Pages Menu
Categories Menu

Posted on 26/01/2016 in Informatiebeveiliging | 0 comments

Ziekenhuizen in zee met onzorgvuldige scanbedrijven

Vertrouwelijke medische gegevens van ruim 158.000 Nederlanders en Belgen hebben op straat gelegen door een fout van een scanbedrijf dat oude patiëntendossiers digitaliseert. Ook zijn er medische dossiers verwerkt door gedetineerden. Dat blijkt uit een uitzending van het MAX-consumentenprogramma Meldpunt!, dat vandaag om 19.25 uur op NPO 2 wordt uitgezonden.

Patiëntgegevens van het Canisius-Wilhelmina Ziekenhuis (CWZ) te Nijmegen en het St. Anna Ziekenhuis te Geldrop waren via een openbare internetlink in te zien. De meeste patiëntbestanden komen van Belgische ziekenhuizen. Het Belgische scanbedrijf iGuana gebruikte tot vorige week een onbeschermde internetlink voor de uitwisseling van medische informatie tussen het scanbedrijf en de ziekenhuizen. Vorige week, nadat de redactie van Meldpunt! hen wees op het datalek, heeft iGuana die informatie afgeschermd.

Jan Klein, bijzonder hoogleraar Veiligheid in de zorg, noemt het ‘dramatisch en onvoorstelbaar’ dat vertrouwelijke patiëntengegevens via een scanbedrijf uitlekken. ‘Hiermee is de privacy van de patiënt op een ontoelaatbare manier geschaad’. Klein is morgen te gast in de tv-uitzending van MAX.
Nederlandse ziekenhuizen laten kilometers ziekenhuisarchief inscannen om ruimte en kosten te besparen en patiëntgegevens voor artsen toegankelijker te maken. Ziekenhuizen gunnen deze digitaliseringsopdrachten vaak aan het bedrijf dat het scanwerk voor laagste prijs aanbiedt. Meldpunt! ontdekte dat prijsvechters onder de scanbedrijven dit voor een lage prijs kunnen doen doordat zij het scanwerk, en de arbeidsintensieve voorbereidingen daarvoor, laten uitvoeren in sociale werkplaatsen en gevangenissen, waaronder de Centrale Gevangenis van Leuven (België).

Meldpunt! toont dinsdag in de uitzending dat Belgische gedetineerden patiëntendossiers van het Zwolse ziekenhuis Isala bewerken, ter voorbereiding van digitalisering. Ook medische dossiers van het Amphia Ziekenhuis te Breda zijn scanklaar gemaakt in de Leuvense gevangenis. Het ziekenhuis bevestigt dit en zoekt nog uit in welke periode dit is gebeurd.

Volgens de Wet Bescherming Persoonsgegevens en de Wet op de Geneeskundige Behandelingsovereenkomst is het verboden om onbevoegden inzage te geven in dossiers met vertrouwelijke medische informatie. Werkzaamheden rond digitalisering van patiëntendossiers mogen alleen verricht worden door gecertificeerde bedrijven met medewerkers die vooraf gescreend zijn en bovendien een geheimhoudingsverklaring hebben getekend. De gescande data moet beveiligd worden aangeboden aan de ziekenhuizen.

Read More

Posted on 11/06/2015 in Informatiebeveiliging | 0 comments

Informatiebeveiliging in de zorg: de tijd dringt

Zorginstellingen in Nederland zijn grootverwerkers van privacygevoelige gegevens, maar de meerderheid geeft aan niet bekend te zijn met relevante (nieuwe) wet- en regelgeving. Ook lopen zorgorganisaties risico’s omdat informatiebeveiliging nog te vaak niet de kerntaak is van bestuurders of directie (51%) en niet of onvoldoende informatiebeveiligingsbeleid doorgevoerd is (56%). Dit blijkt uit een enquête van BDO onder 55 zorginstellingen. De borging van informatiebeveiliging, de toenemende regeldruk vanuit de overheid en de geringe voorbereiding op de nieuwe wet- en regelgeving baren de onderzoekers zorgen.

Informatiebeveiligingsscan
Privacywet- en regelgeving worden steeds meer aangescherpt en staan nadrukkelijk in de maatschappelijke belangstelling. Daarom heeft BDO zorginstellingen bevraagd over verschillende aspecten van informatiebeveiliging. In de periode januari tot en met april 2015 hebben respondenten van 55 instellingen uit diverse zorgsectoren meegewerkt aan een uitgebreide informatiebeveiligingsscan. De uitkomsten zijn samengevat in een rapport.

