Online Data Security Concept
Zorgverzekeraars slaan privacygevoelige gegevens vrijwel uitsluitend in eigen datacentra op. De verzekeraars denken dat deze gegevens daarmee beter beschermd zijn tegen diefstal, datalekken of andere digitale calamiteiten dan bij opslag in de cloud.
Dit blijkt uit een enquête van Skipr onder de zorgverzekeraars. “In het algemeen slaan wij privacygevoelige digitale data lokaal op omdat we daar de beste beveiligingsmaatregelen kunnen implementeren”, zegt Information Risk Manager Johan van Beek van Zilveren Kruis. “Als je iets opslaat bij een cloud dienstverlener ben je vaak afhankelijk van een beperkte set van beveiligingsmaatregelen en dat is in zo’n geval voor ons onacceptabel.”
Zacht doelwit
De enquête is mede ingegeven door grootschalige datadiefstallen waar Amerikaanse zorgverzekeraars zich het afgelopen jaar mee geconfronteerd zagen. Bij vier verschillende zorgverzekeraars werden in 2015 de persoonlijke gegevens van bijna 100 miljoen verzekerden gestolen. Gemeten over de laatste drie jaar is de zorg goed geweest voor meer van 40 procent van de datalekken in de VS.
Volgens de FBI zijn de systemen van zorgverzekeraars een relatief zacht doelwit. “De zorgsector heeft in vergelijking met de financiële en retail sector minder weerstand tegen digitale aanvallen, hetgeen de kans op zulke aanvallen vergroot”, zo constateerde de Amerikaanse opsporingsdienst.
Dagelijkse kost
Uit de Skipr-enquête komt naar voren dat de Nederlandse zorgverzekeraars digitale veiligheid in ieder geval hoog op de agenda hebben staan. “Zorgverzekeraars hebben ontzettend veel medische gegevens, dus beveiliging is dagelijkse kost”, aldus Van Beek.
Dit bewustzijn vertaalt zich in diverse concrete beveiligingsmaatregelen. Naast de afgeschermde opslag van gevoelige gegevens kiezen ettelijke zorgverzekeraars inmiddels voor dubbele versleuteling. Informatie die extern via het Vecozo-communicatiepunt verloopt wordt sowieso al versleuteld, maar verschillende verzekeraars gebruiken ook bij interne communicatie versleuteling.
Alle bevraagde verzekeraars zeggen een actief wachtwoordenbeleid te voeren en daar ook toezicht op te houden. Daarnaast handelen de zorgverzekeraars naar eigen zeggen ook op anderen manieren proactief. Zo laten verschillende verzekeraars aan de hand van dreigingsanalyses regelmatig externe penetratietests uitvoeren door ingehuurde hackers.
Harde criminaliteit
Toch maken de experts op het gebied van digitale veiligheid zich geen illusies. Honderd procent veiligheid bestaat niet, zo luidt het unanieme oordeel. “Medische gegevens zijn veel waard”, zegt Van Beek. “Hoewel wij vergeleken met grote bedrijven in de VS vaak minder gegevens verwerken is het uiteraard ook denkbaar dat dit in Nederland gebeurd.”
“Waar ik wakker van lig is de verschuiving van studentikoze jool naar harde cybercriminaliteit”, zegt Ton van Rhijn, directeur ICT bij zorgverzekeraar CZ. “Het gaat niet langer om slimme hackers, maar om georganiseerde misdaad, die alle tijd en middelen heeft. Kijk maar naar de recente hacks bij de Bundestag of Sony. Daar is maanden voorbereiding aan vooraf gegaan. Wij merken aan onze firewalls dat er elke dag aan de deur wordt gemorreld en dat we bekogeld worden met ransomeware.”
Deze professionalisering van de cybercriminaliteit baart de deskundigen met name zorgen omdat ze hand in hand gaat met een toename van digitale dienstverlening via het internet en de groeiende roep om verzekerden inzage te geven in meer en gedetailleerdere gezondheidsgegevens. Daarmee dienen zich in potentie nieuwe kwetsbare plekken in de digitale informatieketen aan. Mede om deze reden stellen verschillende zorgverzekeraars bij de zorginkoop inmiddels ook eisen aan de digitale veiligheidsbeleid van zorgaanbieders.
In Skipr magazine 01, januari 2016 is een achtergrondartikel verschenen over digitale veiligheid in de zorg.
