Cybersecurity in de zorg: toename in digitalisatie leidt tot een hoger cyberrisico

De zorg vindt steeds vaker op afstand plaats en medewerkers werken in toenemende mate mobiel. Ditzelfde geldt voor de rol van data; het verzamelen en het uitwisselen van medische informatie binnen de zorgketen voert de boventoon om efficiënt te kunnen samenwerken met andere zorgverleners. Hiervoor geven zorgorganisaties toegang tot elkaars systemen en krijgen allerlei medische apparatuur slimme (digitale) koppelingen.

Strengere wet- en regelgeving moet risico’s verkleinen, maar er lijkt meer nodig te zijn om veilig en verantwoord gebruik te maken van digitale toepassingen aangezien de impact van een cyberincident grote gevolgen kunnen hebben. Hierbij een aantal voorbeelden van de gevolgen van een cyberincident.

1. Bescherming van patiëntgegevens

In de zorgsector worden enorme hoeveelheden gevoelige patiëntgegevens verwerkt en opgeslagen. Dit omvat persoonlijke identificeerbare informatie, medische geschiedenis, diagnoses, medicijngebruik en financiële gegevens. Als deze gegevens worden gecompromitteerd, kan dit leiden tot identiteitsdiefstal, fraude en schending van de privacy van patiënten.

2. Financiële gevolgen

Een succesvolle cyberaanval kan aanzienlijke financiële gevolgen hebben voor zorgorganisaties. Dit omvat kosten voor het achterhalen van de oorzaak van de aanval (forensisch onderzoek), het herstellen van systemen, het nemen van beveiligingsmaatregelen, het betalen van losgeld bij digitale afpersing, het compenseren van getroffen patiënten en eventuele juridische kosten. Deze financiële last kan aanzienlijk zijn en de operationele activiteiten van een zorgorganisatie ernstig belemmeren.

3. Verstoring van de patiëntenzorg

Een succesvolle cyberaanval kan de IT-systemen van een zorgorganisatie platleggen of verstoren, waardoor de normale werking van de zorgaanbieder wordt belemmerd. Dit kan leiden tot het verlies van toegang tot en/of manipulatie van patiëntendossiers, afsprakensystemen, laboratoriumresultaten en andere essentiële informatie. Als gevolg hiervan kan de kwaliteit van de patiëntenzorg in gevaar komen en kunnen behandelingen worden vertraagd of onderbroken.

4. Reputatieschade

Een beveiligingsincident kan aanzienlijke reputatieschade veroorzaken voor een zorgorganisatie. Het verlies van vertrouwen van patiënten en het publiek kan leiden tot een afname van het aantal patiënten, het verlies van samenwerkingsverbanden met andere zorgaanbieders en een negatieve impact op de algehele reputatie van de zorgorganisatie.

5. Fysieke veiligheid van patiënten

In de zorgsector zijn er ook risico's met betrekking tot de fysieke veiligheid van patiënten. Cyberaanvallen kunnen gericht zijn op medische apparatuur, zoals pacemakers, insulinepompen en beademingsapparaten, waardoor de gezondheid en het leven van patiënten in gevaar kunnen komen.

De druk op de gezondheidszorg neemt al jaren toe. Bovendien lijkt er voorlopig geen einde te komen aan de groeiende zorgvraag. ICT en slimme toepassingen maken processen efficiënter. De ontwikkeling van technieken en behandelmethoden moeten meer zorg mogelijk maken.

Tegelijkertijd is het belangrijk om grip te houden (of grip te krijgen) op digitale informatie en de beveiliging daarvan. Hoe beveiligt u medische technologie en hoe houdt u kwaadwillenden buiten de deur? Of sterker nog: wie zijn die kwaadwillenden eigenlijk en wat willen ze? We schetsen drie trends binnen de gezondheidszorg.

1. Patiëntenzorg op locatie en op afstand

De Nederlandse bevolking zal volgens het CBS in 2060 groeien naar 19,5 miljoen mensen. Al in 2040 is 26% van iedereen 65 jaar of ouder. De druk op de zorg zal verder toenemen, dus we moeten nieuwe vormen ontwikkelen om iedereen van zorg te blijven voorzien.

