Cybersecurity in de zorg: de kansen en de uitdagingen

Digitale bedreigingen zijn aan de orde van de dag. Ook in de zorgsector zijn de uitdagingen groot. Zo wisten criminelen met de WannaCry-ransomware medio 2017 onder andere meerdere Britse ziekenhuizen plat te leggen. Hoe is het gesteld met de digitale veiligheid in Nederland? Welk effect kunnen dreigingen hebben op de zorgsector en wat kan hieraan gedaan worden? Aan het woord namens de Cyber Security Raad (CSR) Hans de Jong, covoorzitter van de raad namens VNO-NCW en president Philips Nederland en Ruben Wenselaar, lid van de raad namens de zorgsector en voorzitter van de Raad van Bestuur van zorgverzekeraar Menzis.

“Nederland moet een veilige, open en welvarende samenleving zijn en blijven”, stelt De Jong (VNO-NCW). “De ontwikkelingen in het digitale domein bieden veel economische en maatschappelijke kansen die we alleen kunnen verzilveren als Nederland digitaal veilig is. Nieuwe technologieën ontwikkelen zich razendsnel en zijn een belangrijke drijfveer voor innovatie en economische groei, zeker ook in de zorgsector. De impact en snelheid waarmee technologie zich ontwikkelt, vragen om een dynamische aanpak die aangepast moet kunnen worden aan veranderende dreigingen.” De Jong verwijst daarbij naar de meest recente uitgave van het Cybersecuritybeeld Nederland 2018 (CSBN 2018). In deze jaarlijkse uitgave blijkt opnieuw dat Nederland een aantrekkelijk doelwit voor cybercriminaliteit is en blijft. “Vooral beroepscriminelen en statelijke actoren vormen nog altijd de grootste dreiging en richten de meeste schade aan door digitale sabotage en economische en politieke spionage. Er is sprake van een continue digitale dreiging voor de nationale veiligheid. Door de toegenomen digitale afhankelijkheid kunnen de gevolgen van aanvallen en uitval groot en zelfs maatschappij-ontwrichtend zijn. In de zorg kan dit bijvoorbeeld inhouden dat patiënten niet worden geholpen, omdat poliklinieken dicht gaan of dat operaties worden uitgesteld.”

Kansen voor de zorg

Wenselaar (Menzis) is het eens met zowel de kansen als de uitdagingen die de digitalisering van de samenleving met zich meebrengt voor de zorgsector. Er kunnen volgens hem veel kansen verzilverd worden: “Denk aan ingrijpende innovaties zoals zorg op afstand. Steeds meer medisch apparatuur kan met elkaar ‘communiceren’ en dankzij de digitalisering kunnen we de zorg een stuk efficiënter maken. Dit heeft veel voordelen voor de patiënt, zoals vaker hulp vanuit thuis, dus meer flexibiliteit en door efficiënte inzet en deling van wereldwijde kennis zelfs een hogere kans op genezing.” Niet onbelangrijk vindt Wenselaar dat innovaties helpen de zorg betaalbaar te houden. De uitdagingen die die de digitalisering met zich meebrengt, gelden volgens Wenselaar zeker ook voor de zorgsector. Volgens hem loopt de Nederlandse zorgsector achter bij andere branches in het vrijmaken van budgetten voor implementeren en beheren van cybersecurity-maatregelen. “Daar moet veel meer aandacht voor zijn. Zorgorganisaties richten zich nog steeds te veel op de fysieke kant van patiëntveiligheid, de cyberkant wordt nog te vaak onderschat. Denk aan processen die ontregeld kunnen worden, zoals we dat ook zagen bij de WannaCry-aanval waarbij Britse ziekenhuizen gedwongen werden om afdelingen te sluiten.”

