Beveiliging van de gegevens is ook in de zorg een actueel en veelbesproken onderwerp. We bewaren en verzamelen steeds meer gegevens. Hoe zorg je dat die goed beveiligd zijn? Projectmanager Wim Schoemaker heeft veel ervaring met implementaties van systemen bij ziekenhuizen en ouderenzorg, zorgportalen en DigiD-koppelingen. Hij vertelt in dit blog over verstandig omgaan met data en cybersecurity.
Cybersecurity en databeveiliging zijn tegenwoordig veelbesproken thema’s. Met de toenemende digitalisering nemen ook de bedreigingen toe. Het is intussen eigenlijk niet meer de vraag óf je als organisatie met beveiligingsincidenten te maken krijgt maar wanneer.
Zo’n incident kan een hack zijn of een datalek, of bijvoorbeeld een situatie waarbij opgeslagen gegevens niet meer toegankelijk zijn voor wie ermee moet werken.
Het voorkomen van incidenten is natuurlijk belangrijk maar het beperken van de impact van een eventueel incident is minstens net zo belangrijk. Daar is veel aan te doen.
Data, apparaten en netwerk
Bij het werken met data gaat het om gegevens, apparaten en netwerken. Alle drie moeten toegankelijk, betrouwbaar en goed afgeschermd zijn. De gegevens zijn nodig om goede zorg te leveren. Daarbij is het belangrijk dat enkel de benodigde gegevens verzameld worden en dat alleen de mensen die daarmee moeten werken, bij de gegevens kunnen. De gegevens worden continu uitgewisseld via verschillende netwerken. Zorgmedewerkers gebruiken computers, apps en andere digitale middelen om met de verschillende systemen te werken.
Veilig netwerk
Wim: “Ik werk vaak aan projecten op het gebied van infrastructuur en besteed dan aandacht aan het veilig houden van het netwerk. Hoe zorgen we dat vreemden geen toegang krijgen tot de netwerkvoorzieningen van de organisatie? Dat gaat om digitale toegang via netwerken zoals het internet, wifi en bluetooth én om fysieke toegang: een hacker kan ook zo maar een locatie binnenlopen. Wij adviseren om te kiezen voor (netwerk) leveranciers die goed thuis zijn in deze vormen van beveiliging. Aanvullend werken we dan ook nog met partijen die met security-scans eventuele zwakheden en aandachtspunten ontdekken”.
Beveiliging van werkplekken en apparaten
Elke organisatie heeft te maken met werkplekken, gebruikers die inloggen, telefoons en apps waar medewerkers mee werken en zorgdomotica. Al deze apparaten moeten goed werken en goed beveiligd zijn. Veel apparaten worden beheerd met mobile device management, MDM, zodat bijvoorbeeld altijd de laatste updates geïnstalleerd zijn.
Ook kan een organisatie door o.a. MDM veel aan beveiliging afdwingen door de apparaten goed in te stellen. Het afdwingen van het gebruik van een goed wachtwoord is essentieel. 2FA of MFA dragen daar ook aan bij naast het instellen van wat ieder apparaat mag.
Beveiliging en beschikbaarheid van data
Bij beveiliging gaat het ook om de beschikbaarheid van data. De zorg is steeds meer afhankelijk van toegang tot data. Als de stroom uitvalt en medewerkers kunnen daar niet meer bij, kunnen zij dan nog wel hun werk doen? Welke data moet altijd beschikbaar zijn? Als er een probleem is, is er dan een nood- of uitwijkvoorziening die werkt? Zorgorganisaties moeten keuzes maken en zorgen voor toegankelijke voorzieningen die het ook echt doen.
Omgaan met privacy
Privacy is een belangrijk onderdeel van databeveiliging. Ook hier gaat het om het totaalplaatje: welke data verzamel je en waarom? Wie krijgt toegang tot welke data? Hoe leg je dat vast, en hoe zorg je dat toegangsrechten ook weer worden ingetrokken als de functie van een medewerker verandert? Steeds meer applicaties draaien in de Cloud. In hoeverre hebben de leveranciers van de applicaties en clouddiensten toegang tot de opgeslagen gegevens? Daar moet je als organisatie erg goed naar kijken en goede overeenkomsten afsluiten.
Aandacht, governance en wetgeving
Zorgorganisaties moeten beleid maken over het omgaan met en beveiligen van data. Daarin moet ook de governance goed geregeld zijn. De veiligheid is geborgd bij het blijven doen van updates, onderhoud en het blijven aanpassen van rechten. Dat werkt alleen als dat goed belegd is in de organisatie en als de infrastructuur helder is. Zorginstellingen zijn bovendien verplicht om te voldoen aan de NEN 7510, de norm voor informatiebeveiliging in de gezondheidszorg. Een ander belangrijk punt is dat er een actief beleid is om medewerkers goed bewust te maken en houden van de risico’s zodat ze kunnen herkennen wanneer ze te maken hebben met bijv. malafide mails.
Hulp bij beveiligingsvraagstukken
Cybersecurity en databeveiliging is een vak apart. Wij zijn geen beveiligingsexperts maar onze projecten hebben veel raakvlakken met databeveiliging. Wij weten waar potentiële risico’s zitten, welke partijen dat goed in kaart kunnen brengen en kunnen de impact van beveiligingsmaatregelen op de werkvloer inschatten. Hoe veel je ook uitbesteedt als zorgorganisatie, je blijft altijd zelf eindverantwoordelijk voor de veiligheid van de data en de systemen. Wij vinden het belangrijk dat zorgorganisaties dit goed kunnen regelen en we helpen daar graag bij.
