Van cybercrime tot onbedoeld datalek

“De grootste risico’s? Cyberspionage en cybercrime. Het is dus erg breed en varieert van cybercriminelen die gericht naar informatie zoeken tot gijzelingssoftware die hele digitale systemen platlegt. Daarbij zien we dat de dreiging op het gebied van cybersecurity toeneemt. Het is dan ook belangrijk dat overheid, bedrijven en organisaties zowel operationeel als strategisch samen blijven werken om Nederland digitaal weerbaar te houden. Als we specifiek naar de informatiebeveiliging in de zorg kijken, zien we nog veel ruimte voor verbetering. Dat komt niet door een gebrek aan kennis of vaardigheden van de securityprofessionals die dagelijks met de ICT-systemen werken. Het probleem ligt vooral bij het bewustzijn op bestuurlijk niveau: dat bewustzijn groeit weliswaar, maar er is echt nog een inhaalslag nodig. Ondertussen zien we ook positieve ontwikkelingen. Zo is afgelopen april de Zorg-CERT opgericht, een Computer Emergency Response Team voor de zorgsector. Aangesloten leden kunnen nu gespecialiseerde ICT-professionals inschakelen bij cybersecurity-incidenten. Als NCSC juichen we dit soort initiatieven toe. Zo ook de bijeenkomsten waarbij Intrakoop dit onderwerp onder de aandacht van haar leden brengt. Onlangs heeft een van onze medewerkers, security-specialist Hugo Leisink, op zo’n bijeenkomst uitgelegd wat de meest voorkomende dreigingen zijn en hoe je jezelf daar als organisatie tegen kunt weren.” 

“Als het over informatieveiligheid gaat, denken veel mensen meteen aan systemen. Ze proberen alles zo goed mogelijk dicht te timmeren met firewalls en andere ICT-oplossingen. Maar ze vergeten dat informatieveiligheid valt of staat met het gedrag van individuele medewerkers. Als zij zonder toestemming van de cliënt informatie over zijn situatie delen, is er feitelijk gezien al sprake van een datalek. Binnen de verslavingszorg zijn privacyregels natuurlijk heel expliciet aan de orde. Als onze medewerkers informatie willen delen, overleggen ze dat dan ook standaard met de cliënt. Daarbij leggen ze ook uit waarom ze die gegevens willen delen. Bijvoorbeeld omdat een andere partij die informatie kan gebruiken om een cliënt op bepaald vlak verder te helpen. Als de cliënt akkoord is, laten we een toestemmingsverklaring ondertekenen. Dat is onze standaard werkwijze. Van andere organisaties krijgen we weleens het verwijt dat we nooit gegevens willen delen. Het is van onze medewerkers geen onwil, maar we willen juist de privacyregels respecteren en de wettelijke regels volgen. Binnen de zorgwereld is dat bewustzijn helaas nog lang niet overal aanwezig. Natuurlijk gaat er bij ons ook nog weleens wat fout. Daarom vragen we ons voortdurend af wat we nog meer kunnen doen. Dat is misschien nog wel het lastigste van informatieveiligheid: je bent nooit klaar.”

“In gesprekken met zorgorganisaties kregen we steeds vaker hulpvragen over privacy. Onze uitdaging is om het thema vanuit verschillende invalshoeken, in hapklare brokken, bespreekbaar te maken. Binnen de zorg moet je goede afspraken maken over hoe je met gegevens van cliënten en medewerkers omgaat. Niet alleen intern, maar vooral ook met de externe partijen waarmee je samenwerkt. Die afspraken kun je in een bewerkersovereenkomst vastleggen. Tegelijkertijd moet je er natuurlijk wel voor zorgen dat iedereen in de eigen organisatie op een zorgvuldige manier met data omgaat. Veel grote organisaties hebben daarom een FG: een functionaris voor de gegevensbescherming. Tijdens de bijeenkomst ‘Privacy in de zorg’ hebben we bij de aanwezige leden gepolst waar zij nog hulp bij kunnen gebruiken en welke rol Intrakoop daarbij zou kunnen spelen. ‘Help ons bij het opstellen van bewerkersovereenkomsten’, was het eerste wat ze zeiden. Maar feitelijk doen we dat al: sinds eind 2015 zijn bewerkersovereenkomsten een standaard onderdeel van de overeenkomsten die onze leden met bepaalde leveranciers sluiten. Een tweede wens van leden is om via Intrakoop FG’s kunnen inhuren, bijvoorbeeld voor één dag per week. Die mogelijkheid zijn we nu aan het onderzoeken. Ook gaven alle aanwezigen aan dat ze Intrakoop als kennisplatform willen gebruiken. Zo zouden ze graag over specifieke onderwerpen hun kennis en ervaring willen delen, bijvoorbeeld tijdens themabijeenkomsten. Wordt vervolgd!”