25 oktober 2017 | Tekst: Michel Pasman en Edwin van Leeuwen | Beeld: Stock (foto) consilium.europa.eu (infographic)
Download het artikel als pdf >>

 

“Zorgverleners moeten op zoek naar expertise”

 

In mei van dit jaar vond een ransomware aanval plaats waarbij meer dan 230.000 computers in 150 landen, waaronder Nederland, werden besmet met het Wannacry computervirus. De afgelopen 3 jaar zijn er in Nederland maar liefst 15 ziekenhuizen ‘besmet’ geraakt en onlangs nog zijn er bij tandartspraktijken röntgenfoto’s en patiëntendossiers gegijzeld. Antivirusbedrijf Kaspersky meldt dat afgelopen jaar het aantal geïnfecteerden is gestegen met 11%. Wat zou u doen als uw patiëntengegevens door een ransomware virus worden gegijzeld? Bent u voorbereid op een eventueel datalek?

 

U heeft tot 25 mei 2018 om u voor te bereiden op de Europese Privacyverordening, in Nederland bekend als de ‘Algemene verordening gegevensbescherming’ (AVG). Jan Pieter Schoon, Functionaris Gegevensbescherming Incura & Abakus: “In een tijd van vergaande digitalisering is alleen vertrouwen niet meer voldoende. Zowel zorgverleners als softwareleveranciers moeten hun handelen en onderlinge afspraken op het gebied van informatiebeveiliging meer structureren en vastleggen.”

 

Cybercriminelen gaan de afgelopen
jaren steeds geavanceerder te werk

 

Wat ging er aan de AVG vooraf?

Heeft u als zorgverlener de kabinetten Lubbers meegemaakt? Dan herinnert u zich vast nog wel de Wet persoonsregistratie (Wpr) uit 1989. U krijgt te maken met regelgeving voor instanties die persoonsgegevens verzamelen of verwerken. In de tijd dat de Wpr door de Nederlandse overheid werd ontwikkeld, is er nauwelijks rekening gehouden met de beschikbaarheid van het internet. Ruim 10 jaar later, wanneer het internet voor iedere burger of bedrijf toegankelijk geworden is, moet de privacy van de Nederlandse burger beter beschermd worden. Dit is het moment om de wetgeving te verstevigen door middel van de ‘Wet bescherming persoonsgegevens’ (Wbp) op 1 september 2001. De Wbp is voor een groot deel gebaseerd op de Europese dataprotectierichtlijn (95/46/ EG).

  

 

In oktober 2016 publiceerde MoveMens het artikel ‘Geen trek in een datalek’, over een uitbreiding van de Wbp met een Meldplicht Datalekken per 1 januari 2016. Met deze uitbreiding wil de overheid instanties meer verantwoordelijkheid geven aangaande het verzamelen en verwerken van persoonsgegevens. In het artikel wordt uitgelegd hoe u met een paar belangrijke handelingen persoonsgegevens beter kunt beschermen tegen datalekken. Denk aan het gebruik van inlogcodes op computers, gestructureerd gebruik van back-up of het vastleggen van een geheimhoudingsplicht voor alle lagen van een organisatie of aan een derde zoals een reparateur. Uit het artikel blijkt ook dat werken in de cloud meer gemak en veiligheid biedt dan lokaal geïnstalleerde zorgsoftware. Back-ups en belangrijke beveiligingsupdates worden doorgaans geregeld door de cloudprovider en hier heeft u dus geen omkijken meer naar. Gebeurt er iets met uw computer? Dan kunt u altijd via een andere computer uw gegevens in de cloud raadplegen. Uw data is alleen beschikbaar voor diegene met de juiste rechten daartoe. Wanneer persoonsgegevens lokaal zijn opgeslagen, bijvoorbeeld op een interne harde schijf, zijn deze gemakkelijk te ‘kraken’. De ervaring leert dat datalekken vaak ontstaan door verloren of gestolen computers met daarop lokaal opgeslagen privacygevoelige informatie.

