Risicomanagement is een bekende tak van sport binnen de zorg. Maar welke cyberrisico’s zijn uniek aan zorginstellingen? En hoe maak je jezelf veiliger? Die vragen en meer komen aan bod in een nieuwe aflevering van Palo Alto Networks’ vodcastserie ‘Voor de Zekerheid’, met deze keer Josee Bos, Manager Informatie en Automatisering/ Programmamanager bij De Forensische Zorgspecialisten.
Bos is werkzaam in de forensische zorg, waarbinnen de term veiligheid veelzijdig is. Naast privacygevoelige data, waar het altijd van wemelt binnen de zorg, richten De Forensische Zorgspecialisten zich op ‘ingewikkelde zorg’, zoals Josee Bos het omschrijft. Denk daarbij aan het behandelen van mensen die in aanraking met justitie zijn gekomen of gezinnen waar huiselijk geweld plaatsvindt. Met andere woorden: niet alleen de gegevens zijn gevoelig, maar ook de situaties. Veiligheid reikt dankzij digitalisering verder dan de behandeling en de zorgdocumenten; hoe beveilig je ook die digitale kant?
Lees ook: Hoe Nederland binnen 300 dagen digitaal lamgelegd wordt
Security ademen
“Onze instelling ademt security,” aldus Bos. Haar organisatie is dagelijks bezig met patiënten die in veel gevallen een groot risico vormen voor de smaneleving. Behandelaars zijn zich hiervan bewust. Maar ook als het om IT-security gaat, stelt Bos dat het belangrijk is om deze behandelaars mee te nemen in beslissingen op dat gebied. Security is niet alleen een IT-feestje: het “begint bij het directieteam. Want als het daar niet op de agenda staat, dan kan je eigenlijk niet zoveel.” Het draagvlak van het personeel voor securitymaatregelen is leidend. Bos pleit voor een realistische aanpak: maak het aanvallers zo lastig mogelijk om gevoelige data te ontfutselen, maar maak het niet onmogelijk voor personeel om de digitale deuren te openen.
Bos ziet een ander gevaar: dat van het ‘vinkjes zetten‘. Security draait niet om compliance, maar naleving van wetgeving en van de eisen van kritieke klanten is cruciaal. Het zal buitenstaanders soms verrassen welke fundamenten voor security in de zorg nog te wensen overlaten. NEN 7510, dat de basisprincipes voor informatieveiligheid in de zorgsector uitstippelt, is lang niet universeel. Het Eurofins-lab Clinical Diagnostics was bijvoorbeeld niet voorzien van deze norm. Zo’n standaard zegt ook niet alles, een organisatie kan veilig zijn zonder een label, maar het biedt wel garanties. Als het een strenge eis is vanuit een klant, kan de directie van een leverancier cyberweerbaarheid ook een prioriteit maken voor de eigen bedrijfsvoering.
Bos stelt dat een audit voor NEN 7510 en andere securitystandaarden wel “je processen tegen het licht houdt” als belangrijke stap in een verbetering van de algehele securitycultuur. Maar het draait er wel om hoe je in de werkelijkheid omgaat met gevoelige data en systemen; daarover meer in de volledige aflevering van Voor de Zekerheid.