Europese privacyverordening
Vanwege toenemende impact van IT heeft de Europese Commissie besloten dat de huidige richtlijn van de privacyverordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het parlement. Daarmee wordt de verordening ook rechtstreeks van kracht in Nederland. Het voorstel bevat nieuwe en strengere privacyregels. Ook kunnen er boetes worden opgelegd die oplopen tot 100 miljoen euro als organisaties niet voldoen. Van de respondenten heeft niet meer dan 40 procent inhoudelijke kennis over deze aanstaande verordening. Van dat percentage hebben alle zorginstellingen één of meer maatregelen genomen om zich hierop voor te bereiden. “Dat is niet voor niets. Als zorginstellingen niet voldoen aan deze strengere regels dan kunnen zij in het ergste geval hun toelating verliezen. Dat betekent dat een instelling dan geen zorg meer mag bieden die bijvoorbeeld voor vergoeding op grond van de Zorgverzekeringswet of de Wet langdurige zorg in aanmerking komt”, stelt Robert van Vianen, één van de onderzoekers en tevens partner bij BDO.

Meldplicht datalekken
Wanneer er sprake is van een datalek en persoonsgegevens in handen vallen van een derde partij die geen toegang tot die informatie zou moeten hebben, dan moet dat volgens de meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Het kabinet heeft deze meldplicht recent verder aangescherpt, met name door het CBP (dat met de inwerkingtreding van deze wet per 1 januari 2016 verdergaat onder de nieuwe naam Autoriteit Persoonsgegevens) de bevoegdheid te geven aanzienlijk hogere boetes te kunnen opleggen. Dit kan oplopen tot 810.000 euro of, als dat niet passend is, 10 procent van de jaaromzet. Slechts 38 procent van de respondenten is bekend met de werking van deze meldplicht. Van deze 38 procent heeft nog geen eenderde maatregelen getroffen om aan deze wet te voldoen. “Een verontrustende uitkomst”, stelt Frank van der Lee, partner bij BDO en als consultant betrokken bij de BDO Branchegroep Zorg, “want het niet naleven van de meldplicht gaat voor nog grotere financiële risico’s zorgen.”

Verantwoordelijkheid en beleid
Uit het onderzoek blijkt dat de verantwoordelijkheid voor informatiebeveiliging op verschillende niveaus is belegd in de organisatie: 49 procent bij het hoogste orgaan, directie of raad van bestuur, en in 44 procent van de gevallen bij de IT-verantwoordelijke. En dat terwijl de norm voor informatiebeveiliging in de zorg (de zogenoemde NEN 7510) heel duidelijk is; de directie is niet alleen op papier verantwoordelijk, maar moet ook het beleid actief monitoren, aanscherpen en goedkeuren. Ook op het gebied van informatiebeveiligingsbeleid is er ruimte voor verbetering. Slechts 44 procent van de respondenten geeft aan dat er een helder geïmplementeerd beleid is voor alle medewerkers en relevante derden. Zo’n 15 procent van de ondervraagden zegt daarmee bezig te zijn. Goed nieuws is er ook: alle ondervraagde zorginstellingen hebben maatregelen getroffen om te voorkomen dat internetcriminelen privacygevoelige informatie in handen kunnen krijgen. Opvallend is wel dat 42 procent dit niet heeft gedaan op basis van een risicoanalyse. In die gevallen zijn risico’s op blinde vlekken aanwezig en als gevolg daarvan mogelijk te lage of juist onnodige investeringen gedaan.
Bron: BDO

Read More

Posted on 31/03/2015 in Experts | 0 comments

Beveiliging essentieel voor het IoT en voor medische apparaten met een netwerkverbinding

Medische apparaten die via een netwerk in verbinding staan met het Internet of Things (IoT) bieden tal van voordelen voor de gezondheidszorg, mits beveiliging van meet af aan in deze apparaten is ingebouwd. Dit is de belangrijkste conclusie van een nieuw rapport van Intel Security en de Atlantic Council: The Healthcare Internet of Things: Rewards and Risks.

 

Intel
Vier soorten medische apparatuur met een netwerkverbinding.

Het rapport onderzoekt de beveiligingsuitdagingen en kansen voor de samenleving die medische apparatuur met een netwerkverbinding biedt. Daaronder vallen ook wearable apparatuur en apparaten die tijdelijk worden ingeslikt of worden geïmplanteerd in het menselijk lichaam voor bijvoorbeeld het toedienen van medicatie, of apparaten voor het monitoren van de gezondheid of voor fitness. Het rapport geeft een aantal aanbevelingen voor de industrie, voor toezichthouders en voor medische professionals. Deze adviezen kunnen er toe bijdragen dat patiënten de best mogelijke zorg krijgen en dat tegelijkertijd de beveiligingsrisico’s in software, firmware en communicatietechnologie via netwerken en devices zo veel mogelijk worden gereduceerd.