 

Door veranderingen binnen ons zorgstelsel en technologische ontwikkelingen komen vandaag de dag de persoonsgegevens van burgers in honderden (digitale) bestanden voor. De persoonsgegevens worden hiermee kwetsbaarder voor bewuste of onbewuste datalekken, of zelfs cybercriminaliteit. De cybercriminelen gaan de afgelopen jaren steeds geavanceerder te werk om persoonsgegevens te bemachtigen, met grote gevolgen voor de privacy van burgers (ransomware) en de bedrijfsvoering. Dit is een belangrijke reden geweest om de Wbp in mei 2016 te laten opvolgen door Europese privacyregelgeving.

 

Wat verandert er onder de AVG?

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht, ook wel bekend als General Data Protection Regulation (GDPR). De verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’ en vervangt zowel de verouderde dataprotectierichtlijn uit 1995 als de Wbp.

De AVG lijkt in grote lijnen op de Wbp:

  • het privacybeleid moet goed vastgelegd zijn;
  • er moeten duidelijke afspraken zijn tussen bewerkers en verantwoordelijken;
  • ook de procedure voor datalekken blijft belangrijk.

 

Wat verandert er onder de AVG? U krijgt meer verantwoordelijkheden en de positie van uw patiënten, personen van wie de gegevens worden vastgelegd, wordt versterkt. U moet een rechtvaardig doel hebben om de privacygevoelige informatie te bezitten dan wel te verwerken en vooraf aangeven waarvoor u informatie gaat gebruiken. De betreffende informatie mag niet zonder toestemming gebruikt worden voor andere doeleinden. Er zijn ook juridische termen die gaan veranderen: ‘bewerkers’ worden ‘verwerkers’ genoemd, en de ‘verantwoordelijke’ wordt voortaan ‘verwerkingsverantwoordelijke’. De AVG is in mei 2016 al in werking getreden zodat organisaties twee jaar de tijd hebben om hun processen, diensten en goederen hierop af te stemmen. Vanaf 25 mei 2018 dient iedereen de AVG na te leven. Houdt u zich niet aan de nieuwe regels? Dan riskeert u een boete van maximaal 20 miljoen euro of 4% van uw (wereldwijde) jaaromzet. De wettekst van de AVG bestaat uit een omvangrijk aantal pagina’s. Het ministerie van Veiligheid en Justitie biedt met het document ’Anticiperen op de Algemene verordening gegevensbescherming’ een handig stappenplan om u voor te bereiden op de AVG.

  

 

Deze stappen kunnen grote veranderingen met zich meebrengen die organisaties veel tijd kunnen kosten. De impact is afhankelijk van de mate waarin de Wbp van toepassing is op een organisatie en welke beheersmaatregelen er reeds zijn genomen. Adviesbureau PwC heeft in mei 2017 onder 327 organisaties een enquête afgenomen. Uit dit periodieke ‘Privacy Governance-onderzoek’ blijkt dat meer dan de helft van de organisaties nog niet begonnen was met voorbereidingen op de AVG. Slechts 12 procent was klaar voor de nieuwe Europese privacyregels. De Autoriteit Persoonsgegevens waarschuwt: “Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.”

 

Bewustwording

De eerste stap om u voor te bereiden op de AVG is bewustwording. Reflecteren op uw eigen gedrag zodat inzichtelijk wordt welke risico’s op een bepaald veiligheidsincident bestaan. Dit bewustzijn blijkt onder zorgverleners vaak laag te zijn. Niet zelden verschijnen er berichten over datalekken binnen de zorg. In 2016 zijn er in totaal 5.500 meldingen van datalekken gedaan en bijna een derde van deze meldingen was afkomstig uit de sector zorg en welzijn. Mischa van Geelen is ethisch hacker en onderzoekt hoe bedrijven en instanties beveiligd zijn in het gebruik van internet en computersystemen.

Van Geelen is tegen bangmakerij maar geeft aan dat een computer hacken vrij eenvoudig is en serieuze gevolgen kan hebben: “Het openen van een link in een ontvangen e-mail kan al genoeg zijn om ransomware te activeren. Een recent voorbeeld is de cyberaanval op meerdere ziekenhuizen in Engeland in mei van dit jaar. Medewerkers werden afgesloten van hun computers en afspraken met patiënten moesten worden geannuleerd. Complete afdelingen konden op afstand worden lamgelegd en ook alle systemen die maar een beetje computergestuurd worden, zoals een insulinepomp.”

