9 minute read
VEEL INSTELLINGEN MET CYBER SECURITY NIET OP ORDE
Veel zorginstellingen hebben hun cyber security nog niet op orde. Dat is gevaarlijk, aangezien alles met een chip erin gehacked kan worden. Verplichte deelname aan Zorg-Cert zou een eerste stap kunnen zijn om het probleem aan te pakken.
Advertisement
VEEL INSTELLINGEN MET CYBER SECURITY NIET OP ORDE
‘C yber security is een essentieel onderdeel van gezondheidszorg geworden’, zegt David Voetelink zonder een spoor van aarzeling. ‘Patiënten moeten er op kunnen vertrouwen dat er zorgvuldig met hun gegevens wordt omgegaan. Hoe dat in de zorg geregeld is?’ Voetelink aarzelt even. ‘Dat verschilt enorm per instelling.’
Voetelink, jarenlang volgens eigen zeggen ‘opperhoofd zorg’ bij consultants- en accountantsorganisatie KPMG, is sinds 2013 vice-voorzitter van de raad van bestuur van het Erasmus MC in Rotterdam. Het was onder meer zijn opdracht om de nieuwbouw van het ziekenhuis en de financiering ervan in goede banen te leiden. Daarnaast heeft hij zich intensief beziggehouden met alle IT-gerelateerde zaken. En dan niet alleen binnen het universitair ziekenhuis, maar ook daarbuiten. Zo was Voetelink een van de drijvende krachten achter ZorgCert, de organisatie waar zorginstellingen kunnen aankloppen als ze problemen hebben met cyber security. Voetelink is er voorzitter van de raad van toezicht. Sinds kort is hij benoemd tot lid van de raad van toezicht van de Autoriteit Financiële Markten. Eind dit jaar neemt hij afscheid van het Erasmus MC. ‘Het is tijd voor iets nieuws’.
‘De UMC’s in Nederland hebben hun cyber security op een redelijk niveau. Hier bij het Erasmus MC bijvoorbeeld zijn vier mensen speciaal met veiligheid en cyber security belast’, zegt Voetelink. ‘Bij de ziekenhuizen zie je al grote verschillen ontstaan. Zeker de kleinere ziekenhuizen hebben maar beperkte mogelijkheden. Veel GGD-, GGZ-en VVT-instellingen hebben nog een lange weg te gaan. Het merendeel van de instellingen voor de jeugdzorg, waar Zorg-Cert onlangs heeft geholpen nadat allerlei domeinnamen waren gehacked, staat
nog voor een nog steviger opgave. Natuurlijk kan er ook bij ons weleens iets mis gaan, maar in het algemeen geldt: naarmate zorg kleinschaliger en meer versnipperd wordt, wordt de beveiliging kwetsbaarder.’
Ondoenlijk Voetelink begrijpt heel goed dat patiënten zelf willen bepalen wie er over hun medische gegevens beschikken. ‘Dat kan weleens vervelend zijn als iemand vanuit de ambulance bij het ziekenhuis aankomt, maar het is niet acceptabel als patiëntgegevens op straat belanden. Ongeautoriseerd in medische dossiers kijken is ten strengste verboden. Binnen het Erasmus MC kunnen ongeveer achtduizend mensen in medische dossiers kijken, dat mag echter alleen als er sprake is van een behandelrelatie. Met het aantal patiënten dat binnen het Erasmus MC wordt behandeld, vindt inzage in dossiers duizenden keren per dag plaats. Het is ondoenlijk dat integraal te controleren, maar we houden wel steekproeven. Als iemand ongeoorloofd patiëntgegevens opvraagt, volgen sancties.’
‘Beveiliging is duur. En naarmate we meer gebruik maken van IT en het systeem opener wordt, wordt het nog duurder. Neem het feit dat al onze verpleegkundigen een handheld van achthonderd euro hebben waarop relevante patiëntgegevens staan, die beveiligd moeten worden. Maar ik ben ervan overtuigd dat beveiliging onderdeel is van goede zorg, cyber security is een absolute voorwaarde.’
Op de vraag of alle kleine organisaties dat kunnen betalen, antwoordt Voetelink met een simpel ‘nee’. ‘Misschien kun je iets regelen met IT-leveranciers’, suggereert hij. Is er een rol weggegeld voor externe financiers? Voetelink haalt zijn schouders op. ‘Als we
John Bierings en Gerrit Poortman, in samenwerking met René Bogaarts, Bogaarts Communicatie
allemaal vinden dat beveiliging onderdeel is van zorg, hebben zorgverzekeraars er baat bij. Dan zouden ze er wellicht ook iets voor kunnen betalen. Eigenlijk zou je Zorg-Cert verplicht moeten stellen.’
Nog voordat de plannen voor een landelijk systeem met elektronische patiëntendossiers negen jaar geleden strandden op terughoudendheid van het publiek, hadden enkele grote zorgaanbieders al een eigen systeem opgezet, Mijnzorgnet, waaraan patiënten op basis van vrijwilligheid konden deelnemen. Dat werd begin dit jaar vervangen door Medmij, een nieuw systeem. ‘Onze patiënten kunnen in MijnErasmusMC delen van hun eigen dossier inzien – wat overigens, uit onbekendheid waarschijnlijk, nog maar weinig gebeurt. Daarnaast kunnen deelnemende zorgaanbieders in de regio binnenkort samenvattingen van patiëntgegevens, over bijvoorbeeld medicijngebruik en allergieën, onderling uitwisselen in de Basisgegevensset Zorg. Als een patiënt hier in het ziekenhuis komt, moet hij wel toestemming verlenen dat de mensen die zorg verlenen, zijn dossier kunnen inzien. Als die gegevens naar buiten moeten, bijvoorbeeld naar collega’s van een ander ziekenhuis, moet de patiënt daar expliciet toestemming voor verlenen.’
Veel ziekenhuizen hebben hun eigen systeem om patienten en zorgverleners toegang tot medische dossiers te geven. Voetelink: ‘We hebben in Nederland niet gekozen voor een landelijk EPD, een centrale plaats waar medische gegevens worden opgeslagen. Dit betekent dat we nu steeds gegevens moeten uitwisselen.'
Pijn Enige tijd geleden is Quli, een samenwerkingsverband van zorgaanbieders waarvan ook ict-leveranciers als Ordina aandeelhouder zijn, toegetreden tot MedMij. Welke verantwoordelijkheden hebben ICT-aanbieders? ‘De patiënt is natuurlijk eigenaar van de gegevens, maar wij als zorgaanbieder moeten die zorgvuldig beheren omdat we goede zorg moeten bieden. ICT-leve
ranciers zijn er uiteraard verantwoordelijk voor dat ze goede systemen leveren, maar de pijn zit hem in de netwerken, de lijntjes naar buiten en naar onze datacentra. Wij stellen daarom strenge eisen aan onze datacentra. Hoe we dat doen? We gaan om te beginnen natuurlijk alleen in zee met nette partijen. Daar zien we ook de security-rapporten van. Vroeger hadden we één datacentrum in huis en één erbuiten. Dat interne centrum moest om bouwtechnische redenen weg: vanwege de toename van het belang van data en de toenemende eisen voor beveiliging en security, hebben we gekozen voor een tweede datacentrum buiten de deur.’
Het Erasmus MC heeft tot op heden nooit zelf een beroep op bijstand van Zorg-Cert hoeven te doen. ‘We hebben een eigen club die zich met veiligheid bezighoudt. Als je een bedrijf hebt waar 14.000 mensen werken, moet je dat ook in huis hebben. Als zich een incident voordoet, moet je er bovenop zitten, want als het IT-systeem uitvalt, ben je snel out of business. Natuurlijk hebben we wel noodprocedures, maar dan wordt het hier snel stil.’
Voetelink wijst erop dat de afhankelijkheid van IT enorm is toegenomen, terwijl het risico van inbreuken ook is gestegen. ‘Dat de ultracentrifugecentrales in Iran onklaar gemaakt konden worden, geeft aan hoe kwetsbaar systemen kunnen zijn. Nu verwacht ik niet direct dat mensen opzettelijk inbreken om ons systeem kapot te maken, maar toch. Zorg-Cert kan een rol spelen als het mis gaat. Het is belangrijk dat zoveel mogelijk ziekenhuizen en zorginstellingen erbij zijn aangesloten, ook omdat we van elkaar kunnen leren. Zorg-Cert kan bovendien samen met de Philips’en van deze wereld kijken hoe we dingen als bijvoorbeeld pacemakers veiliger kunnen maken. Want overal waar een chip in zit en een internetverbinding kun je inbreken.’
Geweigerd Tot nu toe zijn vooral ziekenhuizen en ggz-instellingen lid van Zorg-Cert, maar volgens Voetelink zijn alle zorginstellingen van harte welkom. ‘Ze moeten zich echter wel realiseren dat er sprake zal zijn van een intake. We kijken wat voor systemen ze hebben en waar de kwetsbaarheden zitten. Want als er iets fout gaat, moet Zorg-Cert snel te hulp kunnen schieten. Alleen, als zich morgen alle huisartsen aanmelden, lukt dat niet.’
