Soms vallen dingen samen. Zo zag ik enige tijd geleden een onderzoek van Aon waaruit blijkt dat 50 procent van de organisaties in de gezondheidszorg weet dat ze de laatste twaalf maanden slachtoffer zijn geweest van cyberaanvallen, systeemstoringen en/of inbreuken op gegevensbeveiliging.
Desondanks heeft nog steeds 65 procent van de organisaties geen (consistent) beleid voor het versleutelen van data. En 50 procent heeft geen specifiek ‘cyber incident response plan’. Dat deze resultaten niet op zichzelf staan, blijkt wel uit twee artikelen die ik onlangs las over dit onderwerp. Zo legt Martin Zandvliet van Fox-IT in zijn artikel goed uit dat er nog veel te verbeteren valt op security gebied in de zorg. Een ander artikel is wat harder van toon: de gezondheidszorg loopt op het gebied van cybersecurity tien jaar achter.
Goudmijn
Ik denk dat beleidsmakers in de gezondheidszorg wel beseffen dat zij gevoelige data beheren. Maar realiseren zij zich ook wat voor goudmijn die data zijn in de ogen van kwaadwillenden?
Veel mensen denken dat diefstal van data hetzelfde principe is als diefstal van materiële zaken. Dat is een misvatting: een gestolen fiets kun je maar één keer verkopen, terwijl medische gegevens voor 60 euro per dossier kunnen worden verkocht. Hetzelfde dossier kan op het zogeheten dark web verkocht worden aan meerdere partijen. Voor helers is dat een lucratieve handel. Zij kunnen op die manier heel snel veel geld verdienen. Bovendien kunnen de kopers van de dossiers de data ook weer doorverkopen of koppelen aan andere gegevens om zo bijvoorbeeld makkelijker identiteitsfraude te plegen.
Impact
De gevolgen voor de privacy van patiënten zijn navenant. Maar de impact gaat verder, want de kerntaak van zorgorganisaties is om patiënten bij te staan met goede zorg. Digitale risico’s bedreigen rechtstreeks deze kerntaak. Immers, hoe kun je goede zorg leveren als door falende systemen geen operaties meer kunnen worden verricht? Of als de juiste medicijnen niet geleverd worden? Digitale lekkage kan er bovendien voor zorgen dat verkeerde data wordt gebruikt, waardoor onderzoeksresultaten onbetrouwbaar worden.
Zorgorganisaties moeten zich daarom de vraag stellen wat er kan gebeuren met hun digitale bezittingen. En waar de grootste impact ligt op hun bedrijfsvoering als daarmee iets misgaat. Een holistische aanpak is daarbij van belang. Je kunt iemand met een leveraandoening wel blijven behandelen, maar als de patiënt alcohol blijft drinken, komt het probleem steeds terug. Op dezelfde manier kun je alle technische beveiligingsmaatregelen nemen die je kunt bedenken, maar hebben ze weinig zin als medewerkers vervolgens een USB-stick met niet-versleutelde patiëntgegevens meenemen naar huis.
Kortom: digitale beveiliging begint met een digitale diagnose. Alleen dan zijn beperkte budgetten efficiënt te besteden. Zo’n diagnose vereist goede basisinformatie, overleg met alle stakeholders en een analyse van de risico’s. Pas dan kan worden bepaald welke basisstappen de veiligheid van data kunnen waarborgen. Zeg nou zelf: je gaat toch ook niet in iemand snijden zonder te weten wat het probleem precies is?
Manager Cyber Risk Solutions bij Aon