De patiënt staat daarbij natuurlijk centraal. Hoe de zorg daar omheen beweegt verandert. Steeds vaker werken zorgmedewerkers mobiel, bijvoorbeeld bij patiënten thuis. In een aantal gevallen bieden zorgmedewerkers zelfs zorg op afstand, bijvoorbeeld via een videoverbinding.

Enkele jaren geleden stond al 50 procent van de mensen open voor zorg op afstand en dat percentage groeit. De bekendheid met beeldbellen neemt toe en de voorkeur daarvoor stijgt. Bovendien staat 6 op de 10 open voor een digitaal gesprek met een online huisarts.

Al die digitale communicatie en de zorg bij patiënten thuis leidt tot andere risico’s. Medewerkers dragen zorgdossiers met zich mee en een videoverbinding vraagt om vakkundige beveiliging.

De belangrijkste uitdaging lijkt ondertussen het cyberbewustzijn bij medewerkers. Pas als de risico’s op hacken, phishing en bijvoorbeeld datalekken duidelijk zijn kunnen organisaties hun medewerkers trainen om risico’s te verkleinen of zelfs vermijden.

Verbeter de awareness voor cybersecurity onder zorgmedewerkers met:

• Een cyber-awareness-training
• Phishing-simulatietesten
• Metingen rondom awareness
• Inzichten in acute dreigingen
• Het vieren van de vooruitgang

2. Datagedreven zorg

Het gebruik van data binnen de zorg neemt al jaren toe. Het Elektronisch Patiëntendossier (EPD) is een goed voorbeeld van een innovatieve toepassing, gebaseerd op data. Al die data moet veilig worden verwerkt, opgeslagen en gedeeld.

De zorg moet ICT-systemen en data daarom goed beveiligen. Daarvoor geldt de NEN 7510-norm, een specifieke norm voor informatiebeveiliging in de zorg. De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft in ieder geval ziekenhuizen opgedragen om in 2023 te voldoen aan deze wettelijke norm.

De NEN 7510-norm voor informatiebeveiliging in de zorg waarborgt de kwaliteit van de (digitale) dienstverlening. Daarnaast vereist de norm controleerbare maatregelen voor informatiebeveiliging. Aantoonbaar beveiligen zal ook inspanning vragen van overige zorgaanbieders, die direct of indirect onderdeel zijn van de zorgketen van een ziekenhuis. Des te belangrijk dat u zich goed laten informeren wat deze NEN-norm inhoudt.

Dankzij een samenwerking tussen NEN en het Ministerie van Volksgezondheid, Welzijn en Sport zijn de NEN 7510, NEN 7512 en NEN 7513 gratis beschikbaar.

De Autoriteit Persoonsgegevens stelt eisen aan bijvoorbeeld het Elektronisch Patiëntendossier. Er geldt voor zorgverleners op basis van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) een plicht om ene medisch dossier bij te houden. Tegelijkertijd geldt de Algemene Verordening Gegevensbescherming (AVG). Die schrijft voor dat zorgverleners de medische dossiers goed moeten beveiligen. Het is bijvoorbeeld belangrijk dat alleen bevoegde personen toegang hebben tot het dossier van een patiënt.

Bij onvoldoende beveiliging van bijvoorbeeld medische gegevens kan de Autoriteit Persoonsgegevens boetes opleggen. Dat gebeurde bijvoorbeeld in 2021 bij een ziekenhuis in Amsterdam. De autoriteit oordeelde dat het ziekenhuis tussen 2018 en 2020 te weinig maatregelen nam om te voorkomen dat onbevoegde medewerkers toegang kregen tot medische dossiers. De boete bedroeg 440.000 euro.

3. Koppeling van (slimme) (medische) apparatuur

Ten derde ontwikkelt zich in hoog tempo de IoMT, Internet of Medical Things. Dat is een netwerk van (slimme) (medische) apparatuur en applicaties. De apparaten en applicaties communiceren onderling met elkaar. Voorbeelden zijn monitoring op afstand voor patiënten met chronische ziekten (RTPM), de verzameling van data uit mobiele gezondheid-apparaten (PERS) en de verbinding tussen ambulances en medische professionals bij zorgorganisaties.

