Een verzekering tegen brandschade is gemeengoed onder zorginstellingen, maar hoe zit dat met een verzekering voor cyberrisico’s? Grote kans dat uw instelling die nog niet heeft, terwijl schade in Nederland door digitale incidenten ruim tien keer groter is dan schade door brand.
Voor zorginstellingen staat kwalitatief hoogwaardige zorg voor hun patiënten bovenaan. Maar kans en impact van digitale incidenten nemen toe – ook in de zorgsector. Bent u zich ervan bewust dat cyberrisico’s uw instelling serieus bedreigen? Het gaat bij deze risico’s niet alleen om kwade opzet, zoals diefstal van gegevens. Ook een onschuldige technische storing kan tot problemen leiden, zoals uitval van systemen. De impact van cyberincidenten kan zich breed laten gelden: van de veiligheid van patiënten en medewerkers tot de continuïteit van uw dienstverlening en het publieke vertrouwen in uw instelling.
Vertrouwen geschaad
Steeds vaker is er wél opzet in het spel. Het aantal hacks en datalekken neemt toe. Een verontrustende ontwikkeling, omdat zorginstellingen steeds meer gevoelige patiëntgegevens bewaren. Als die vrij toegankelijk op internet of sociale media belanden, schaadt dat het vertrouwen van uw patiënten. In extreme gevallen is het zelfs een bedreiging voor het voortbestaan van uw organisatie. Patiënten vertrouwen op discretie, zeker als het om hun vertrouwelijke medische gegevens gaat.
Het is niet alleen een morele plicht om privacygevoelige gegevens goed te beschermen. Er gelden ook wettelijke voorschriften, die bovendien steeds verder worden uitgebreid. Zo stemde de Tweede Kamer in februari in met een wetsvoorstel dat het verzwijgen van een datalek strafbaar stelt. En de Europese Privacy Verordening die nu in de maak is, verplicht organisaties om persoonlijke gegevens van klanten en cliënten gedegen af te schermen. Doen ze dat niet, dan zijn de boetes fors: tot wel een tiende van de jaarlijkse omzet.
Digitale risico’s
Gezien de afhankelijkheid van externe partijen, de complexiteit en mogelijke financiële impact van deze risico’s vind ik het bijzonder om in mijn werk te constateren dat nog geen kwart van de organisaties zich tegen de gevolgen van systeemuitval of verlies van data verzekerd heeft. De voornaamste oorzaak is dat cyber security te weinig aandacht krijgt op het hoogste niveau; het is aan managers en bestuurders om digitale risico’s binnen hun organisatie te adresseren en om budget vrij te maken voor passende beheersing ervan.
In sommige gevallen zijn bestuurders zelfs hoofdelijk aansprakelijk te stellen als zij cyberrisico’s niet goed ondervangen hebben. De vraag voor hen is dan: ben ik aantoonbaar in control, en waaruit blijkt dat de interne beheersmaatregelen in de praktijk ook daadwerkelijk worden nageleefd?
Totale veiligheid
Veel organisaties leggen de nadruk op het voorkomen van cyberincidenten. Volgens sommigen kan de firewall niet hoog genoeg zijn. Helaas is totale veiligheid een illusie gezien de veranderlijke aard van cyberrisico’s. Het advies is dus om ook aandacht te besteden aan de te verwachten impact. Weet u wat de consequenties zijn als het toch misgaat? In hoeverre is uw instelling nu voldoende voorbereid?
De beoordeling van digitale risico’s vanuit het perspectief van risicomanagement biedt meer dan alleen security-oplossingen gericht op het wegnemen van oorzaken. Ook een gedegen voorbereiding en een adequate reactie zijn van groot belang. Dat geldt tevens voor het financieren van bijkomende kosten middels verzekeringsoplossingen.
Schade voorkomen
Hoewel de bedreigingen toenemen, zijn er goede mogelijkheden om de gevolgen van cyberrisico’s zo veel mogelijk af te dekken. Wij ondersteunen organisaties bij het in kaart brengen van de cyberrisico’s en de financiële consequenties daarvan. Een juiste mix van maatregelen om onverhoopte schade zoveel mogelijk te voorkomen of te beperken, is het uiteindelijke doel. Optimale bescherming tegen cyberrisico’s binnen de gezondheidszorg vergt voorbereiding op een brede impact – niet in de laatste plaats op financiële schade.
Mark Buningh