Het is niet zo dat zorgorganisaties helemaal onbekend zijn met datasecurity. Tijdens het webinar zegt 71 procent van de deelnemers er mee bezig te zijn, maar voor 26 procent is dat nog niet genoeg. De schrik zit er best in, want of het nu gaat om een ziekenhuis, vvt-instelling, de ggz of de ghz: een datalek of een hack heeft enorme gevolgen voor de continuïteit van zorg!
NEN7510
Marcel Floor gaat tijdens het webinar in op de intrinsieke en de extrinsieke motivatie voor elke zorgorganisatie om met informatiebeveiliging aan de slag te gaan en een goede cyberveiligheidsstrategie te hebben. Een lichtend voorbeeld is hoe Ambulancezorg Nederland, gecertificeerd beveiligd volgens de NEN7510-norm, data deelt met de spoedzorg in ziekenhuizen. Marcel Floor: “Het gaat om samenwerking, je zult het met elkaar moeten doen. Organisaties zijn altijd onderdeel van een netwerk en de hele keten is zo sterk als de zwakste schakel.” Hij pleit er dan ook voor dat grote partijen – zoals bijvoorbeeld academische ziekenhuizen – de kleinere helpen door het delen van kennis en ervaring. “Niemand kan op de handen blijven zitten. Met elkaar moeten we blijvend bewegen naar een hoger securityniveau. Dat vraagt permanente inspanning.”
NIS2
Maar er zijn ook prikkels van buitenaf om dit goed te doen. Marcel Floor legt de stand van zaken uit rondom de invoering van de NIS2-richtlijn. Deze richtlijn wordt momenteel omgezet in Nederlandse wetgeving en is ook op de sector gezondheidszorg van toepassing is. Begin 2024 start een internetconsultatie waar iedereen input kan leveren op het concept wetsvoorstel. Onderdeel van de nieuwe NIS2-richtlijn wordt een aparte paragraaf over bestuurdersaansprakelijkheid. Het illustreert het belang van inbedding van cybersecurity vanuit de boardroom naar de hele organisatie. Eind 2024 zal de wet van kracht zijn. Deze wetgeving vormt het sluitstuk en niet het startpunt, betoogt Floor. “Dus daar moet jouw organisaties niet op wachten”, zo waarschuwt hij. “Ga nu al aan de slag! Een goede start vormen de normen van de NEN7510. Daarnaast kun je voor veel praktische tips en tools kijken op www.gegevensuitwisselingindezorg.nl/weerbaarheid.”
Boetes
Het is niet zo gek dat er zoveel datalekken in de zorg zijn want de waarde van medische informatie is hoog, legt juriste Jacqueline de Vries uit. “Op het dark web wordt zo een paar honderd euro geboden op een medisch dossier.” En een datalek ligt in een klein hoekje. Door een verkeerd ingetypt mailadres kan het al fout gaan en belandt informatie bij de verkeerde persoon. Veel zorgorganisaties vragen zich dan ook af wat zij bij een datalek moeten doen. “Onderzoek eerst of je het moet melden aan de Autoriteit Persoonsgegevens (AP)”, zegt De Vries. “Mijn advies is: meld liever wel dan niet. Beter onnodig gemeld, dan onterecht niet gemeld.” Als er inderdaad een overtreding wordt vastgesteld, kan de AP een boete opleggen. Jacqueline de Vries heeft wat jurisprudentie meegenomen. Zo kreeg het Haga Ziekenhuis een forse boete opgelegd voor het onvoldoende toezicht houden op login-gegevens (waardoor het dossier van ‘Barbie’ op straat kwam te liggen). En een orthodontiepraktijk kreeg een boete omdat het de website niet goed beveiligd had, terwijl de praktijk wel om BSN-nummers van patiënten vroeg. “Het is niet voor niets dat de IGJ steeds meer toetst op toepassing van de NEN7510”, aldus De Vries. “Daarbij kijkt de inspectie niet alleen óf een organisatie de norm toepast, maar ook hoe die geïmplementeerd is en vastgelegd in protocollen. Als je er aantoonbaar mee bezig bent, dan ben je voor de IGJ al op de goede weg.”
Losgeld
Maar een datalek kan nog veel meer gevolgen hebben, laat de advocate van VvAA zien. “Je hebt te maken met aansprakelijkheid of bedrijfsstagnatie. Daar kun je je tegen verzekeren, maar ook dan moet je je aantoonbaar aan wetten en normen houden.” Daarnaast speelt de vraag of een zorgorganisatie bij een hack ook losgeld moet betalen. De rijksoverheid raadt aan om nooit te betalen, maar de praktijk wijst soms anders uit. Dat verschilt per individueel geval, constateert De Vries. “Dus laat je vooral adviseren door een crisisteam of cyberdeskundigen.”
Openheid
Er zijn dus allerlei manieren om je te wapenen al dan niet ingegeven vanuit de overheid, zo laten Marcel Floor en Jacqueline de Vries zien. En toch gaan we incidenten blijven zien, ook in 2024. “We moeten naar een groter bewustzijn, zodat we de impact kunnen verkleinen”, zegt Floor. “Dat kan alleen door van elkaar te leren.” Wetgeving, inclusief meldplicht en informatieplicht, is daarvoor bedoeld. Maar de afzonderlijke partijen zullen daar naar elkaar toe ook open over moeten zijn, betoogt De Vries. “Zorgorganisaties moeten zich niet schamen over dingen die misgaan. Het gaat er om hoe ze daarmee omgaan.”
