Bijna dagelijks hebben zorginstellingen te maken met datalekken, hacks, informatiediefstal, virussen of ransomware. Het aantal aanvallen groeit. En de gevolgen hiervan worden groter. Ziekenhuizen moeten dus aan de slag met hun digitale veiligheid. In deze blog krijgt u vijf tips aangereikt over hoe uw zorgorganisatie het beste met informatiebeveiligingsgebeurtenissen en incidenten om kan gaan.
Onlangs is de nieuwe versie van de norm voor informatiebeveiliging in de zorg gepubliceerd, de NEN7510:2017. Een belangrijk onderdeel van deze norm is incident management: cybersecurity incidenten komen namelijk steeds vaker voor in de zorg. Zo zijn in het eerste kwartaal van 2017 11 procent meer inbreuken op zorgdata geconstateerd. Wij durven de voorspelling aan dat het eerste kwartaal van dit nieuwe jaar een nieuw record laat zien. Het is niet alleen het aantal dat zorgen baart: de impact van een incident groeit eveneens explosief.
Door nieuwe ontwikkelingen, zoals persoonlijke gezondheidsomgevingen voor patiënten, komt er steeds meer informatie over de patiënt digitaal beschikbaar. Voor het leveren van goede zorg is dit natuurlijk fantastisch. Maar meer data betekent ook meer gevolgen bij datalekken, hacks en andere cyberincidenten. Bij incidenten worden consequenties voor de verantwoordelijken ook steeds groter. De tijden dat information security officers niet ontslagen werden door een cybersecurity incident zijn voorbij. Kijk maar naar incidenten zoals bij Equifax. Een goede incident management afhandeling is ook daarom van absoluut belang.
Persoonlijke gezondheidsinformatie
In ISO2700x-normering is hier aandacht aan besteed; in de NEN7510 is dit verder uitgewerkt in zorgspecifieke maatregelen. Voordat wij het daar – in de vorm van vijf tips – over gaan hebben, is het belangrijk eerst met u te verkennen wat we nu precies onder persoonlijke gezondheidsinformatie verstaan. Hierover bestaat namelijk weleens verwarring. In de NEN (2017) staat het volgende: ‘Persoonlijke gezondheidsinformatie omvat informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie’. De integriteit, beschikbaarheid en vertrouwelijkheid van deze gegevens zijn van vitaal belang voor de kwaliteit van zorg en moeten dus adequaat beschermd worden. Ook de Inspectie Gezondheidzorg (IGZ) ziet informatieveiligheid als een kwaliteitskenmerk.
Het is dus niet alleen een ICT-verhaal. Dat blijkt ook uit de tips die wij u hieronder mee willen geven om informatiebeveiliging wat ‘behapbaarder’ te maken. De centrale vraag daarbij: hoe kan uw zorgorganisatie het beste met informatiebeveiligingsgebeurtenissen en incidenten omgaan?
Tip 1: Stel bij een incident de persoon waarvan de data is geopenbaard op de hoogte
Wanneer persoonlijke gezondheidsinformatie openbaar is gemaakt bij een informatiebeveiligingsgebeurtenis, moet de organisatie de persoon waarvan de data is geopenbaard hierover informeren. Dit geldt zowel voor onopzettelijke openbaring als voor een hack door een aanvaller die daarmee data heeft kunnen stelen. In sommige rechtsgebieden moet uw organisatie de persoon in kwestie informeren over elke schending van persoonlijke gezondheidsinformatie. Dit geldt zelfs in rechtsgebieden waar geen algemene wet aanwezig is waar persoonsidentificatie-informatie (zoals het BSN en DNA) openbaring gemeld moet worden. Ook moet uw organisatie de persoon in kwestie op de hoogte stellen wanneer gezondheidsinformatiesystemen niet beschikbaar zijn geweest. Of wanneer dit negatieve gevolgen gehad zou kunnen hebben voor zijn of haar zorgverlening.
Tip 2: Stel een centraal aanspreekpunt in voor mogelijke incidenten
In de praktijk is het handig een persoon aan te stellen als aanspreekpunt voor mogelijke incidenten. Dan is het voor uw medewerkers duidelijk waar zij hun mogelijke informatiebeveiligingsgebeurtenissen kunnen melden. Vergeet niet dat er ook externen zwakheden in bijvoorbeeld software kunnen vinden en deze bij u willen melden. Hiervoor kunt u een online formulier beschikbaar stellen.
Tip 3: Registreer en classificeer elk incident
Elke informatiebeveiligingsgebeurtenis dient u te registreren. Hierbij moet u de gebeurtenis classificeren als ‘incident’ of ‘geen incident’. Verwerkt uw organisatie persoonlijke gezondheidsinformatie? Dan dient u ook te beoordelen of het persoonlijke gezondheidsinformatie betrof.
Tip 4: Zorg voor bewijsmateriaal
U dient bewijsmateriaal vast te leggen omtrent de informatiebeveiligingsgebeurtenissen. Verwerkt uw organisatie persoonlijke gezondheidsinformatie, dan is het ook handig om bewijsmateriaal te bewaren om medische fouten aan te tonen en aandacht te geven aan interjurisdictionele eisen. Met name als gezondheidsinformatiesystemen van buiten de grenzen van het eigen rechtsgebied toegankelijk zijn.
Tip 5: Voorkom escalatie en ga te werk volgens een crisismanagement plan
Een incident kan uitgroeien tot een crisis. Dit zal niet snel gebeuren bij een verloren laptop. Maar bij een inbreuk op computersystemen met bijvoorbeeld ransomware, behoort dit zeker tot de mogelijkheden. Om dit proces te beheren, is het verstandig een crisismanagement plan te hebben. Hierin kunt u voor verschillende scenario’s beschrijven wat de stappen zijn om weer goede zorg te kunnen leveren. In het crisismanagement plan is het aan te raden contactgegevens op te nemen van het Z-CERT. Het Z-CERT is het Computer Emergency Response Team voor de zorgsector. Dit team kan meehelpen de crisis te beheersen. Afhankelijk van de grootte van uw organisatie, kunt u zelf een CERT inregelen of inkopen.
Eelco Stofbergen en Teun van der Sande
CGI
—
Op het door Skipr georganiseerde congres over security en privacy in de zorg (18 januari, Media Plaza Utrecht), geeft Eelco Stofbergen (CGI) samen met Nienke van den Berg (Z-CERT) in een workshop praktische tips hoe u uw zorginstelling kunt wapenen tegen cyberincidenten. Meer weten? Ga dan naar www.skipr-security.nl.