Het beveiligen van persoonlijke zorggegevens, en versturen, is een hot issue. Zeker in de zorg. Frank Waarsenburg, Chief Information Security Officer bij RAM-IT, geeft leiding aan een team van medewerkers op het vlak van Security, compliance en kwaliteit. In de praktijk ziet hij dat zorginstellingen vaak door de bomen het bos niet meer zien als het gaat over informatiebeveiliging.
“Informatiebeveiliging is standaard vastgelegd in ISO 27001. Deze norm is bedoeld om organisaties te helpen met het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging. Het doel is om bijvoorbeeld datalekken en andere kwetsbaarheden binnen hun organisatie te beperken of zelfs te voorkomen. NEN 7510 is een uitgebreid certificaat voor zorginstellingen en komt bovenop ISO 27001. Voor medische gegevens worden namelijk andere (strengere) normen gehanteerd. RAM-IT is NEN 7510-gecertificeerd. Wij hebben uiteraard geen patiënten of zorgapparatuur maar we hebben wel 15 miljoen patiëntendossiers. Wij zijn geen consultant voor het behalen van een NEN 7510-certificaat. Op verzoek helpen wij zorginstellingen wel met het beantwoorden van vragen voor het verkrijgen van het NEN 7510-certificaat. Soms zijn wij ook aanwezig bij de audit van een zorginstelling om toe te lichten hoe wij hun informatiebeveiliging hebben geregeld.”
Dataverkeer
Naast NEN 7510 zijn er twee additionele normen: NEN 7512 en NEN 7513. NEN 7512 gaat specifiek over veilig datatransport, waaronder e-mailverkeer. Frank: “NEN 7513 gaat over logging. Zo moeten zorginstellingen ervoor zorgen dat je altijd kan zien wie er welke data heeft geraadpleegd en of dit geautoriseerd is. Wij zien dat er steeds vaker een andere norm een rol speelt: de NTH 7516. Die richt zich op het beveiligd versturen van e-mails. Als een medisch specialist een onderzoek bij mij heeft gedaan, mag hij de uitslag niet kaal over het internet sturen naar mijn huisarts. Zorgmail is een organisatie die ervoor zorgt dat zorgverleners onder elkaar veilig kunnen e-mailen. Tegenwoordig zijn er ook organisatie die ervoor zorgen dat zorgverleners veilig kunnen e-mailen met hun patiënten. Als deze niet aangesloten is op een beveiligde e-mail, dan wordt de mail versleuteld verstuurd naar een beveiligde portal (https-verbinding). Vaak kan de mail alleen opgehaald worden door in te loggen met een 2-factor authenticatie.”
“In de praktijk zien we dat zorginstellingen vaak door de bomen het bos niet meer zien als het gaat over informatiebeveiliging”.
Zwakste schakel
Tot zover een uitleg over de diverse normen en verplichte certificaten. Informatie is volgens Frank echter meer dan een reeks technische maatregelen. “Het lost zeker niet alle beveiligingsissues op waar de zorg mee worstelt. Wij zeggen vaak: het probleem zit vaak op een stoel achter het toetsenbord. De toegang tot zorggegevens moet altijd beveiligd zijn met 2 factoren. Maar we hebben een case van een zorginstelling gehad die de computer in een ruimte als een 2-factor-authentificatie beschouwde. Je hebt namelijk een pas nodig om het gebouw binnen te komen en vervolgens heb je nog een wachtwoord nodig om de computer te kunnen gebruiken. Dat heeft de Autoriteit Persoonsgegevens niet geaccepteerd. De schoonmaker heeft namelijk ook een pas voor die ruimte. Je moet echt scherp blijven bij het beveiligen van persoonlijke zorggegevens. ”
Werkbaar houden
“Zorgmedewerkers zijn vaak minder digivaardig. Zij zijn gefocust om hun werk als zorgverlener zo goed mogelijk uit te voeren”, vervolgt Frank. “In de praktijk zien we een zorgmedewerker met een tablet aan het bed van een patiënt een medicijnlijst invullen. Dan moeten ze eerst een token uit hun zak halen en vervolgens een code die via sms op hun telefoon komt, invoeren. Dat werkt ook niet. Wat wij als beveiligingsexperts moeten doen, is het vinden van een gouden middenweg. Het moet veilig en werkbaar zijn. Dat is onze grote uitdaging.”
Een praktijkcase
Regelmatig zijn er cases in het nieuws waarbij medewerkers de zwakste schakel zijn in de beveiligingsketting. Zo kreeg een financiële medewerker van Bol.com een mailtje dat het rekeningnummer van Brabantia was gewijzigd. De medewerker heeft vervolgens het rekeningnummer gewijzigd. “750.000 euro later belde Brabantia waar hun geld van verkochte producten bleef. Uiteindelijk bleek de medewerker van Bol.com een valse e-mail te hebben gehad en het geld was overgeboekt naar een niet meer te achterhalen buitenlandse bankrekening. Dit soort onachtzaamheden zijn het grootste gevaar. Je kunt alles technisch dichtmetselen, maar het zijn vaak medewerkers die de zwakste schakel zijn. De kern van het verhaal is dat medewerkers door de bomen het bos niet meer zien. Zij denken dat alles is beveiligd en gaan er daarom vanuit dat zij niet meer hoeven op te letten.”
“Wat wij als beveiligingsexperts moeten doen, is het vinden van een gouden middenweg. Het moet veilig en werkbaar zijn”.
Simpele tips voor het betere beveiligen van persoonlijke zorggegevens
Frank heeft ten slotte nog een aantal tips. “Neem niet alle mailberichten voor lief aan. Bel als je twijfelt. Blijf vooral nuchter nadenken. Als je leidinggevende mailt dat je even iets moet regelen omdat hij in een meeting zit, neem dat niet zomaar voor lief aan. Twijfelen is niet erg. Goedgelovig zijn wel. Wij helpen graag bij het nemen van technische maatregelen om de gevolgen van een fout te voorkomen. En wij helpen bij het waarschuwen van onze relaties. Ik heb een lijst van de security officers van onze klanten die wij waarschuwen over afwijkende gebeurtenissen. Zo is nu de emotet malware weer in opkomst. Die was even weggeweest maar is nu gemuteerd naar een nog agressiever virus. Hackers en phishing mails worden steeds slimmer. Het blijft opletten en waarschuwen. En heb je een phishing mail ontvangen, gooi deze niet weg maar stuur deze mail naar mij door. Als wij een trend zien, kunnen wij onze relaties direct op de hoogte brengen. Voorkomen is beter dan genezen.”
Frank Waarsenburg
Chief Information Security Officer
030 – 2 390 390
