Tijden veranderen. Zorg verandert, IT verandert, wetgeving verandert. Maar veranderen organisaties op tijd mee?
In de dagelijkse praktijk zie ik dat bij veel organisaties de veiligheid van gevoelige vertrouwelijke data vaak te wensen overlaat. Wat veel organisaties, met name in de zorg, zich op dit moment nog niet beseffen is dat dit extra vervelende consequenties gaat hebben.
ICT uitbesteden lost veiligheidsprobleem op?
Ik las een wat ouder artikel op deze site, wat mij inspireerde om deze blog te schrijven. Het is een blog uit januari 2013, waarin de auteur schrijft dat wanneer organisaties de ICT uitbesteden, hun informatie beveiliging altijd up-to-date is, omdat dat is uitbesteed aan specialisten.
De schrijver gaat er hier zonder meer vanuit dat de veiligheid dan ook uitstekend wordt geregeld en dat het extern uitbesteden de oplossing is voor het “ICT probleem in de zorg”. Ik ben het daar absoluut niet mee eens. Sterker nog, wanneer Bestuurders deze uitspraak voor waar aannemen kan dit hen duur komen te staan… De Bestuurders blijven als data-eigenaar aansprakelijk voor het lekken van gegevens.
Denk bijvoorbeeld aan personeelsgegevens, contracten met stakeholders en medische patiëntgegevens. Met de komst van de wetgeving “Meldplicht Datalekken” en de bevoegdheid van het College Bescherming Persoonsgegevens om zelfstandig hoge boetes op te mogen leggen, hebben organisaties er nog een vraagstuk bij.
Bestuurders zouden ter vergadering de vraag moeten stellen: “Hoe zorgen we dat we veilig blijven en voldoen aan wet- en regelgeving” Neem daarbij voor de zorg de NEN7510 en Artikel 13 CbP als uitgangspunt. Men zal er snel genoeg achter komen dat dit geen vraagstuk is wat bij de IT afdeling thuis hoort.
Casus Groene Hart Ziekenhuis
We zien helaas wekelijks wel media berichtgeving voorbij komen over cybercriminelen die een organisatie hebben gehackt. Of er wel of geen data is buitgemaakt is door de nieuwe wetgeving eigenlijk minder relevant geworden. Organisaties moeten namelijk gaan aantonen dat zij hebben voldaan aan de verplichte wet- en regelgeving – met als kern artikel 13 van de Wet Bescherming Persoonsgegevens. Daarnaast is hoe dan ook de imagoschade enorm!
Art. 13 WbP geeft aan dat iedere organisatie die persoonsgegevens verwerkt deze gegevens zodanig moet veiligstellen tegen inbraak / verlies etcetera, naar wat conform huidige maatstaven van financiën en technologie mogelijk is.
Een mooi voorbeeld is het Groene Hart Ziekenhuis. Laat “mooi” eigenlijk maar weg. Schandalig is het. Reeds in 2010 is het ziekenhuis gewaarschuwd dat de systemen ernstige kwetsbaarheden vertonen. In 2012 vind er een hack plaats. Hierbij werd gebruik gemaakt van dezelfde kwetsbaarheid bij de KPN hack 6 maanden eerder.
Duizenden zeer gevoelige medische patiëntgegevens liggen letterlijk voor het oprapen. Jaren later zijn er enige verbeteringen doorgevoerd, waardoor een niveau is bereikt waardoor men voldoet aan Artikel 13 CbP.
Verkeerde gedachtegang
Allereerst is het natuurlijk schandalig dat er zo slordig met patiëntgegevens (en andere privacy gevoelige gegevens) wordt omgegaan. Het is nog erger dat men – na eerdere waarschuwingen – vier jaar later nog steeds slechts een matig niveau van veiligheid kan garanderen.
Zo is het helaas met veel normen. Normen en certificeringen worden vaak gebruikt vanwege een verplichting of contract onderhandeling. Jammer, want eigenlijk zou de startpositie moeten zijn:
“Ik wil een veiligere organisatie bereiken”. Ik noem het een verkeerde gedachtegang, waardoor bij veel organisaties nutteloos geld wordt verspild aan dure certificeringstrajecten.
Van organisaties die een verplichte ISO 27001 / 27002 certificering moeten hebben mag verwacht worden dat de veiligheid op een zeer hoog niveau is gebracht. Als ik aan de eindstreep kijk hoe het met die veiligheid is gesteld, dan is dat helaas soms bedroevend slecht.
Verantwoordelijkheid, Compliance, Privacy
Dat Bestuurders verantwoordelijk zijn voor het reilen en zeilen van een organisatie op grote lijnen, dat weten we allemaal wel. Helaas zie ik in de dagelijkse praktijk dat deze verantwoordelijkheid niet altijd even serieus wordt genomen. Met name het onderwerp cybercrime staat vaak niet op de agenda.
Dat leid ik af uit het afschuiven van deze verantwoordelijkheid op IT afdelingen of externe partijen. Veelal wordt de verantwoordelijkheid van de “IT security” in de schoenen geschoven van een IT manager of “de IT afdeling”. Dit is de reden waarom het structureel mis gaat bij veel organisaties.
Bestuurders laten een zeer belangrijk deel van het Risk Management over aan een afdeling of persoon die ter zake totaal niet deskundig is. Cyber Risico Management is iets wat op Board level moet worden behandeld.
IT’ers zijn enorm goed in het verzorgen van mogelijkheden zodat uw operationele proces optimaal wordt ondersteund. Data en software, vanaf overal en altijd toegankelijk. Het liefst vanaf elk mogelijk apparaat binnen en buiten uw organisatie. Dat is toch wat uw medewerkers van u verwachten?
Deze wensen hebben een keerzijde. Het bijt namelijk enorm met de veiligheid van de organisatie. Maar deze mensen laat u als Bestuurder wel beslissen over het risico op zeer ernstige financiële & reputatieschade en mogelijk faillissement? Ik snap dat niet.
Tijd voor verandering?
Ik wil u uitdagen, Managers en Bestuurders in de zorg. Breng het onderwerp op de Board agenda. Wanneer de nieuwe wetgeving actief is, wordt van u verwacht dat uw organisatie er klaar voor is. Dat processen zo zijn ingericht, dat de juiste handelingen worden verricht.
Niet alleen omdat het moet, maar vooral ook omdat u zelf wilt dat uw cliënten en uw stakeholders trots op u kunnen zijn! Dat u als organisatie de veiligheid van het bedrijf, de omzet en haar cliënten serieus neemt!
Voor een sparring gesprek of zomaar een bak koffie, nodig ik u graag uit.
Wouter Parent (cybercrime expert / Certified Ethical Hacker)
WeSecureIT cybercrime preventie
