Ziekenhuizen vinden cybersecurity in meerderheid een onderwerp van strategisch en bestuurlijk belang, maar ze besteden in de praktijk geen structurele aandacht aan informatiebeveiliging en maken er ook geen financiële middelen voor vrij. Dat constateert telecomaanbieder KPN op basis van een rondgang langs 19 ziekenhuizen.
Volgens KPN, dat het rapport ‘Informatiebeveiliging in de Zorg’ presenteerde tijdens de vakbeurs Zorg & ICT in Utrecht, nemen het risicobewustzijn en de aandacht voor het beschermen van vertrouwelijke patiëntgegevens sterk toe. Bijna vier van de vijf door KPN bevraagde ziekenhuizen beschouwen informatiebeveiliging als prioriteit op raad van bestuur-niveau.
Verantwoordelijkheid
Daarnaast groeit het besef dat patiëntenzorg meer behelst dan het zo goed mogelijk behandelen van een ziekte of aandoening. Ook de zorg voor de informatie van en over patiënten valt onder de verantwoordelijkheid van de zorginstelling. Meer dan de helft van de ziekenhuizen voert daarom periodieke compliance reviews uit om te bekijken of de digitale processen voldoen aan de wettelijke en formele vereisten. Een derde doet dit echter momenteel niet.
Mede op basis van deze reviews stelt KPN vast dat ziekenhuizen hun processen veelal op orde hebben. Wel maken ziekenhuizen zich zorgen over het gebrekkige veiligheidsbesef onder eigen medewerkers. Het meest bezorgd zijn de ziekenhuizen over het verlies van (vertrouwelijke) patiëntinformatie, gevolgd door de uitbraak van een groot virus, phishing aanval of andere malware.
Doelwit
Toch zien de meeste ziekenhuizen zichzelf op dit moment niet als doelwit van hackers. Daarmee zijn de ziekenhuizen in potentie kwetsbaar, aldus Monique Philippens, directeur Zorg van KPN. “Een groot deel van de deelnemende ziekenhuizen zet wel op regelmatige basis ethical hackers in om kwetsbaarheden in systemen te identificeren. Echter continu monitoren op cybercriminaliteit en op kwetsbaarheden die datadiefstal van onder meer patiëntgegevens kunnen veroorzaken, wordt niet structureel toegepast.”
Volgens Philippens blijft het budget achter bij de groeiende risico’s. Ook het meten van return on security investment heeft nauwelijks aandacht. “Opvallend is dat meer dan 50 procent van de geïnterviewde ziekenhuizen aangeeft dat het budget voor informatiebeveiliging niet toeneemt het komende jaar”, zegt Philippens. “Slimmere budgetinzet lijkt hierbij kansen te bieden.”
