Innovatie in de gezondheidszorg? Vergeet de security niet

De gezondheidszorg staat momenteel bol van digitale innovatie. Ontwikkelingen als Personalized Medicine en het Internet of Humans (IoH) rukken op en vernieuwen de zorg. Maar ondertussen is de beveiliging in veel zorginstellingen een zorgenkindje. Dat brengt de branche in een ongewenste spagaat.

Het Internet of Things is momenteel een van de nieuwe buzzwoorden in de gezondheidszorg. Het staat voor de ‘vermenselijking’ van het Internet of Things. Sensoren en apps verzamelen allerlei gezondheidsgerelateerde data. Zo creëren ze een wereldwijd omspannend netwerk van mensen en aan hen gerelateerde gegevens. Door die gegevens te analyseren, kunnen artsen bijvoorbeeld ziektebeelden voorspellen en behandelingen op het individu afstemmen. In de zorgsector heet dat ook wel ‘Personalized Medicine’.

Door het Internet of Humans beschikken steeds meer organisaties over een rijke set medische gegevens. Zonder een goede beveiliging en strikte technologische en organisatorische securitymaatregelen is dat vragen om datalekken, ransomwaregijzelingen en andere ellende.

Videospreekuur

Een andere ontwikkeling is de opkomst van het videospreekuur. Voor contact tussen de (huis)arts en patiënt is nu nog bijna altijd een fysieke afspraak vereist. E-mailcontact is een zeldzaamheid, laat staan een spreekuur via chat of webvideo. Dat stoort begrijpelijkerwijs veel mensen. Inmiddels zijn de eerste zorginstellingen dan ook aan het experimenteren met een videospreekuur.

Een mooie ontwikkeling, maar ook hier moet de sector pas op de plaats maken. Digitale videocommunicatie creëert allerlei cyberrisico’s. Denk aan afluistermogelijkheden voor hackers. Ook over de opslag en het bewaren van dergelijk videomateriaal moeten duidelijke afspraken gemaakt worden. Instellingen die deze mogelijkheid aanbieden, moeten ook de security- en privacyaspecten ervan op de agenda zetten.

Infrastructuur

Een andere technologische ontwikkeling is de opkomst van draadloze voorzieningen binnen ziekenhuizen en zorginstellingen. Een logische ontwikkeling: zowel patiënten als bezoekers nemen steeds vaker hun eigen apparaten mee en verwachten ‘draadloos internet’. Een moderne zorginstelling kan dan ook niet zonder een goed wifinetwerk. Maar tegelijkertijd geeft zo’n netwerk een potentiële bron van cyberdreigingen.

Zeker wanneer het personeel dit netwerk gebruikt voor het transport van medische gegevens. Dat is niet ongebruikelijk, want steeds meer verplegend personeel werkt met tablets waarop zij patiëntgegevens draadloos raadplegen. Ook dat zorgt voor een nieuw risico, want dit netwerkverkeer kan zonder preventieve technische maatregelen eenvoudig worden onderschept.

Gedegen security ontbreekt

De conclusie is duidelijk: al die digitale ontwikkelingen vragen om gedegen securitymaatregelen. Toch is een security allesbehalve een vanzelfsprekendheid in Nederlandse zorginstellingen. Zo blijkt uit recent onderzoek van de Autoriteit Persoonsgegevens dat minder dan een kwart van de Nederlandse ondervraagde ziekenhuizen zeker weet dat alle medische apparatuur gebruikmaakt van versleutelde communicatie. Ook op de vraag of het mogelijk is om data direct versleuteld te bewaren op een USB-drive antwoordde driekwart negatief.

Ronduit zorgwekkende resultaten. Digitale zorgverlening vraagt om geavanceerde technologische maatregelen, zoals netwerksegmentatie, goede netwerkmonitoring, geavanceerde firewall/IPS-systemen en een ferm patchbeleid. Ook organisatorische maatregelen zijn noodzakelijk, zoals afspraken over wie bij welke data kan en hoe persoonsgegevens op een veilige en respectvolle manier verwerkt worden.

Aangescherpte wetgeving

Sinds 1 januari is die noodzaak voor technologische en organisatorische privacy- en ICT-beleid nog groter. Zorginstellingen hebben te maken met de aangescherpte privacywetgeving en meldplicht bij datalekken. Die wetgeving vereist maatregelen om de kans op hacks te minimaliseren. Verzuimt de organisatie om een datalek te melden, dan kan de Autoriteit Persoonsgegevens boetes uitdelen tot 820.000 euro of 10% van de jaaromzet. De AP heeft voor de verwerking van gezondheidsinformatie zelfs aparte regels opgesteld.

Elektronisch Patiëntdossier

Speciale aandacht van het AP krijgt uiteraard het Elektronisch Patiëntdossier. Volgens het onderzoek van de Autoriteit Persoonsgegevens is ook hiervan de beveiliging ver beneden de maat. Het ontbreekt vaak aan technologie voor bijvoorbeeld authenticatie. Terwijl de aangescherpte privacywetgeving juist vereist dat organisaties heel goed bewaken wie bij welke persoonsgegevens kan. Ook de middelen voor logging is benedenmaats, zodat organisaties bij een datalek ook niet goed kunnen achterhalen wie welke data heeft ‘aangeraakt’.

Volgens de onderzoekers leeft security in de healthcare veel te weinig. Er ontbreekt kennis en een ‘sense of urgency’ die gezondheidsorganisaties letterlijk duur kan komen te staan. Het wordt dan ook hoog tijd dat de Nederlandse zorgsector ontwaakt voor het te laat is. Digitalisering en innovatie mogen nooit ten koste gaan van de veiligheid en privacy van de patiënt. Op dit moment kunnen patiënten in Nederland nog niet in alle gevallen daarop vertrouwen, en dat is een treurige constatering.

Mike Wilde,  Regional Sales Manager bij WatchGuard Technologies

email

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *