Over beveiliging van patiëntgegevens gesproken…

Op 1 december 2016 is het rapport “onderzoek naar de beveiliging van patiëntgegevens” van PBLQ (het onafhankelijke adviesorgaan voor de publieke sector) verschenen. Dit onderzoek is uitgevoerd in opdracht van minister Schippers naar aanleiding van een aantal ernstige incidenten eerder dit jaar.

Het rapport is uitvoerig en geeft een goed beeld van de worsteling die de zorgsector ervaart als het gaat om beveiliging van patiëntgegevens. Met meer dan 300 datalekken het afgelopen jaar en de huidige WBP en aanstaande AVG verordening is er – naast toegenomen awareness voor de gevoeligheid van patiëntgegevens – nu ook duidelijk geworden dat een datalek niet een eenvoudige quick-fix is, die door IT opgelost kan worden.
De genoemde worsteling ligt volgens het rapport voornamelijk op organisatorisch vlak. Dus met name de processen en procedures. Daarnaast wordt er aandacht gevraagd voor het bewustwordingsproces van zorgmedewerkers.

Naar mijn mening wordt hier een mooie driehoek gemaakt van organisatorische-, gedrags- en automatiseringsvraagstukken, die gezamenlijk tot een passend Informatie- & Privacy beleid zou moeten leiden.

In de aanbevelingen en de conclusies vind ik echter de aandacht vanuit een ICT-perspectief voor het Informatie- en Privacy-beleid onderbelicht. Wellicht is dit het resultaat van de gekozen ge-interviewden of de gestelde vragen, maar in de vele situaties die ik tegenkom verdient ICT meer aandacht dan in dit rapport besproken wordt.

Ik pleit dan ook voor meer aandacht voor het Informatie- & Privacy beleid vanuit een IT-perspectief.

Zolang zorg mensenwerk is, zal het gedrag van de medewerkers grotendeels de veiligheid van patiëntgegevens bepalen. Het gebruik bijvoorbeeld van USB’s of onachtzaam omgaan met digitale toegankelijkheid, kan ransomware en andere aanvallen activeren of datalekken veroorzaken. Kwaadwillenden zijn uitermate competent en altijd op zoek naar de zwakke plek binnen ziekenhuizen en zorginstellingen. Inmiddels zijn patiëntgegevens meer geld waard dan creditcardgegevens. De zorgmedewerker is weliswaar zorg-bekwaam, maar beveiligings-technisch veelal onbekwaam. De kwaadwillenden aan de andere zijde van de ziekenhuismuur zijn daarentegen zeer bewust en bekwaam bezig om de “muur te slechten” ….. op zoek naar de kroonjuwelen … de patiëntgegevens.

Ik pleit dan ook voor meer aandacht voor het Informatie- & Privacy beleid vanuit een IT-perspectief. In de gesprekken die ik dagelijks voer met zorginstellingen zijn we gezamenlijk op zoek naar “best practices” en handvatten die nodig zijn om patiëntgegevens te beveiligen. Het putten uit een Security Framework met daarin verwerkte, bewezen en toekomstgerichte (cyber)security-oplossingen is daarbij essentieel. Zaak dus om de beste oplossing voor informatiebeveiliging te zoeken, waarin proces (operatie), automatisering (architectuur), mens én organisatie (beleid) in verband met elkaar staan. Op die wijze is IT een onmisbaar onderdeel van het primaire proces in de zorg en ondersteunt het organisaties en medewerkers in hun gedrag en processen, zonder daarbij de vertrouwelijkheid van patiëntgegevens uit het oog te verliezen….

Adrian Ariese
Security Specialist Gezondheidszorg bij ON2IT