“Gezondheidszorg via internet kan het Internet of Things heel persoonlijk maken”, zegt Wim van Campen, vice president Noord en Oost Europa, Intel Security. “Als de medische gegevens van een persoon worden gemeten via een apparaat met een internetverbinding, kan deze informatie makkelijk worden uitgewisseld met ziekenhuizen en andere zorginstellingen. En dat kan een wezenlijke verbetering van de kwaliteit van de gezondheidszorg opleveren. Maar er zijn ook reële uitdagingen rond de bescherming van de privacy en de beveiliging van deze apparaten. Daarom zou beveiliging van meet af deel moeten uitmaken van het gehele systeem: van het apparaat tot het netwerk en het data center.”

Medische apparaten met een netwerkverbinding kunnen bijdragen aan het verbeteren van de algemene gezondheid, de effectiviteit van medische behandelingen en de levenskwaliteit. Volgens het nieuwe rapport kunnen deze technologieën – zo blijkt uit een schatting – wereldwijd tot $63 miljard aan kostenbesparingen opleveren in de gezondheidszorg, over een periode van 15 jaar. Daarbij zouden de kosten voor ziekenhuisapparatuur met 15 tot 30 procent kunnen worden teruggebracht. Het rapport concludeert echter ook dat met het netwerk verbonden medische apparatuur een aantal potentiële risico’s met zich meebrengt: diefstal van persoonlijke informatie, doelbewuste sabotage van apparatuur om schade aan te richten, algemene ontwrichting van medische zorg en onvoorziene uitval van medische apparatuur.

Het rapport doet een aantal aanbevelingen die de innovatie stimuleren en die tegelijkertijd de beveiligingsrisico’s terugdringen:

  • Beveiliging zou van meet af aan ingebouwd moeten zijn in medische apparatuur en in de netwerken waarmee zij worden verbonden, in plaats van een toevoeging achteraf;
  • De industrie en de overheid zouden moeten overwegen om een uitgebreide set van beveiligingsstandaards of best practices te implementeren voor medische apparatuur met een netwerkverbinding, om deze risico’s te adresseren;
  • De private-private en publieke-private samenwerking moet verbeterd worden, ook op de lange termijn;
  • Het huidige systeem van regelgeving en certificering voor het goedkeuren van medische apparatuur moet zich verder ontwikkelen om innovatie te stimuleren en er voor te zorgen dat organisaties in de gezondheidszorg kunnen voldoen aan de eisen op het gebied van regelgeving, en tevens om het publiek te beschermen;
  • Het publiek moet een onafhankelijke stem krijgen, zodat ook patiënten en hun families gehoord worden. Het doel moet zijn om te komen tot een goede balans tussen effectiviteit, gebruiksgemak en veiligheid wanneer een apparaat wordt ingezet voor medische doeleinden of wordt gebruikt door consumenten.

Het complete rapport is te downloaden via: http://www.mynewsdesk.com/nl/mcafee/documents/rapport-the-healthcare-internet-of-things-rewards-and-risks-44092

Read More

Posted on 27/01/2015 in Experts | 0 comments

Tijden veranderen

Tijden veranderen. Zorg verandert, IT verandert, wetgeving verandert. Maar veranderen organisaties op tijd mee?

In de dagelijkse praktijk zie ik dat bij veel organisaties de veiligheid van gevoelige vertrouwelijke data vaak te wensen overlaat. Wat veel organisaties, met name in de zorg, zich op dit moment nog niet beseffen is dat dit extra vervelende consequenties gaat hebben.

ICT uitbesteden lost veiligheidsprobleem op?
Ik las een wat ouder artikel op deze site, wat mij inspireerde om deze blog te schrijven. Het is een blog uit januari 2013, waarin de auteur schrijft dat wanneer organisaties de ICT uitbesteden, hun informatie beveiliging altijd up-to-date is, omdat dat is uitbesteed aan specialisten.

De schrijver gaat er hier zonder meer vanuit dat de veiligheid dan ook uitstekend wordt geregeld en dat het extern uitbesteden de oplossing is voor het “ICT probleem in de zorg”. Ik ben het daar absoluut niet mee eens. Sterker nog, wanneer Bestuurders deze uitspraak voor waar aannemen kan dit hen duur komen te staan… De Bestuurders blijven als data-eigenaar aansprakelijk voor het lekken van gegevens.

Denk bijvoorbeeld aan personeelsgegevens, contracten met stakeholders en medische patiëntgegevens. Met de komst van de wetgeving “Meldplicht Datalekken” en de bevoegdheid van het College Bescherming Persoonsgegevens om zelfstandig hoge boetes op te mogen leggen, hebben organisaties er nog een vraagstuk bij.

Bestuurders zouden ter vergadering de vraag moeten stellen: “Hoe zorgen we dat we veilig blijven en voldoen aan wet- en regelgeving” Neem daarbij voor de zorg de NEN7510 en Artikel 13 CbP als uitgangspunt. Men zal er snel genoeg achter komen dat dit geen vraagstuk is wat bij de IT afdeling thuis hoort.