 

Niet elk datalek is even ernstig, maar het blijft een feit dat met name in de zorg privacygevoelige informatie in verkeerde handen valt of kan vallen. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, benoemde eind 2016 in het NRC deze onzorgvuldige omgang met persoonsgegevens als ‘heel zorgelijk’. Wolfsen vermoedt dat er binnen de zorg ook sneller melding wordt gedaan van een datalek omdat er gewerkt wordt met gevoelige persoonsgegevens. De ervaring leert dat de meeste datalekken ontstaan door menselijke fouten, en niet door kwaadaardige hackers. Toch wil men het risico op cybercriminaliteit laag houden. Maar hoe goed zijn zorginstellingen beschermd tegen cybercriminaliteit? Van Geelen: “Ik denk dat zorginstellingen vandaag de dag nog te weinig beschermd zijn tegen cyberaanvallen. Het ontbreekt menigeen aan ‘awareness’. Maar dat komt wel vaker voor want ik zie dit ook bij gemeenten.”

 

U heeft tot 25 mei 2018 om
u voor te bereiden op de AVG

 

Wat kunt u doen?

Zorgverleners dienen te voldoen aan eisen die zijn opgenomen in de NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg, die is afgeleid van de internationale ISO 27001. Een norm die al lange tijd richting geeft aan de werkwijze en processen op het gebied van informatiebeveiliging binnen de zorg. Het is mogelijk om eenmalig een oordeel over de implementatie van deze richtlijn door een bevoegd auditkantoor aan te vragen, een zogenaamde ‘TPM’ (Third Party Memorandum). U kunt ook kiezen voor ‘certificeren’, waarmee u een commitment aangaat om een kwaliteitssysteem op te zetten, te onderhouden en regelmatig te (laten) controleren op bestaan en werking. Via certificering toont u als zorgverlener aan dat u een werkend kwaliteitssysteem heeft en in staat bent om dat systeem zelfstandig te laten functioneren. Gegevensbescherming is in een kwaliteitssysteem een doorlopend proces. Naast interne audits worden jaarlijks door een externe auditor het bestaan en werking van het kwaliteitssysteem gecontroleerd.

 

Wanneer zorgverleners echter met lokale software werken, zijn zij zelf volledig verantwoordelijk voor alle beveiligingsmaatregelen zoals opgenomen in de NEN 7510. Voor de meeste zorgverleners zijn deze maatregelen nauwelijks te realiseren waardoor zij een verhoogd risico lopen op aansprakelijkheid en een boete bij een datalek. Jan Pieter Schoon: “Incura en Abakus werken vanuit de cloud en nemen zo een groot deel van de verantwoordelijkheid voor gegevensbescherming op zich. Dit maakt het voor gebruikers eenvoudiger om hun eigen kwaliteitssysteem te implementeren. Gebruikers dienen onder andere zelf te zorgen voor goed wachtwoordbeheer, installatie en updates van het besturingssysteem en van hun antivirussoftware. Bij lokaal geïnstalleerde software draagt een zorgverlener aanzienlijk meer verantwoordelijkheid bij de bescherming van zijn persoonsgegevens.”

 

  

 

 

NEN 7510 belangrijk

De NEN 7510 is niet verplicht, maar heeft wel een verplichtend karakter. Wat betekent dit? NEN 7510 wordt bijvoorbeeld genoemd in artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die hoort bij de ‘Wet gebruik burgerservicenummer in de zorg’ (Wbsn-z). Ook onder de AVG is NEN 7510 een belangrijke norm. U bent dus niet verplicht om gecertificeerd te zijn voor NEN 7510 of om een TPM te hebben, maar u moet wel aantoonbaar voldoen aan de eisen die in de norm worden gesteld. Een TPM of certificering zijn algemeen geaccepteerde methoden om dit te aan te tonen.