Er is volgens Voetelink overigens nog nooit een instelling geweigerd, maar dat is volgens hem waarschijnlijk vooral omdat degenen die zich als eerste melden doorgaans de grotere instellingen zijn. ‘De pijn zit hem bij kleinere instellingen, die soms hun eigen firewall nog niet eens voor elkaar hebben. Zorg-Cert is nu twee jaar bezig, er werken acht mensen. We schalen op, het is een vliegwiel dat moet gaan draaien. We kunnen meer mensen aantrekken als er meer organisaties lid worden. VWS, dat ons in het begin heeft geholpen, ziet het belang ervan in. Veilige zorg impliceert cyber security. Als een ziekenhuis zijn beveiliging niet voor elkaar heeft, kan het geen goede zorg verlenen.’
‘Zorg-Cert is ook bezig het dreigingsbeeld van de Nederlandse zorgsector in kaart te brengen, inzicht te geven in de risico’s die ons bedreigen. We hebben dat nog niet openbaar gemaakt, maar dat willen we op termijn wel doen. Dat is volgens ons ook een van de taken. Zorg-Cert is, zeg ik tegenwoordig weleens, net als de brandweer. Als er niets aan de hand is, komen we langs om adviezen te geven over rookmelders en sprinklers, maar we rukken ook uit als er brand uitbreekt.’ Welke risico’s bedreigen de sector? Voetelink: ‘We weten niet precies waar die aanvallen vandaan komen, maar ze komen uit alle richtingen. Er is geen sprake van georganiseerde aanvallen op de Nederlandse zorgsector, maar we doen zeker mee in de algemene ellende.’
In mei vorig jaar trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Was het Erasmus MC in paniek? ‘We waren op 24 mei natuurlijk nog niet helemaal klaar’, zegt Voetelink. ‘We hadden ons goed voorbereid, maar dit soort wetgeving heeft een enorme impact op een organisatie als de onze, die met duizenden persoonsgegevens te maken heeft. We zijn nu ruim een jaar verder en we beginnen goed op orde te raken. We zijn nog niet helemaal klaar maar we zitten op een redelijke vlieghoogte.’
‘We zullen waarschijnlijk ook nooit helemaal klaar zijn, onder meer omdat we als universitair ziekenhuis heel veel gegevens nodig hebben. We doen onderzoek, daarvoor maken we gebruik van geanonimiseerde patientgegevens. Maar wat is anoniem? Als het om bijzondere ziektes gaat, is het vaak wel te herleiden om wie het gaat. Maar ja, we zijn er wel voor dat onderzoek en
patiënten verwachten dat ook. Met het opvragen van persoonsgegevens lukt het doorgaans wel, maar je moet ze ook weer vernietigen. Dat is technisch lastig, ook in databases, want wanneer zijn ze écht weg?’
Bewustzijn De invoering van de AVG heeft volgens Voetelink wel goed gewerkt om het bewustzijn onder medewerkers te vergroten dat ze voorzichtig met vertrouwelijke gegevens moeten omgaan. Dat kan ver gaan, zo blijkt uit een voorbeeld dat hij geeft. ‘Een arts gaf een student in een ordner patiëntgegevens mee voor een onderzoek. Die student krijgt ruzie met zijn vriendin, die vervolgens al diens spullen wegflikkert. Ook die ordner’, zegt hij. ‘Heel vervelend. Waar zijn die gegevens? Je moet het melden, maar je kunt het niet oplossen. Wat moet je dan al niet met usb-sticks die rondslingeren of laptops die uit auto’s gestolen worden? Dat gebeurt gelukkig steeds minder.’
‘De AVG heeft ons als grote organisatie, waar mensen honderden applicaties gebruiken, wel geholpen om één managed workplace in te voeren met allemaal dezelfde apparaten en dezelfde programma’s’, zegt Voetelink uit eigen beweging. ‘Dat was wel de grootste quick win. Aan de zorgkant is dat allemaal geharmoniseerd; aan de onderzoekskant is het wat taaier omdat mensen vaker een handige applicatie willen downloaden.’
Is er op het gebied van cyber security een rol weggelegd voor financials? ‘Zeker’, antwoordt Voetelink. ‘Zij moeten ervoor zorgen dat het op de tafel van de bestuurders komt. Het is ook een uitdaging voor ZorgCert dat dat gebeurt. Het lijkt wel of bestuurders zeggen: “Er is nooit brand, dus waarom zouden we ons verzekeren?” Zo werkt het natuurlijk niet. Externe accountants zouden een rol kunnen spelen, maar ik weet uit ervaring dat die toch vaak erg ver van de materie af staan. Nee, de rol van controllers, van eigen mensen, is belangrijk. Zij zien wat er mis gaat.’
