Goede security in de zorg: zo delen we de verantwoordelijkheid

Wat moet je als zorgorganisatie doen als het gaat om privacy en cybersecurity en wat kun je van je IT-leverancier verwachten? Dat is de kern van het betoog van Van Rijn. “We zijn op securitygebied de afgelopen jaren als IT-sector al heel ver gegroeid. Van puntoplossingen naar brede platforms, van hardware naar SaaS-diensten, van een IT’er in een hok naar 24/7 monitoring middels externe dienstverleners met een eigen SOC (security operations center).”

Inmiddels is daar het concept van zero trust bij gekomen: in principe vertrouw je niets of niemand en op basis daarvan richt je je securitytechnologie en -beleid in. Drie kernprincipes staan centraal bij Zero trust:

• Minimale toegang – geef gebruikers alleen toegang tot wat ze strikt nodig hebben en stel gesegmenteerde (virtuele) netwerken op om compromitteren te verkleinen.
• Altijd verifiëren – authenticatie en autorisatie worden continu geëvalueerd.
• Continue monitoring – gedrag van gebruikers en systemen wordt permanent gevolgd om afwijkingen te detecteren.

“Zero trust is een goede, maar zeker niet de enige aanpak om alle veranderingen in het dreigingslandschap te vertalen naar cybersecurity-technologie”, stelt Van Rijn. “Het ontslaat je als zorgaanbieder, klein of groot, bovendien niet van de verantwoordelijkheid om zelf na te denken. Je moet in ieder geval weten welke veranderingen er in de markt zijn die vragen om een andere aanpak van security – denk aan wat NIS2 van je eist - en met je IT-leverancier overleggen of voor jou als zorgaanbieder zero trust zinvol is. Dus weet wat er speelt en stel daarover vragen.”

Rolverdeling

Natuurlijk, benadrukt Van Rijn, moet iedereen doen waar hij of zij goed in is. De IT-leverancier moet de securitytechnologie regelen en afdoende gecertificeerd zijn. De zorgaanbieder moet vooral zorg kunnen verlenen en niet met security toepassen bezig zijn, maar wel met nadenken over hun aandeel in security en weerbaarheid, zoals afdoende awareness bij medewerkers. NIS2 voegt hier persoonlijke aansprakelijkheid van bestuurders aan toe.

Makkelijk is dit alles niet, beseft Van Rijn. De IT-sector en daarin security heeft een enorme transformatie doorgemaakt. Op technologisch gebied is security meestal wel goed geregeld. Het is vooral het stuk van weerbaarheid – awareness bij medewerkers over security-gevaren, hoe om te gaan als je toch gehackt wordt – waar de volgende stappen gezet moeten worden. Hier moeten leveranciers en zorgorganisaties een nieuwe balans in vinden, met een duidelijke verdeling van verantwoordelijkheid.

“Zo stellen controlerende partijen zich anders op tegenwoordig dan een paar jaar geleden. Ik sprak onlangs iemand bij een ziekenhuis die zei: ‘We melden datalekken altijd netjes. Maar de vragen die we van de Autoriteit Persoonsgegevens krijgen als zoiets gebeurt, zijn echt anders, veel specifieker.’ Alleen melden en beterschap beloven is niet meer genoeg. Je moet bewijs leveren dat je echt tegenmaatregelen hebt genomen om een lek te voorkomen, dat je de oorzaak van het huidige lek hebt aangepast. Ook daar zie je de impact van NIS2.”

Nieuwe balans zoeken

Je ziet de zorgsector naar die nieuwe balans zoeken, merkt Van Rijn, al verschilt dat per subsector. “Cybercriminaliteit vindt grotendeels op afstand plaats. Maar je moet ook met fysieke toegang rekening houden als het gaat om de zorgplicht die NIS2 van je eist. Op het kantoor van bijvoorbeeld de verloskundige zit een slot om onbevoegden tegen te houden, daar kom je niet zomaar binnen. Maar ziekenhuizen vormen een zeer open omgeving, waar veel mensen naar binnen en naar buiten lopen. Als je daar je netwerksecurity op orde hebt, moet je er nog altijd rekening mee houden dat een bezoeker of patiënt een onbewaakte en niet-gelockte pc of tablet kan gebruiken. Daar helpt een firewall ook niet tegen.”

