Hoe verhoog je digitale weerbaarheid in de zorg?

ICT is in de zorg begonnen als hulpmiddel, maar heeft een steeds prominentere rol gekregen, mede als manier om de groeiende druk op de zorg te verlichten. Daarmee nemen ook de cyberrisico’s toe. Digitale systemen en data zijn heel belangrijk om goede zorg te kunnen - en blijven - leveren, wat de core business is van de sector. “Je ziet een voortdurend spanningsveld tussen de behoefte aan voldoende beveiliging en privacy enerzijds en de wens tot voldoende en gebruiksvriendelijke toegang tot data”, merkt Post op. “De zorg is een van de weinige sectoren waarin dit spanningsveld zo groot is. Het is heel moeilijk om die precaire balans op orde te brengen.” 

Care versus cure 

Het is wel van belang om niet de hele zorg over één kam te scheren in de aanpak om die balans te realiseren, stelt Post. “In de cure denkt men nog vaak grip te hebben op hun ICT door veel op de eigen locatie – on prem – te laten draaien. Maar paradoxaal genoeg is het binnen de eigen muren hebben van systemen en data niet altijd veiliger dan bijvoorbeeld in een publieke of private cloud.” 

Zo ligt de verantwoordelijkheid als het misgaat duidelijk bij de zorgaanbieder. En de tijd, energie en kosten om alles te beschermen zijn groot en worden steeds groter. Post: "Geleidelijk aan zie je dan ook steeds meer organisaties die een balans zoeken en vinden tussen zelf grip hebben en veilig uitbesteden." 

Dit proces is al langer gaande in de care. Steeds meer zorgaanbieders hier nemen kant-en-klare oplossingen af van een IT-dienstverlener. In dat geval is security ook veel meer een gedeelde verantwoordelijkheid. “Een uitdaging is hier het duidelijk krijgen wie welke rol neemt. Het is vaak een onuitgesproken verwachting dat ‘mijn dienstverlener mijn data goed beveiligt’. Maar dan moet die dienstverlener weten welke data er zijn en wat de verschillende niveaus van security moeten zijn. Want niet alle data zijn even belangrijk.” 

Verdeling van verantwoordelijkheid 

Meestal komen zorgaanbieders er nu achter dat hun verwachting niet klopt wanneer data gestolen wordt of verloren raakt, of wanneer systemen niet meer werken. Het is volgens Post dan ook nodig om allereerst te identificeren wat er belangrijk is, vervolgens de juiste beveiligingsmaatregelen te kiezen en ten derde plannen te maken voor als er toch iets misgaat.  

“Wij gaan in ieder geval proactief het gesprek hierover aan met zorgaanbieders”, benadrukt Post. “Zo hebben we als KPN een uitgebreide, openbare set security policies die standaard voor elke dienst gelden. Denk aan netwerkmonitoring, incident response, redundancy door bijvoorbeeld bekabeling in de grond, zoals bij ons E-Zorg netwerk. Dat is onze basislijn waar we aan voldoen en die we ook aan klanten leveren. Maar we maken ook duidelijk waar de verantwoordelijkheden van de zorgaanbieders liggen. Ook zij moeten weten waar hun risico’s liggen, welke risico’s aanvaardbaar zijn, en ervoor zorgen dat er een regelmatig geupdate security-beleid is met maatregelen voor als er toch iets misgaat.” 

Onvoldoende gehoord 

Uit het Future of Work-onderzoek komt overigens een duidelijk verschil naar voren tussen het IT- en het bestuurlijke domein. IT-professionals gaven in het onderzoek – en tijdens regelmatig georganiseerde securityrondetafelsessies voor de zorg - aan dat zij zich onvoldoende gehoord voelen als het gaat om hun verantwoordelijkheid. IT moet voldoen aan bepaalde eisen, zoals de NEN 7510 norm en binnenkort de Cyberveiligheidswet (Cbw) – de Nederlandse doorvertaling van de Europese NIS2-richtlijn. Maar volgens hen maken bestuurders hiervoor te weinig middelen vrij: tijd, capaciteit, geld.  

Wetgeving zoals de Cbw en normen zoals NEN 7510 brengen wel verandering in deze positie van bestuurders, herkent Post. Zo stelt de Cbw bestuurders hoofdelijk aansprakelijk voor laakbare fouten op cybersecurity-gebied. Post raadt IT- en securityprofessionals dan ook aan dit soort wetgevingen en normen als een kans te zien om op positieve wijze het gesprek aan te gaan met bestuurders en wat het betekent op begrijpelijke wijze uit te leggen. 

“Neem het bestuurlijk kader mee op een field trip. Laat hen zelf merken wat de scenario’s zijn, wat er mis kan gaan. Maak daar een ranglijst van, samen met bestuur en zorgmedewerkers. Moet je de medicatieketen als topprioriteit zien om tegen uitval te beschermen of je MRI-scanners? Gaat het om de toegang tot medische data van patiënten of cliënten voor zorgprofessionals?”  

Door dat te combineren met risico’s – zoals wanneer je niet aan een zorg- of meldplicht voldoet, kun je als IT en bestuur samen tot een goed beleid komen, verwacht Post. Zo kun je als IT’er ook ankeren welke maatregelen wanneer en waar getroffen moeten worden en daarin het bestuur en personeel meenemen. Zodat men bijvoorbeeld begrijpt waarom het nodig is elke avond met een paar klikken een back-up te maken van de medicatielijst – voor als het toch mis gaat - en het niet alleen als vervelende administratie ziet. 

Veiligheid van BV Nederland 

Post benadrukt tot slot dat het KPN bij het verbeteren van security en weerbaarheid niet alleen om verkoop gaat. “We zijn onderdeel van de BV Nederland en willen die veilig houden. Dat doen we met webinars - zoals op 17 november weer – interactieve rondetafelsessies en individuele gesprekken met zorgorganisaties, landelijk initiatieven en security-expertisecentra. Zo willen we overbrengen en samen kijken wat er van belang is om je security en weerbaarheid op orde te krijgen.” 

En stelt Post, dat doe je niet door alles potdicht te gooien, maar door de juiste risico-inschatting te maken: zodat de belangrijkste systemen blijven draaien en de belangrijkste data zo snel mogelijk weer toegankelijk zijn. “Zoals ik al aangaf, dat is een precaire balans in de zorg. En het is heel moeilijk om die balans op orde te brengen. Maar de zorg is wel een kritiek onderdeel van Nederland. We willen als KPN afzonderlijk en als onderdeel van de BV Nederland voorkomen dat zo’n onderdeel onderuitgaat.”