruikersvriendelijke) applicaties. Zonder kennis van de applicaties, maar met ontwikkelaarsblik, kon ik ze op weg helpen: de bouwer dacht natuurlijk dat dit handig was (vanuit de database) maar heeft de gebruiker vergeten.
Dus it-ontwikkelaar, als je wilt dat er goed en veilig met je zorgapplicatie gewerkt wordt, praat dan eens met de verpleging en artsen. Werkt de applicatie zoals zij het verwachten, dan hebben ze eerder tijd en begrip voor de beveiliging.
De afgelopen tijd heb ik -als mantelzorger- extra ervaring opgedaan met zorgverleners, en met mijn IT-achtergrond nog al eens verbaasd gestaan. Bij meerdere (grote) instellingen bleven terminals ‘open’ staan; geen schermbeveiliging gebruikt, eenvoudige gebruikerscodes/wachtwoorden. Opvallend was dat in de instellingen waar dit het beste beveiligd was (met smartcard/wachtwoord) het zorgpersoneel klaagde over de lastige (niet gebruikersvriendelijke) applicaties. Zonder kennis van de applicaties, maar met ontwikkelaarsblik, kon ik ze op weg helpen: de bouwer dacht natuurlijk dat dit handig was (vanuit de database) maar heeft de gebruiker vergeten.
Dus IT-ontwikkelaar, als je wilt dat er goed en veilig met je zorgapplicatie gewerkt wordt, praat dan eens met de verpleging en artsen. Werkt de applicatie zoals zij het verwachten, dan hebben ze eerder tijd en begrip voor de beveiliging.