Zorginstellingen zijn een geliefd doelwit van cybercriminelen. Michael Tong Sang, security specialist bij Ultimum ICT legde tijdens het symposium Beveiliging persoonsgegevens in de zorg uit waarom. ‘Allereerst is het lucratief. Financiële persoonsgegevens, zoals die van een creditcard, zijn 2 dollar waard. Een medisch dossier “doet” 20 dollar, bleek in 2014 uit onderzoek van PWC.’
‘De zorgsector is sterk afhankelijk van IT, maar de core business is zorg,’ vervolgde Tong Sang. ‘De mensen die er werken hebben verstand van zorg, niet van IT.’ Niet alleen is er daardoor minder deskundigheid in de organisatie, ook is de security awareness onder medewerkers veelal onvoldoende. Hij haalde de security officer aan die verzuchtte: “De artsen in dit ziekenhuis weigeren gewoon een sterk wachtwoord te gebruiken, want ze willen snel kunnen inloggen. Toen ik de raad van bestuur om steun vroeg, was de reactie: jij bent van IT, los het maar op.”
De mens is en blijft de zwakke schakel. ‘Ik ben dan ook blij met de strengere wet- en regelgeving.’ Hoe het met het security bewustzijn in de instellingen stond die in de zaal vertegenwoordigd waren, wilde Tong Sang weten. Er bleken zorgen te leven. Zoals over bestuurders die vast van plan zijn patiënten digitaal toegang te geven tot hun medisch dossier. Tong Sang: ‘Ja, daar zie ik wel veiligheidsrisico’s.’ Maar iemand meldde ook: ‘Cybersecurity is bij ons niet alleen vast onderdeel van teamoverleggen en dergelijke. Wij organiseren ook regelmatig cyberweken om het veiligheidsbewustzijn een extra boost te geven.’
Blijven testen
Goede beveiliging van persoonsgegevens in de zorg is lastig. ‘Je zit als instelling in een complexe IT-omgeving, omdat er verschillende koppelingen zijn met andere partijen, zoals overheden en leveranciers. Wat ook meespeelt is dat de maatschappij toegang wil hebben tot persoonsgegevens, bijvoorbeeld ten behoeve van verantwoordingsinformatie.’
Tong Sang onderzoekt in opdracht van onder andere zorginstellingen in hoeverre zij hun IT-beveiliging op orde hebben. Hij is een ethical hacker. ‘24/7 wordt er via de digitale weg aan de deur van een ziekenhuis gerammeld. Regelmatig testen is ontzettend belangrijk om erachter te komen waar je kwetsbare plekken zitten. Testen van systemen, bijvoorbeeld door penetratietesten waarbij onder gecontroleerde omstandigheden een aanval door een kwaadwillende wordt gesimuleerd.’
Maar ook testen van medewerkers, bijvoorbeeld door een mail te sturen met een link die een alarmbel zou moeten laten rinkelen. Hoeveel medewerkers klikken op de link? Regelmatig lukt het hem bij een penetratietest om vertrouwelijke bestanden in te zien, tot en met patiëntendossiers, zegt hij. ‘Ook al lijkt het systeem aan de voorkant goed beveiligd, als je wat doorklikt kom je toch zwakke plekken tegen.’
Meldplicht Datalekken
Als er wordt ingebroken door een kwaadwillende kan er sprake zijn van een datalek en daarvan moet je sinds 1 januari een melding maken bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens). Althans, als het lek ernstige nadelige gevolgen heeft of kan hebben voor de bescherming van persoonsgegevens. Die afweging moet je zelf maken. Overigens kan een datalek uiteraard ook andere oorzaken hebben dan een cyberaanval. Denk aan verlies of diefstal van een laptop of usb stick. De AP kan bij overtreding van de meldplicht een boete opleggen die kan oplopen tot 820.000 euro.
Om te helpen bij de afweging of je moet melden, heeft de AP beleidsregels opgesteld. Die zijn te vinden op de website van de AP. Zowel Tong Sang als Mirjam Davelaar, advocaat bij Okkerse en Schop Advocaten en eveneens spreker tijdens het symposium, wezen op het belang van goede bewerkersovereenkomsten. Een instelling is volgens de Wet Bescherming Persoonsgegevens – waar de Meldplicht Datalekken onderdeel van is -verplicht om bewerkersovereenkomsten te sluiten met iedere derde partij die als IT-organisatie een rol heeft bij de bewerking van persoonsgegevens.
Verantwoordelijkheden vastleggen
Davelaar: ‘In de bewerkersovereenkomsten staan afspraken over zaken als geheimhouding en beveiligingsmaatregelen. Daar hoort dus ook het onderwerp datalekken bij.’ Tong Sang adviseerde: ‘Ga ervan uit dat de kennis bij je bewerkers over datalekken en de meldplicht niet al te groot is. Er bestaan nog bewerkers die zeggen: “Ik controleer eens per maand op datalekken.” Bespreek de wederzijdse verantwoordelijkheden daarom heel goed en leg die duidelijk vast in de overeenkomsten.’
‘Spreek verder af dat als er een lek is bij een van de bewerkers, je onmiddellijk op de hoogte gesteld wordt, zodat alle andere bewerkers ook geïnformeerd kunnen worden.’ Een laatste advies, tot slot: ‘Word je zelf geconfronteerd met datalekken, leg dan goed vast welke acties je onderneemt en archiveer alles goed. Zodat je een goed verhaal hebt, mocht je bezoek krijgen van de Autoriteit Persoonsgegevens.’
Meer informatie over de Meldplicht Datalekken: www.autoriteitpersoonsgegevens.nl
Dit symposium werd georganiseerd door het Leids Congres Bureau