Zorgdirecties moeten it in hun portefeuille opnemen. De verantwoordelijkheid voor dataveiligheid en it in het algemeen ligt nu nog teveel alleen bij de it-afdeling. Met alle risico’s van dien op incidenten als datalekken en slecht crisismanagement.
Dit melden Computable Future Lab-deelnemers Marco Woesthuis en Martijn Verhoeve (oprichters Open HealthHub), Computable-expert Bastiaan Bakker (directeur business development bij securityspecialist Motiv) en Petra Oldengarm (directeur Cyberveilig Nederland) tijdens het Computable Debat ‘Dataveiligheid in de zorg’. Computable-hoofdredacteur Sander Hulsman leidde het debat dat vanochtend, 18 april 2018, plaatsvond tijdens de tweede dag van Zorg & ICT in de Jaarbeurs.
Achterstand
Alle deelnemers aan het debat zijn het erover eens dat het maar droevig gesteld is met de dataveiligheid in de zorg en dat de sector achterloopt op branches zoals de financiële wereld. Petra Oldengarm: ‘Als je kijkt naar de drie aspecten van it-veiligheid (beschikbaarheid, vertrouwelijkheid en integriteit) is er binnen de zorg nog heel wat te winnen. Er is veel nodig om de cyberweerbaarheid te verhogen.’ Bastiaan Bakker is het hiermee eens. ‘De zorg is koploper in Nederland wat betreft datalekken. In 2017 waren dit er zo’n 3100. Wel valt op dat er in veel van deze gevallen geen sprake is van manipulatie of ongewenst gedrag, maar dat gebruikers vaak per ongeluk op een verkeerd linkje klikken.’
Ransomware is volgens Bakker de belangrijkste dreiging voor de zorg. ‘Bij ransomware is de schade acuut, want het hele it-systeem kan worden lamgelegd. Zorginstellingen moeten nu dezelfde maatregelen gaan nemen zoals die in de financiële wereld al genomen zijn tegen deze vorm van cybercrime.’ Hierbij merkt Bakker wel op dat van de 3100 datalekken uit 2017 die bij de Autoriteit Persoonsgegevens (AP) gemeld zijn, het slechts in 8 procent ging om cybercrime. Maar, stelt hij, deze zijn juist het gevaarlijkst voor de vitale infrastructuur. Marco Woesthuis meent dat het bewustzijn in veel zorginstellingen nog ontbreekt. ‘Er zijn voorbeelden van instellingen die bijvoorbeeld YouTube-video’s in hun zorgkanalen embedden. Met alle gevolgen van dien, want YouTube weet dan bijvoorbeeld ook dat je als patiënt een video over soa’s hebt bekeken.’
Directies eindverantwoordelijk, niet de it-afdeling
Oldengarm meent dat het essentieel is dat zorgdirecties een goede risico-inventarisatie maken wat betreft dataveiligheid. ‘Nu wordt het nog vaak aan de it-afdeling overgelaten, maar directies bij zorginstellingen moeten beseffen dat it invloed heeft op vrijwel alle primaire processen. De top moet dus wat mij betreft eindverantwoordelijkheid zijn voor de it en de it-beveiliging bij zorginstellingen.’ De heren zijn het hiermee eens. Bakker geeft bijvoorbeeld aan dat bij academische ziekenhuizen zowel de monitoring, de bewaking als de zorgapparatuur allemaal op één netwerk zit aangesloten. ‘Als dit aangevallen wordt, heb je direct een acuut probleem.’ Oldengarm voegt hieraan toe dat het voor een ‘uniform bewustzijn’ binnen ziekenhuizen en verpleeginstellingen essentieel is dat artsen en bestuurders het gesprek aan gaan met it’ers. ‘Als je het niet snapt, vraag het dan. Voer die dialoog.’
Dubbelrol Autoriteit Persoonsgegevens, nieuwe instantie nodig?
Hoe zit de wereld er na 25 mei uit voor de zorg? Met deze vraag zet Hulsman het debat opnieuw op scherp. Volgens Bakker stort de wereld niet in, al is 25 mei 2018 de dag waarop de Autoriteit Persoonsgegevens meer toezicht kan houden en eventueel boetes kan uitdelen in het geval van een datalek. Oldengarm benadrukt dat ze zou willen dat de AP meer informatie geeft over het soort datalekken, zodat de zorgsector weet waar de prioriteiten liggen. Ze roept daarnaast op dat ziekenhuizen transparant(er) moeten zijn over incidenten, zodat andere instellingen ervan kunnen leren.
Een toehoorder uit het publiek stelt de vraag of de AP geen vreemde constructie is gezien de instantie zowel een meldpunt is voor datalekken als een organisatie die boetes uit kan delen. Woesthuis is het hiermee eens en meent dat er eigenlijk een veilige omgeving zou moeten zijn waarbinnen datalekken en andere privacy- en securitygevoelige fouten besproken moeten kunnen worden, te vergelijken met de al goed functionerende medisch-ethische toetsingscommissies (metc’s) voor artsen. Oldengarm beaamt dat er een cultuurverandering moet komen en dat het snel melden van datalekincidenten ergere schade kan voorkomen. Artsenfederatie KNMG en andere belangenorganisaties voor dokters moeten wat Woesthuis betreft ook bij deze nieuwe instantie aansluiten. Tot slot moeten mensen met cybersecuritykennis zich bij deze nieuwe ‘commissie’ voegen om dit initiatief te doen slagen, aldus de oprichter van Open HealthHub.
Aan het einde van het debat geven de panelleden ieder één tip voor dataveiligheid. Verhoeve vindt dat het trainen van personeel essentieel is en dat het belangrijk is om sessies met elkaar te houden. Bakker stelt voor om een datalekfilter te implementeren, terwijl Oldengarm iedereen aanraadt om vooral bij jezelf te beginnen. Tot slot wijst Woesthuis erop dat het vertrouwen tussen arts en patiënt een heilig goed is dat in de toekomst ook digitaal goed geregeld moet zijn.
Zorg & ICT 2018
Zorg & ICT 2018 vindt plaats in Jaarbeurs Utrecht van 17 tot en met 19 april 2018. Naast ruim 180 exposanten vindt u op de beursvloer ook theaters waar sprekers u op de hoogte brengen van actuele onderwerpen. Bekijk het seminarprogramma en de lijst van exposanten.
