Tech

Beheersing van digitale risico's in de zorg

Een verzekering tegen brandschade is gemeengoed onder zorginstellingen, maar hoe zit dat met een verzekering voor cyberrisico's? Grote kans dat uw instelling die nog niet heeft, terwijl schade in Nederland door digitale incidenten ruim tien keer groter is dan schade door brand.

Voor zorginstellingen staat kwalitatief hoogwaardige zorg voor hun patiënten bovenaan. Maar kans en impact van digitale incidenten nemen toe – ook in de zorgsector. Bent u zich ervan bewust dat cyberrisico’s uw instelling serieus bedreigen? Het gaat bij deze risico’s niet alleen om kwade opzet, zoals diefstal van gegevens. Ook een onschuldige technische storing kan tot problemen leiden, zoals uitval van systemen. De impact van cyberincidenten kan zich breed laten gelden: van de veiligheid van patiënten en medewerkers tot de continuïteit van uw dienstverlening en het publieke vertrouwen in uw instelling.

Vertrouwen geschaad

Steeds vaker is er wél opzet in het spel. Het aantal hacks en datalekken neemt toe. Een verontrustende ontwikkeling, omdat zorginstellingen steeds meer gevoelige patiëntgegevens bewaren. Als die vrij toegankelijk op internet of sociale media belanden, schaadt dat het vertrouwen van uw patiënten. In extreme gevallen is het zelfs een bedreiging voor het voortbestaan van uw organisatie. Patiënten vertrouwen op discretie, zeker als het om hun vertrouwelijke medische gegevens gaat.

Het is niet alleen een morele plicht om privacygevoelige gegevens goed te beschermen. Er gelden ook wettelijke voorschriften, die bovendien steeds verder worden uitgebreid. Zo stemde de Tweede Kamer in februari in met een wetsvoorstel dat het verzwijgen van een datalek strafbaar stelt. En de Europese Privacy Verordening die nu in de maak is, verplicht organisaties om persoonlijke gegevens van klanten en cliënten gedegen af te schermen. Doen ze dat niet, dan zijn de boetes fors: tot wel een tiende van de jaarlijkse omzet.

Digitale risico's

Gezien de afhankelijkheid van externe partijen, de complexiteit en mogelijke financiële impact van deze risico’s vind ik het bijzonder om in mijn werk te constateren dat nog geen kwart van de organisaties zich tegen de gevolgen van systeemuitval of verlies van data verzekerd heeft. De voornaamste oorzaak is dat cyber security te weinig aandacht krijgt op het hoogste niveau; het is aan managers en bestuurders om digitale risico’s binnen hun organisatie te adresseren en om budget vrij te maken voor passende beheersing ervan.

In sommige gevallen zijn bestuurders zelfs hoofdelijk aansprakelijk te stellen als zij cyberrisico’s niet goed ondervangen hebben. De vraag voor hen is dan: ben ik aantoonbaar in control, en waaruit blijkt dat de interne beheersmaatregelen in de praktijk ook daadwerkelijk worden nageleefd?

Totale veiligheid

Veel organisaties leggen de nadruk op het voorkomen van cyberincidenten. Volgens sommigen kan de firewall niet hoog genoeg zijn. Helaas is totale veiligheid een illusie gezien de veranderlijke aard van cyberrisico’s. Het advies is dus om ook aandacht te besteden aan de te verwachten impact. Weet u wat de consequenties zijn als het toch misgaat? In hoeverre is uw instelling nu voldoende voorbereid?

De beoordeling van digitale risico’s vanuit het perspectief van risicomanagement biedt meer dan alleen security-oplossingen gericht op het wegnemen van oorzaken. Ook een gedegen voorbereiding en een adequate reactie zijn van groot belang. Dat geldt tevens voor het financieren van bijkomende kosten middels verzekeringsoplossingen.

Schade voorkomen

Hoewel de bedreigingen toenemen, zijn er goede mogelijkheden om de gevolgen van cyberrisico’s zo veel mogelijk af te dekken. Wij ondersteunen organisaties bij het in kaart brengen van de cyberrisico’s en de financiële consequenties daarvan. Een juiste mix van maatregelen om onverhoopte schade zoveel mogelijk te voorkomen of te beperken, is het uiteindelijke doel. Optimale bescherming tegen cyberrisico’s binnen de gezondheidszorg vergt voorbereiding op een brede impact – niet in de laatste plaats op financiële schade.

Mark Buningh

 

2 Reacties

om een reactie achter te laten

L S

12 april 2015

Bedankt voor dit hilarische blog. Angst is in de financiële wereld de beste raadgever blijkt maar weer eens.

Dit soort verkopers begrijpt nog niet dat het medische dossier eigendom is van de patiënt zelf. Zal ik u nu eens geheel gratis het beste duurzame advies geven? Gewoon omdat dat ook kan?

Laat de patiënt, de rechtmatige eigenaar van het dossier, gewoon zelf zijn dossier beheren. Net als die zijn eigen e-mail beheert. MRI laten maken, we mailen de scans wel even door naar de persoonlijke account van de patiënt zelf. In te loggen via bijvoorbeeld digi-d of bijvoorbeeld via een toekomstige aanbieder naar keuze van de consument. Beveiligingsrisico's worden gedragen door de partijen die de persoonlijke accounts beheren en de eventuele bijbehorende kosten worden dus persoonlijk afgewikkeld.

Zorginstellingen hebben niet de prioriteit bij dataopslag en beveiliging, maar bij zorg, de beste tegen laagste kosten. Zeker niet om zich te verzekeren voor dit soort bangmaakrisico's. Dit wordt namelijk op een goedkope, simpele en verantwoorde manier aan de consument zelf overgelaten. Gewoon omdat dat ook kan.

Misschien moet u een nieuw businessmodel in de markt gaan zetten. Hou dan vooral rekening met duurzaamheid, betrouwbaarheid, integriteit en dienstbaarheid. Op bangmakerij zitten de meeste professionals in de collectieve dienstverlening niet te wachten.

Mark Buningh

14 april 2015

Beste LS,

Dank voor je reactie. De zorginstellingen en ziekenhuizen die ik over dit onderwerp spreek, zijn over het algemeen geinteresseerd in de beschreven aanpak van risicomanagement en risicofinanciering (met een 'vies' woord: verzekeren). Vanwege hun primaire zorgtaak willen zij beveiligingsrisico's “en de eventuele bijbehorende kosten” dus juist níet persoonlijk afwikkelen.

Daarnaast betoog ik in mijn blog dat de Gezondheidszorg steeds afhankelijker is geworden van ICT. En dat dit niet een keuze betreft tussen “de prioriteit bij dataopslag en beveiliging” en zorg, maar een combinatie daarvan.

Top