Dat betekent ook dat ziekenhuizen gemiddeld genomen het eigenaarschap van hun security al langer heel serieus nemen, schetst Van Rijn. “Zij hebben natuurlijk meer budget dan een verloskundige praktijk, stellen ook hoge eisen aan securityleveranciers, maar beseffen ook: bij hen ligt de eindverantwoordelijkheid. Daar zie je het belang van de beginselen van zero trust als geen ander terugkomen, maar dan wel als een gezamenlijke verantwoordelijkheid van leverancier en zorgaanbieder.”

Van Rijn merkt dat dit besef nog niet in elke sector even ver is doorgedrongen. Zo zie je bij veel instellingen in de cure (VVT, gehandicaptenzorg, thuiszorg etc) dat ze vaak één implementatiepartner zoeken en daar dan blind op vertrouwen. “Begrijpelijk hoor, en dat moeten ze ook kunnen verwachten. Maar ook bij hen moet het besef doordringen dat ze niet langer een lijstje kunnen afvinken en dan denken dat ze volledig veilig zijn.”

Niet achterover leunen

Dat betekent niet dat een leverancier zoals KPN achterover leunt, benadrukt Van Rijn. KPN komt uit de telecomsector, die van oudsher al veel verantwoordelijkheid heeft om de eigen netwerken te beschermen tegen cybercriminaliteit. Het securitybeleid van telecomproviders staat dan ook op gelijk niveau met partijen zoals banken. “Dat vertaalt zich door in ons DNA, in hoe we onze securityprincipes inzetten voor onze klantomgevingen, hoe we gecertificeerd zijn. Voorheen werden we dan nog wel eens als ‘langzaam’ gezien. Maar het besef dringt bij steeds meer partijen door dat als wij ons telecomnetwerk op orde hebben, wij dat ook voor andere partijen kunnen doen.”

Ook KPN kan echter simpelweg niet alles zelf leveren, stelt Van Rijn. “We kunnen echt wel adviseren over de beste aanpak via de eigen verantwoordelijkheid, over het securitybeleid en integratie ervan in processen. Maar wij zijn bijvoorbeeld niet de partij die als het gaat om privacy een verwerkersovereenkomst kunnen afsluiten. Wij maken die gedeelde verantwoordelijkheid ook altijd duidelijk en werken met partners om onze diensten waar nodig aan te vullen, om de klant zoveel mogelijk te ontlasten van zorgen.”

Meer verwachten

Kortom: met de groeiende complexiteit van security-vraagstukken mogen zorgorganisaties meer verwachten van IT- en securityleveranciers, vindt Van Rijn. Op technologisch vlak uit zich dit in nieuwe concepten zoals zero trust. Leveranciers zoals KPN nemen deze rol heel serieus.

“Tegelijkertijd moeten zorgaanbieders meer inzicht krijgen in hún verantwoordelijkheid, in plaats van blindelings vertrouwen op de leverancier en wat zoiets als zero trust daaraan kan bijdragen. Wetgeving zoals NIS2 (de Cyberbeveiligingswet in Nederland) verplicht ook tot deze eigen verantwoordelijkheid op gebieden zoals zorg- en meldplicht. KPN adviseert graag over dit stuk, maar het is ook aan de zorgaanbieder om op dit punt om hulp te vragen en door te vragen: hoe kunnen we het beter doen en hoe kunnen we dit samen doen?”

Over NIS2

De NIS2-richtlijn (Network and Information Security 2) stelt strengere eisen aan de digitale weerbaarheid van vitale sectoren, waaronder de zorg, dan de eerste NIS-richtlijn. Zorgaanbieders vallen onder ‘essentiële entiteiten’ en zijn dus verplicht om passende technische en organisatorische maatregelen te nemen om hun IT-systemen te beveiligen. Dit omvat onder meer risicobeheer, toegangsbeheer, incidentdetectie en training van personeel. Daarnaast geldt een meldplicht: ernstige incidenten die de continuïteit van zorg kunnen bedreigen, moeten binnen 24 uur worden gemeld bij de toezichthouder.

Voor zorgaanbieders betekent dit dat cybersecurity niet langer alleen een IT-aangelegenheid is, maar een bestuurlijke verantwoordelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij nalatigheid. Het is dus cruciaal dat zorginstellingen hun digitale veiligheid structureel integreren in hun governance, risicomanagement en dagelijkse praktijk. NIS2 vraagt om een proactieve houding en voortdurende investering in cyberweerbaarheid.