Zo’n Healthcare Internet of Things verbetert de monitoring en toegankelijkheid van data, kan het kosten verlagen en de zorg voor patiënten verbeteren. De efficiëntie en logistiek wordt verbeterd, maar het brengt ook risico’s met zich mee.

Denk bijvoorbeeld aan:

Verouderde apparatuur met zwakke beveiliging

Veel medische apparatuur is meer dan 10 jaar geleden ontworpen. Die apparatuur is niet geschikt voor de security-standaarden en -maatregelen van dit moment.

Noodzaak tot upgrades en patches

Bedrijfseigen en lokale software op medische apparatuur laat zich niet zomaar updaten of patchen bij een beveiligingslek of een gebrek aan certificering.

Beperkte toegangscontrole

Medische apparaten zijn vaak beschikbaar voor zowel medisch als administratief personeel. Het valt niet altijd mee om kwaadwillenden buiten de deur te houden.

Externe apparaten en netwerkbeveiliging

Het gebruik van mobiele en externe apparaten vraagt om extra aandacht voor netwerkbeveiliging en een veilige (data)verbinding.

Concrete gevaren zijn een man-in-the-middle-aanval, DDoS-aanvallen op systemen en bijvoorbeeld ransomware die werkt als gijzelsoftware. De zorg krijgt te maken met een heel andere vorm van beveiliging, op het digitale vlak.

Er moet de komende jaren veel meer aandacht komen voor cybersecurity in de zorg. De drie beschreven trends leiden tot meer en andere risico’s. Zorgorganisaties moeten zich daarvan bewust zijn. Alleen een concreet handelingsperspectief maakt het vervolgens mogelijk om daarmee aan de slag te gaan. Hier zijn enkele belangrijke stappen die zorgorganisaties kunnen ondernemen:

1. Risicobeoordeling en beveiligingsplan

Voer regelmatig een grondige risicobeoordeling uit om de cybersecurityrisico's binnen de organisatie te identificeren. Ontwikkel vervolgens een gedetailleerd beveiligingsplan dat specifieke maatregelen en procedures bevat om deze risico's aan te pakken.

2. Bewustwording en training

Zorgpersoneel moet worden getraind in cybersecuritybewustzijn. Dit omvat het begrijpen van de mogelijke bedreigingen, het herkennen van verdachte activiteiten, het gebruik van sterke wachtwoorden, het vermijden van phishing-e-mails en het melden van beveiligingsincidenten. Regelmatige trainingssessies en bewustwordingscampagnes kunnen helpen om een cybersecuritycultuur te bevorderen.

3. Sterke toegangscontroles

Implementeer sterke authenticatie- en autorisatiemechanismen om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot systemen en gegevens. Gebruik sterke wachtwoorden, overweeg tweefactorauthenticatie en beperk de toegang op basis van de rol van elk individu.

4. Patch management en updates

Zorg ervoor dat alle software, besturingssystemen en medische apparaten up-to-date zijn met de nieuwste beveiligingspatches en updates. Regelmatige patch management is essentieel om bekende kwetsbaarheden te verhelpen en de systemen te beschermen tegen bekende aanvallen.

5. Gegevensversleuteling

Versleutel gevoelige gegevens, zowel in rust als tijdens de overdracht. Dit zorgt ervoor dat zelfs als de gegevens worden gecompromitteerd, ze niet kunnen worden gelezen zonder de juiste decryptiesleutels.

6. Beveiliging van medische apparatuur

Implementeer beveiligingsmaatregelen voor medische apparatuur, zoals firewalls, netwerksegmentatie en regelmatige beoordeling van de beveiligingsinstellingen. Houd rekening met het Internet of Things (IoT)-aspect en sluit ongebruikte poorten en diensten af.

7. Gegevensback-ups en herstel

Regelmatige back-ups van gegevens zijn van cruciaal belang om te voorkomen dat gegevens verloren gaan bij een aanval of een systeemstoring. Zorg ervoor dat back-ups offline of op aparte beveiligde systemen worden opgeslagen.

8. IncidentResponsPlan

Ontwikkel een goed gedefinieerd IncidentResponsPlan dat beschrijft hoe te handelen bij een beveiligingsincident.