 

Onder de AVG is het aanstellen van een Functionaris Gegevensbescherming voor de meeste organisaties een verplichting. Dit kan u helpen bij het implementeren van een kwaliteitssysteem. Een dergelijk systeem met bijbehorende audits biedt zekerheid en duurzaamheid. Jan Pieter Schoon: “Bij het opzetten van het kwaliteitssysteem kunnen zorgverleners steunen op beheersmaatregelen van ons als softwareleverancier, nu en in de toekomst. Graag helpen we zorgverleners verder met eventuele vragen over informatiebeveiliging. De veiligheid waarborgen van privacygevoelige informatie voelen wij als een gedeelde verantwoordelijkheid. Een NEN 7510-kwaliteitssysteem heeft grote voordelen die bewustzijn teweegbrengen, wat vervolgens tot verdere professionalisering leidt. Het is daarbij belangrijk dat u maatregelen neemt die passend zijn bij het risico dat wordt gelopen en bij de mogelijke impact van een onverhoopt incident.”

 

 

  

 

Gegevensbescherming binnen Incura & Abakus

 

Juist binnen de zorg is het belangrijk om uiterst zorgvuldig om te gaan met persoonsgegevens. In 2010 werd de webbased software Incura gelanceerd. Incura voldoet hiermee als eerste softwareleverancier aan de landelijke eisen van het Fysio-EPD. Deze eisen komen grotendeels overeen met de huidige ‘Algemene verordening gegevensbescherming’ (AVG). Incura en Abakus zijn gecertificeerd voor de beveiligingsnormen ISO 27001 én NEN 7510. Gebruikers kunnen er dus op vertrouwen dat hun gegevens veilig worden beheerd. Op 25 mei 2018 wordt de AVG van kracht, ook dan blijft NEN 7510 dé norm voor informatiebeveiliging binnen de zorg.

Wat zijn de belangrijkste beveiligingsmaatregelen binnen Incura en Abakus om de privacy van persoonsgegevens te waarborgen?

  • Om persoonsgegevens goed te kunnen beveiligen moet software aan steeds strengere systeemeisen voldoen. Er vinden regelmatig updates plaats binnen Incura & Abakus om te voldoen aan deze eisen.  
  • De identiteit van een gebruiker wordt altijd geverifieerd en per gebruiker kunnen verschillende toegangsrechten worden toegekend. Met 2-factor authenticatie wordt de veiligheid van het inlogproces van een informatiesysteem extra geborgd. Zo worden digitale persoonsgegevens nog beter beveiligd.  
  • Gegevens worden opgeslagen op externe, beveiligde cloudservers binnen Nederland. Elke nacht worden er back-ups gemaakt van de data. Daarnaast is bij inbraak of verlies van een computer het risico op een datalek geminimaliseerd. Gebruikers hoeven zelf geen back-ups te maken. Incura en Abakus nemen hiermee een groot deel van de verantwoordelijkheid voor gegevensbescherming op zich. Dit maakt het voor gebruikers eenvoudiger om hun eigen kwaliteitssysteem te implementeren. Gebruikers dienen onder andere zelf te zorgen voor goed wachtwoordbeheer, installatie en updates van het besturingssysteem en van hun antivirussoftware. Bij lokaal geïnstalleerde software draagt de zorgverlener aanzienlijk meer verantwoordelijkheid bij de bescherming van persoonsgegevens.  
  • Vertrouwelijke gegevens worden alleen verstuurd wanneer dit noodzakelijk is en voorzien van encryptie. Ook ontvangen informatie wordt op dezelfde wijze gecontroleerd.  

Binnen Incura en Abakus geldt er vergaande organisatorische functiescheiding en wordt gewerkt met vaste procedures die tijdig afwijkingen kunnen signaleren en zo nodig corrigeren. Ook besteden zij alleen werkzaamheden uit indien de betreffende leverancier, een zogenaamde subverwerker, is gescreend en deze de doelstellingen van het kwaliteitssysteem onderschrijft.

 

Ook aan de slag met NEN 7510?

Volg dan ons gratis webinar ‘NEN 7510 in 10 stappen’. Meld u nu aan!