Tech

Zorgverzekeraars zien cloud niet zitten

Zorgverzekeraars zien cloud niet zitten

Zorgverzekeraars slaan privacygevoelige gegevens vrijwel uitsluitend in eigen datacentra op. De verzekeraars denken dat deze gegevens daarmee beter beschermd zijn tegen diefstal, datalekken of andere digitale calamiteiten dan bij opslag in de cloud.

Dit blijkt uit een enquête van Skipr onder de zorgverzekeraars. “In het algemeen slaan wij privacygevoelige digitale data lokaal op omdat we daar de beste beveiligingsmaatregelen kunnen implementeren”, zegt  Information Risk Manager Johan van Beek  van Zilveren Kruis. “Als je iets opslaat bij een cloud dienstverlener ben je vaak afhankelijk van een beperkte set van beveiligingsmaatregelen en dat is in zo’n geval voor ons onacceptabel.”

Zacht doelwit

De enquête is mede ingegeven door grootschalige datadiefstallen waar Amerikaanse zorgverzekeraars zich het afgelopen jaar mee geconfronteerd zagen. Bij vier verschillende zorgverzekeraars werden in 2015 de persoonlijke gegevens van bijna 100 miljoen verzekerden gestolen. Gemeten over de laatste drie jaar is de zorg goed geweest voor meer van 40 procent van de datalekken in de VS. 

Volgens de FBI zijn de systemen van zorgverzekeraars een relatief zacht doelwit. "De zorgsector heeft in vergelijking met de financiële en retail sector minder weerstand tegen digitale aanvallen, hetgeen de kans op zulke aanvallen vergroot", zo constateerde de Amerikaanse opsporingsdienst.

Dagelijkse kost

Uit de Skipr-enquête komt naar voren dat de Nederlandse zorgverzekeraars digitale veiligheid in ieder geval hoog op de agenda hebben staan. “Zorgverzekeraars hebben ontzettend veel medische gegevens, dus beveiliging is dagelijkse kost”, aldus Van Beek.

Dit bewustzijn vertaalt zich in diverse concrete beveiligingsmaatregelen. Naast de afgeschermde opslag van gevoelige gegevens kiezen ettelijke zorgverzekeraars inmiddels voor dubbele versleuteling. Informatie die extern via het Vecozo-communicatiepunt verloopt wordt sowieso al versleuteld, maar verschillende verzekeraars gebruiken ook bij interne communicatie versleuteling.

Alle bevraagde verzekeraars zeggen een actief wachtwoordenbeleid te voeren en daar ook toezicht op te houden. Daarnaast handelen de zorgverzekeraars naar eigen zeggen ook op anderen manieren proactief. Zo laten verschillende verzekeraars aan de hand van dreigingsanalyses regelmatig externe penetratietests uitvoeren door ingehuurde hackers.

Harde criminaliteit  

Toch maken de experts op het gebied van digitale veiligheid zich geen illusies. Honderd procent veiligheid bestaat niet, zo luidt het unanieme oordeel. “Medische gegevens zijn veel waard”, zegt Van Beek. “Hoewel wij vergeleken met grote bedrijven in de VS vaak minder gegevens verwerken is het uiteraard ook denkbaar dat dit in Nederland gebeurd.”
“Waar ik wakker van lig is de verschuiving van studentikoze jool naar harde cybercriminaliteit”, zegt Ton van Rhijn, directeur ICT bij zorgverzekeraar CZ. “Het gaat niet langer om slimme hackers, maar om georganiseerde misdaad, die alle tijd en middelen heeft. Kijk maar naar de recente hacks bij de Bundestag of Sony. Daar is maanden voorbereiding aan vooraf gegaan. Wij merken aan onze firewalls dat er elke dag aan de deur wordt gemorreld en dat we bekogeld worden met ransomeware.”

Deze professionalisering van de cybercriminaliteit baart de deskundigen met name zorgen omdat ze hand in hand gaat met een toename van digitale dienstverlening via het internet en de groeiende roep om verzekerden inzage te geven in meer en gedetailleerdere gezondheidsgegevens. Daarmee dienen zich in potentie nieuwe kwetsbare plekken in de digitale informatieketen aan. Mede om deze reden stellen verschillende  zorgverzekeraars bij de zorginkoop inmiddels ook eisen aan de digitale veiligheidsbeleid van zorgaanbieders.

 

In Skipr magazine 01, januari 2016 is een achtergrondartikel verschenen over digitale veiligheid in de zorg.

 

 

1 Reacties

om een reactie achter te laten

Marleen van Amersfoort

30 december 2015

Met de toenemende afhankelijkheid van IT neemt inderdaad ook de kwetsbaarheid van verzekeraars en zorgorganisaties toe. Cybercriminaliteit vormt een serieuze bedreiging. Deze dreiging komt echter niet alleen van buiten. Onbedoeld kunnen ook medewerkers de organisatie schade toebrengen. Een klein foutje kan grote gevolgen hebben.
In mei 2015 heeft de Eerste kamer een nieuwe wet aangenomen die organisaties verplicht om datalekken onverwijld te melden. De Autoriteit Persoonsgegevens zal dit per 2016 gaan handhaven en heeft als richtlijn aangegeven dat datalekken binnen 72 uur moeten worden gemeld. Zowel aan de Autoriteit als aan de patiënten getroffen door het datalek.
Of het nu zo verstandig om de cloud af te wijzen, zoals in bovenstaand artikel naar voren komt, dat lijkt mij niet. Beter is snel te voldoen aan de vereisten van de wet meldplicht datalekken én te zorgen voor het vergroten van het privacy bewustzijn onder medewerkers. Hierbij kan geleerd worden van concrete ervaringen hiermee, ook in andere sectoren (denk bijvoorbeeld aan de bancaire sector).
Door te investeren in het compliant zijn in proces én gedrag slaan verzekeraars en zorgorganisaties drie vliegen in één klap: het verlagen van het risico van het ontstaan van datalekken, het snel en beter inzicht krijgen door de Autoriteit Persoonsgegevens in de aard, omvang en plaats van datalekken in Nederland en het voorkomen forse boetes en reputatieschade door te voldoen aan de wet meldplicht datalekken.

Top