Borgen privacy, opslag gegevens

Een andere belangrijke uitdaging die Wenselaar benoemt, is de privacy van medische gegevens. “Het borgen van de privacy van deze gegevens is prioriteit. Zeker sinds de komst van de Algemene verordening gegevensbescherming (AVG) in mei vorig jaar. Steeds meer medische gegevens ‘reizen’ over het netwerk. Dat vereist een zorgvuldige authenticatie en veilig transport van de data. Zorgorganisaties zijn en blijven verantwoordelijk voor deze medische gegevens en moeten hiervoor garant staan.” Ook de beveiliging van de opslag van de gegevens is belangrijk volgens Wenselaar: “Cruciaal is waar de gegevens staan, óók in fysieke zin, en hoe ze worden beveiligd.”

Nederland in voorhoede

Op de vraag of we ons in Nederland zorgen moeten maken over de digitale veiligheid zijn beide heren positief gestemd. “Nederland bevindt zich in de voorhoede als het gaat om digitalisering”, antwoordt De Jong. “We blijven echter een aantrekkelijk doelwit voor cyberactoren. Dat vraagt onze structurele aandacht. Samen zijn we verantwoordelijk om veilig en met een samenhangende aanpak in te spelen op alle technologische ontwikkelingen.”

Vanuit de raad zetten De Jong en Wenselaar zich samen met de overige raadsleden actief in om Nederland een digitaal veilig, open en welvarende samenleving te laten blijven. “De raad draagt bij aan deze ambitie door vooruit te kijken en te signaleren wat er op Nederland afkomt en ook te adviseren over wat er in Nederland zou moeten gebeuren.”

Rapport Verhagen

Om bovengenoemde reden heeft de raad Herna Verhagen, CEO PostNL, verzocht hierover een advies uit te brengen. In haar rapport ‘De economische en maatschappelijke noodzaak van meer cybersecurity’, stelt zij dat de kansen en bedreigingen van digitalisering nog onvoldoende op ons netvlies staan en geen integraal onderdeel van ons denken en doen uitmaken. “Er is meer aandacht voor cybersecurity nodig”, vervolgt De Jong. “Een van de belangrijkste adviezen uit het rapport Verhagen is om meer te investeren in de digitale veiligheid. Organisaties zijn zelf verantwoordelijk voor hun cybersecurity, ook in de zorgsector.” Het is een verantwoordelijkheid van de gehele boardroom. Zo adviseert Verhagen bedrijven en organisaties minimaal 10 procent van hun IT-budget aan cybersecurity te besteden.

Samenwerken aandachtspunt

Naast de bewustwording van de risico’s en de maatstaf voor investering in cybersecurity is samenwerking ook een belangrijk aandachtspunt in het rapport van Verhagen. Wenselaar: “Om daadkrachtig te kunnen reageren op de toename van de digitale dreiging is samenwerking van groot belang. Zorginstellingen moeten onderling samenwerken en beschikken over adequate capaciteiten en middelen. Samen zijn we immers sterker. Vanuit de raad kijken we bijvoorbeeld samen met brancheorganisaties hoe de hele keten kan worden versterkt. Ook speelt wetenschappelijk onderzoek op het terrein van cybersecurity een belangrijke rol.” De raad is in Nederland niet de enige instantie die actief is op het vlak van cybersecurity. Zo is er bijvoorbeeld het Nationaal Cyber Security Centrum (NCSC) en het onlangs opgerichte Digital Trust Center. De raad heeft nauw contact met deze organisaties. Wenselaar: “Het NCSC is vooral gericht op de Rijksoverheid en organisaties in de vitale infrastructuur, zoals water-, energie- en telecombedrijven. Het afgelopen jaar is daar het Digital Trust Center bij gekomen, dat in samenwerking met het NCSC het gehele bedrijfsleven digitaal weerbaarder moet maken. Verder is begin vorig jaar Z-CERT gelanceerd, een expertisecentrum op het gebied van cybersecurity in de zorg.”

Dit artikel is gepubliceerd in de meest recente editie van het vakblad ICT & Health (editie 1, 2019).