Zijn patiëntgegevens wel veilig?

Gepost op: 14-6-2016 17:35:27 door Gerard Klop
Tags: 7510, Access, IAM, Identity, informatiebeveiliging, Management, NEN
Gerard Klop

De NEN 7510 is al enkele jaren een belangrijke norm voor informatiebeveiliging voor de Nederlandse zorgsector. Helaas leert de praktijk dat de norm vooralsnog een papieren tijger is. Een groot deel van de zorginstellingen is nog altijd niet NEN7510-compliant. Het andere deel dat wel compliant is, heeft met het plaatsen van ‘het vinkje’ de risico’s duidelijk nog niet onder controle. Dit blijkt bijvoorbeeld uit het grote aantal security-incidenten binnen de zorg.

Actuele incidenten
De eerste maanden van dit jaar leverden al een stortvloed aan incidenten met patiëntgegevens op. Zo waren de gegevens van ruim 4.500 patiënten van het St. Anna Ziekenhuis in Geldrop 33 dagen lang toegankelijk voor onbevoegden. Ook de Zwolse Isala Klinieken en het Amphia Ziekenhuis in Breda kwamen pijnlijk in het nieuws nadat bleek dat patiëntgegevens onbeveiligd op internet hadden gestaan.

Ook buiten Nederland ging het veelvuldig fout. Enkele Duitse, Canadese en Amerikaanse ziekenhuizen werden getroffen door ransomware en gingen in enkele gevallen over tot het betalen van een bepaalde hoeveelheid bitcoins. Zo betaalde het Methodist Hospital in het Amerikaanse Henderson omgerekend zo’n zeventienduizend dollar om zijn bestanden weer terug te krijgen.

Gebrek aan inzicht
De ransomwarezaak in Henderson was voor enkele Tweede Kamerleden aanleiding om de ministers Ard van der Steur van Justitie en Veiligheid en Edith Schippers van Volksgezondheid te vragen of een dergelijke situatie zich ook in Nederland heeft voorgedaan, of mogelijk zou zijn. Minister Schippers liet daarop via de Kamervoorzitter weten de vragen niet binnen de gebruikelijke termijn te kunnen beantwoorden.

Deze reactie zal niet als een verrassing zijn gekomen. Op een eerdere Kamervraag liet Schippers al weten geen inzicht te hebben ‘in het aantal zorgorganisaties en ziekenhuizen dat de afgelopen vijf jaar te maken heeft gekregen met problemen in de beveiliging van hun digitale systemen en apparaten, waardoor de privacy en privédata van patiënten in gevaar zijn geweest’.

Dit gebrek aan inzicht is zorgwekkend. Ziekenhuizen en zorginstellingen hebben een publieke functie. Juist binnen die omgevingen moet er iets worden gedaan aan de beveiliging van zeer privacygevoelige data. Op het hoogste politieke niveau moet bekend zijn hoe die beveiliging eruit ziet, en wat er nog mis gaat.

3 punten voor verbetering
De voorbeelden uit de actualiteit tonen aan dat er binnen de zorgsector doorgaans in ieder geval te weinig wordt gedaan aan beveiliging. Ook wordt er te snel geluisterd naar de eisen van artsen en specialisten waardoor beveiliging in de vergetelheid raakt. Zo kon het bij het Antoni van Leeuwenhoek Ziekenhuis gebeuren dat de gegevens van 781 kankerpatiënten in de handen van dieven kwamen. De gegevens stonden op een schijf die zich tegen alle regels in in de kofferbak van de auto van een onderzoeker bevonden.

Het wordt tijd dat IT het heft in eigen handen neemt en ‘de business’ wakker schudt zodat duidelijk wordt wat de risico’s zijn van bepaalde beslissingen en handelingen. IT zou bijvoorbeeld kunnen beginnen bij:

  1. het Identity & Access Management (IAM). Bij ziekenhuizen en zorginstellingen is een goede informatiedeling letterlijk van levensbelang. Applicaties moeten van tientallen kanten gebruikt kunnen worden. Een IAM-schil zorgt er als een soort ‘tussenlaag’ voor dat mensen die de informatie echt niet mogen zien er ook niet bij kunnen.
  2. vereenvoudiging van de infrastructuur en architectuur. Complexiteit is vaak de grootste vijand. Vaak is nog niet eens inzichtelijk welke applicaties allemaal in gebruik zijn, en dus ook niet hoe die applicaties beveiligd zijn.
  3. de user awareness. Ziekenhuizen en zorginstellingen zijn dynamische omgevingen. Er zijn veel mensen werkzaam die vooral bezig zijn met het verlenen van zorg, en iedereen kan in en uit lopen. Het stimuleren van de user awareness is dan zeker geen overbodige luxe.

Wellicht dat IT hiermee de aanzet kan geven tot een betere beveiliging van patiëntgegevens dan nu het geval is met het afvinken van NEN 7510.

Blog postsRSS