Binnen de zorg wordt gewerkt met zeer privacygevoelige informatie. Toch komt 41 procent van de datalekken in Nederland vanuit de zorgsector en bijna de helft van de zorgorganisaties had het afgelopen jaar te maken met een datalek. Hoe gaan we dat voorkomen? Er zijn richtlijnen als de NEN7510 en er is nieuwe cybersecurity-wetgeving in aantocht, zoals de Network and Information Security Directive (NIS2). Tijdens het Skipr-webinar Data & Security gaan Marcel Floor, MT-lid i-beleid bij de Directie Informatiebeleid bij het ministerie van VWS, en Jacqueline de Vries, advocaat VvAA Legal, nader in op de vraag hoe organisaties daarmee moeten omgaan. Hun devies? Wacht niet op wet- en regelgeving, ga nu al aan de slag!

Het is niet zo dat zorgorganisaties helemaal onbekend zijn met datasecurity. Tijdens het webinar zegt 71 procent van de deelnemers er mee bezig te zijn, maar voor 26 procent is dat nog niet genoeg. De schrik zit er best in, want of het nou gaat om een ziekenhuis, vvt-instelling, de ggz of de ghz: een datalek of een hack heeft enorme gevolgen voor de continuïteit van zorg!

NEN7510

Marcel Floor gaat tijdens het webinar in op de intrinsieke en de extrinsieke motivatie voor elke zorgorganisatie om met datasecurity aan de slag te gaan en een goede cyberveiligheidsstrategie te hebben. Een lichtend voorbeeld is hoe Ambulancezorg Nederland, gecertificeerd beveiligd volgens de NEN7510-norm, data deelt met de spoedzorg in ziekenhuizen. Marcel Floor: “Het gaat om samenwerking, je zult het met elkaar moeten doen. Organisaties zijn altijd onderdeel van een netwerk en de hele keten is zo sterk als de zwakste schakel.” Hij pleit er dan ook voor dat grote partijen – zoals bijvoorbeeld academische ziekenhuizen – de kleinere helpen door het delen van kennis en ervaring. “Niemand kan op de handen blijven zitten. Met elkaar moeten we blijvend bewegen naar een hoger securityniveau. Dat vraagt permanente inspanning.”

NIS2

Maar er zijn ook prikkels van buitenaf om dit goed te doen. Marcel Floor legt de stand van zaken uit rondom de invoering van de NIS2. Dat is Europese wetgeving die nu door VWS wordt aangepast aan de Nederlandse situatie in de zorg. Januari 2024 start een internetconsultatie waar alle zorgorganisaties aan mee kunnen doen. Onderdeel van de nieuwe NIS2 wordt een aparte paragraaf over bestuurdersaansprakelijkheid. Het illustreert het belang van inbedding van cybersecurity vanuit de boardroom naar de hele organisatie. In oktober 2024 zal de wet worden gepubliceerd en aangepast. Maar die wetgeving vormt het sluitstuk en niet het startpunt, betoogt Floor. “Dus daar moet jouw organisaties niet op wachten”, zo waarschuwt hij. “Ga nu al aan de slag! Een goede start vormen de normen van de NEN7510. Daarnaast kun je voor veel praktische tips en tools kijken op www.gegevensuitwisselingindezorg.nl.”

Boetes

Het is niet zo gek dat er zoveel datalekken in de zorg zijn want de waarde van medische informatie is hoog, legt juriste Jacqueline de Vries uit. “Op het dark web wordt zo een paar honderd euro geboden op een medisch dossier.” En een datalek ligt in een klein hoekje. Door een verkeerd ingetypt mailadres kan het al fout gaan en belandt informatie bij de verkeerde persoon. Veel zorgorganisaties vragen zich dan ook af wat zij bij een datalek moeten doen. “Onderzoek eerst of je het moet melden aan de Autoriteit Persoonsgegevens (AP)”, zegt De Vries. “Mijn advies is: meld liever wel dan niet. Beter onnodig gemeld, dan onterecht niet gemeld.” Als er inderdaad een overtreding wordt vastgesteld, kan de AP een boete opleggen. Jacqueline de Vries heeft wat jurisprudentie meegenomen. Zo kreeg het Haga Ziekenhuis een forse boete opgelegd voor het onvoldoende toezicht houden op login-gegevens (waardoor het dossier van ‘Barbie’ op straat kwam te liggen). Het ziekenhuis voldeed zo niet aan de NEN7510-normen. En een orthodontiepraktijk kreeg een boete omdat het de website niet goed beveiligd had, terwijl de praktijk wel om BSN-nummers van patiënten vroeg. “Het is niet voor niets dat de IGJ steeds meer toetst op toepassing van de NEN7510”, aldus De Vries. “Daarbij kijkt de inspectie niet alleen óf een organisatie de norm toepast, maar ook hoe die geïmplementeerd is en vastgelegd in protocollen. Als je er aantoonbaar mee bezig bent, dan ben je voor de IGJ al op de goede weg.”

Losgeld

Maar een datalek kan nog veel meer gevolgen hebben, laat de advocate van VvAA zien. “Je hebt te maken met aansprakelijkheid of bedrijfsstagnatie. Daar kun je je tegen verzekeren, maar ook dan moet je je aantoonbaar aan wetten en normen houden.” Daarnaast speelt de vraag of een zorgorganisatie bij een hack ook losgeld moet betalen. De rijksoverheid raadt aan om nooit te betalen, maar de praktijk wijst soms anders uit. Dat verschilt per individueel geval, constateert De Vries. “Dus laat je vooral adviseren door een crisisteam of cyberdeskundigen.”

Openheid

Er zijn dus allerlei manieren om je te wapenen al dan niet ingegeven vanuit de overheid, zo laten Marcel Floor en Jacqueline de Vries zien. En toch gaan we incidenten blijven zien, ook in 2024. “We moeten naar een groter bewustzijn, zodat we de impact kunnen verkleinen”, zegt Floor. “Dat kan alleen door van elkaar te leren.” Wetgeving, inclusief meldplicht en informatieplicht, is daarvoor bedoeld. Maar de afzonderlijke partijen zullen daar naar elkaar toe ook open over moeten zijn, betoogt De Vries. “Zorgorganisaties moeten zich niet schamen over dingen die misgaan. Het gaat er om hoe ze daarmee omgaan.”