Home Security Gaat GDPR zorgen voor meer bewustzijn rond informatiebeveiliging in de zorg?

Gaat GDPR zorgen voor meer bewustzijn rond informatiebeveiliging in de zorg?

102
gdpr

Over iets meer dan zes maanden treedt de GDPR in werking. Er is al veel gezegd en geschreven over de gevolgen voor ondernemingen. En over de stappen die men dient te nemen om te voldoen aan de richtlijnen in deze verordening. Ik zie echter dat vooral de tech- en retailsectoren worden aangesproken. Dat is ook begrijpelijk omdat juist deze sectoren, met tal van cloud diensten en online shops, enorme hoeveelheden klantendata genereren die goed beveiligd dienen te worden.

Maar de GDPR is van toepassing op alle organisaties – groot en klein – die klantengegevens verzamelen en opslaan. Ongeacht de sector waarin deze actief zijn. Ik wil daarom graag eens een specifieke sector eruit lichten: de zorg. Deze sector kent een enorme verscheidenheid aan organisaties, van grote ziekenhuizen tot kleinere zorgbureaus en ZZP-ers. En in deze sector wordt niet alleen veel informatie over cliënten verzameld, het gaat vaak om sterk privacygevoelige informatie. De bepalingen in de GDPR zijn dus hier zeker ook van toepassing.

Niet alleen de grote ziekenhuizen

De grote zorginstellingen zijn zich hier natuurlijk van bewust en voeren ongetwijfeld al de nodige wijzigingen in procedures, beleid en technologie door om ervoor te zorgen dat zij gereed zijn voor de GDPR. Zij hebben dan ook de capaciteit hiervoor, of kunnen gemakkelijk externe organisaties inhuren om ze daarover te adviseren en bij te helpen. Dit ligt echter anders voor de vele huisartsen, tandartsen, fysiotherapeuten en andere privépraktijken die ons land kent. Ook zij hebben gevoelige klanteninformatie onder hun beheer.

Wat denkt u van de vele zorgprofessionals die clienten thuis bezoeken en allerlei belangrijke patiënteninformatie op een laptop of tablet meenemen? Ook deze kleine organisaties en ZZP-ers zouden in ieder geval eens moeten nagaan in hoeverre zij maatregelen dienen te nemen om deze informatie effectief te beschermen en bij verlies of diefstal een melding te kunnen doen. Dat kunnen zij waarschijnlijk zelf niet goed inschatten, laat staan dat ze beschikken over de kennis en vaardigheden om de nodige stappen te nemen. Dus zouden ook zij contact moeten opnemen met een goede externe partij die hen daarbij kan ondersteunen. Daar hangt natuurlijk een prijskaartje aan, maar niets doen is in feite geen optie. En wachten tot het laatste moment (of totdat het daadwerkelijk een keer misgaat!) al helemaal niet.

Groeiende interesse cybercriminelen

Informatiebeveiliging in de zorg is natuurlijk een thema dat de laatste tijd steeds meer aandacht krijgt. En dat is nodig ook, want de gevolgen van een beveiligingsincident kunnen ernstig zijn. Denk maar even terug aan de WannaCry ransomware-aanval in mei van dit jaar. In het VK werden 16 ziekenhuizen getroffen, met als gevolg dat patiëntengegevens niet langer toegankelijk waren. In een geval moesten zelfs operaties worden uitgesteld. Ook worden gestolen databases met patiënteninformatie steeds vaker aangeboden op illegale online marktplaatsen. Deze informatie kan door cybercriminelen bijvoorbeeld misbruikt worden voor spearphishing mails. Ga maar na: een e-mail van een zorginstelling, met allerlei informatie zoals een burgerservice- of patiëntennummer, de naam van de behandelend arts, is toch te vertrouwen? Hierdoor zijn mensen eerder geneigd om op een link in die mail te klikken of een bijlage te openen. Met alle gevolgen van dien.

De beveiliging van medische apparatuur

Een andere groeiende bron van zorg is de kwetsbaarheid van allerlei slimme medische apparaten die via WiFi kunnen communiceren. Bijzonder handig natuurlijk, dat patiënten minder vaak naar het ziekenhuis hoeven te reizen om standaard metingen te laten verrichten. Als dat thuis, op afstand kan, des te beter (en goedkoper!). Maar veel van deze apparaten blijken niet goed beveiligd te zijn. En ook de WiFi-verbinding levert risico’s op, zelfs wanneer er gebruik wordt gemaakt van gegevens-versleuteling, zo is recent gebleken. Je kan je een scenario voorstellen waarin cybercriminelen dreigen om medische gegevens die op deze manier worden gemeten en doorgegeven, te wijzigen. Met als gevolg bijvoorbeeld verkeerde medicatie. Tenzij het slachtoffer losgeld betaalt, natuurlijk. Zo zijn er nog tal van andere manieren te bedenken waarop medische informatie potentieel misbruikt kan worden.

Of het nu gaat om het voldoen aan de GDPR, om het voorkomen van uitval van ziekenhuisinformatiesystemen door ransomware of om het daadwerkelijk beschermen van patiënten, er zijn in de zorgsector nog veel stappen te nemen. Ik hoop en verwacht dat de GDPR in combinatie met de groeiende aandacht voor de beveiliging van medische informatie en medische apparatuur zal zorgen voor meer bewustzijn over dit thema. En dan worden die stappen hopelijk snel gezet.

Dirk Cools, G DATA

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here