Casus Groene Hart Ziekenhuis
We zien helaas wekelijks wel media berichtgeving voorbij komen over cybercriminelen die een organisatie hebben gehackt. Of er wel of geen data is buitgemaakt is door de nieuwe wetgeving eigenlijk minder relevant geworden. Organisaties moeten namelijk gaan aantonen dat zij hebben voldaan aan de verplichte wet- en regelgeving – met als kern artikel 13 van de Wet Bescherming Persoonsgegevens. Daarnaast is hoe dan ook de imagoschade enorm!

Art. 13 WbP  geeft aan dat iedere organisatie die persoonsgegevens verwerkt deze gegevens zodanig moet veiligstellen tegen inbraak / verlies etcetera, naar wat conform huidige maatstaven van financiën en technologie mogelijk is.

Een mooi voorbeeld is het Groene Hart Ziekenhuis. Laat “mooi” eigenlijk maar weg. Schandalig is het. Reeds in 2010 is het ziekenhuis gewaarschuwd dat de systemen ernstige kwetsbaarheden vertonen. In 2012 vind er een hack plaats. Hierbij werd gebruik gemaakt van dezelfde kwetsbaarheid bij de KPN hack 6 maanden eerder.

Duizenden zeer gevoelige medische patiëntgegevens liggen letterlijk voor het oprapen. Jaren later zijn er enige verbeteringen doorgevoerd, waardoor een niveau is bereikt waardoor men voldoet aan Artikel 13 CbP.

Verkeerde gedachtegang
Allereerst is het natuurlijk schandalig dat er zo slordig met patiëntgegevens (en andere privacy gevoelige gegevens) wordt omgegaan. Het is nog erger dat men – na eerdere waarschuwingen – vier jaar later nog steeds slechts een matig niveau van veiligheid kan garanderen.

Zo is het helaas met veel normen. Normen en certificeringen worden vaak gebruikt vanwege een verplichting of contract onderhandeling. Jammer, want eigenlijk zou de startpositie moeten zijn:

“Ik wil een veiligere organisatie bereiken”. Ik noem het een verkeerde gedachtegang, waardoor bij veel organisaties nutteloos geld wordt verspild aan dure certificeringstrajecten.

Van organisaties die een verplichte ISO 27001 / 27002 certificering moeten hebben mag verwacht worden dat de veiligheid op een zeer hoog niveau is gebracht. Als ik aan de eindstreep kijk hoe het met die veiligheid is gesteld, dan is dat helaas soms bedroevend slecht.

Verantwoordelijkheid, Compliance, Privacy
Dat Bestuurders verantwoordelijk zijn voor het reilen en zeilen van een organisatie op grote lijnen, dat weten we allemaal wel. Helaas zie ik in de dagelijkse praktijk dat deze verantwoordelijkheid niet altijd even serieus wordt genomen. Met name het onderwerp cybercrime staat vaak niet op de agenda.

Dat leid ik af uit het afschuiven van deze verantwoordelijkheid op IT afdelingen of externe partijen. Veelal wordt de verantwoordelijkheid van de “IT security” in de schoenen geschoven van een IT manager of “de IT afdeling”. Dit is de reden waarom het structureel mis gaat bij veel organisaties.

Bestuurders laten een zeer belangrijk deel van het Risk Management over aan een afdeling of persoon die ter zake totaal niet deskundig is. Cyber Risico Management is iets wat op Board level moet worden behandeld.

IT’ers zijn enorm goed in het verzorgen van mogelijkheden zodat uw operationele proces optimaal wordt ondersteund. Data en software, vanaf overal en altijd toegankelijk. Het liefst vanaf elk mogelijk apparaat binnen en buiten uw organisatie. Dat is toch wat uw medewerkers van u verwachten?

Deze wensen hebben een keerzijde. Het bijt namelijk enorm met de veiligheid van de organisatie. Maar deze mensen laat u als Bestuurder wel beslissen over het risico op zeer ernstige financiële & reputatieschade en mogelijk faillissement? Ik snap dat niet.

Tijd voor verandering?
Ik wil u uitdagen, Managers en Bestuurders in de zorg. Breng het onderwerp op de Board agenda. Wanneer de nieuwe wetgeving actief is, wordt van u verwacht dat uw organisatie er klaar voor is. Dat processen zo zijn ingericht, dat de juiste handelingen worden verricht.

Niet alleen omdat het moet, maar vooral ook omdat u zelf wilt dat uw cliënten en uw stakeholders trots op u kunnen zijn! Dat u als organisatie de veiligheid van het bedrijf, de omzet en haar cliënten serieus neemt!

Voor een sparring gesprek of zomaar een bak koffie, nodig ik u graag uit.

Wouter Parent (cybercrime expert / Certified Ethical Hacker)
WeSecureIT cybercrime preventie

Read More