Online Data Security Concept
In navolging van de Rijksoverheid krijgt de zorgsector een branche-eigen Computer Emergency Response Team (CERT). Dit Z-CERT is een gezamenlijk initiatief de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), GGZ Nederland en het Nationaal Cyber Security Centrum (NCSC).
Het Z-CERT moet er voor zorgen dat vitale systemen in geval van een aanval zo veel mogelijk blijven functioneren, teneinde de veiligheid en continuïteit van de zorg binnen getroffen ziekenhuizen te garanderen. Dit blijkt uit antwoorden van minister Schippers van VWS op Kamervragen over de recente ransomware-aanvallen op Amerikaanse ziekenhuizen. Het afgelopen voorjaar werden zeker vier ziekenhuizen door hackers met malafide software in gijzeling genomen.
Het Nationaal Cyber Security Centrum (NCSC) krijgt volgens Schippers signalen dat ook in Nederland, ziekenhuizen, evenals andere sectoren, geconfronteerd worden met aanvallen met ransomware. Bij het NCSC zijn echter geen signalen bekend dat deze aanvallen hebben geresulteerd in grootschalige uitval of verstoring, aldus Schippers, zoals in de VWS het geval was.
Verplichte normen
In haar antwoorden schetst Schippers verschillende maatregelen om aanvallen tegen te gaan. Zo gelden er voor respectievelijk veilige omgang met informatie, gegevensuitwisseling en het vastleggen van acties op elektronische patiëntdossiers NEN-normen. De Inspectie voor de Gezondheidszorg (IGZ) toetst aan de hand van deze normen of ziekenhuizen qua voldoende maatregelen hebben genomen op het gebied van informatiebeveiliging.
Als de Eerste Kamer akkoord gaat met het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens, dan worden deze NEN-normen wettelijk verplicht. Daarnaast wordt in de komende periode de Netwerk- en InformatieBeveilingsrichtlijn (NIB-richtlijn), waarover eind 2015 binnen de EU een politiek akkoord bereikt is, worden geïmplementeerd. Deze NIB-richtlijn bestaat onder andere uit een zorg- en meldplicht.
Zorginstellingen hebben sinds 1 januari al de wettelijke verplichting om eventuele datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Dit voorkomt dat incidenten onder de radar blijven en draagt er toe bij dat instellingen van elkaar kunnen leren. De IGZ heeft in maart verschillende brancheverenigingen gevraagd om de aangesloten leden op de meldplicht datalekken te wijzen.
Kennisuitwisseling
Om de kennisuitwisseling rond cybersecurity te bevorderen heeft het NCSC in samenwerking met de zorgsector een Information Sharing and Analysis Centre (ISAC) voor de zorg opgezet. Dit ISAC is een publiek-private sectoraal samenwerkingsverband, waarbinnen op tactisch niveau deelnemers van verschillende ziekenhuizen onderling incident-informatie uitwisselen en ervaringen delen over cybersecurity en kwetsbaarheden in de sector.
