Cybersecurity in de zorg: hoe pak je dat aan?

Cybersecurity in de zorg: hoe pak je dat aan?

Cybersecurity in de zorg: hoe pak je dat aan?

Cybersecurity in de zorg: hoe pak je dat aan?

Cybersecurity. Databeveiliging. Privacy. Veel zorgbestuurders liggen er ’s nachts wakker van. Begrijpelijk. Want als bestuurder ben je verantwoordelijk voor de cybersecurity van je zorginstelling. Sterker nog, je kan er hoofdelijk aansprakelijk voor zijn.

Juist in de zorg gaat het echter vaak mis. Ruim 40% van alle datalekken in Nederland vindt plaats bij zorgorganisaties. Waarom is het zo lastig voor de zorg om de cybersecurity op orde te krijgen? En hoe pak je dit hoofdpijndossier nu effectief aan?

Belangrijke vragen om te beantwoorden

Wil je je cybersecurity op orde krijgen, dan moet je een aantal belangrijke vragen beantwoorden:

  • Wat hebben we nodig om te voldoen aan de wet- en regelgeving rondom cybersecurity en privacy?
  • Hoe creëren we een veilige digitale werkomgeving?
  • Hoe vergroten we cybersecurity bewustwording en alertheid bij medewerkers?
  • Hoe bereiden we ons voor op mogelijke calamiteiten, zodat we adequaat kunnen acteren?

Cybersecurity is complex

Cybersecurity goed organiseren is complex en vraagt om specialistische kennis. De gemiddelde zorgbestuurder heeft hier uiteraard niet voor gestudeerd. En ook ICT- collega’s hebben vaak niet de juiste kennis. Daar zit al de eerste bottleneck.

Daar komt bij dat je veel verschillende partijen tegenkomt om alle aspecten van cybersecurity op orde te krijgen. Welke ICT-leveranciers en ICT-dienstverleners leveren samen de beste beveiliging op? Daar is geen simpel antwoord op.

Om zorginstellingen hierbij te helpen ontwikkelde Lime Yellow samen met een aantal partners de IVDO-methodiek. Een plan van aanpak dat je helpt te voldoen aan alle vereiste acties en regelgeving zodat je organisatie optimaal beschermd is tegen datalekken en cybercriminelen.

De cybersecurity in de zorgsector laat ernstig te wensen over. Liefst 41% van de datalekken in de Nederland vindt plaats bij zorgorganisaties.

Bron: de Autoriteit Persoonsgegevens

IVDO: Inrichten, Voorkomen, Detecteren, Oplossen

De IVDO-methodiek staat voor Inrichten, Voorkomen, Detecteren en Oplossen. Het is een 4-stappenplan om je cybersecurity goed op orde te krijgen, zonder dat je iets vergeet. Of dubbel regelt. Bedoeld om je cybersecurity-leveranciers eenvoudig te kunnen categoriseren. Ik neem je er kort mee doorheen.

Stap 1: Inrichten

De eerste stap is het juist inrichten van je organisatie, zodat je voldoet aan de wet- en regelgeving. Zorgorganisaties moeten voldoen aan de GDPR/AVG, ISO 27001 en NEN 7510 en binnenkort komt daar de NIS2-richtlijn bij.

Dit betekent o.a. dat je organisatorisch dient te beschikken over de juiste mensen, zoals een functionaris gegevensbescherming (FG) en een Chief Information Security Officer (CISO). Maar ook je processen dienen op orde te zijn. Denk bijvoorbeeld aan een specifiek calamiteitenplan of draaiboek bij cyberincidenten.

Stap 2: Voorkomen

De tweede stap is adequate maatregelen nemen om te voorkomen dat cybercriminelen toegang krijgen tot applicaties en data.

Denk daarbij o.a. aan:

  • Passende ICT-voorzieningen zoals two factor authenticatie
  • Je ICT op orde hebben en houden, dus goed onderhouden met de laatste updates
  • Security by design: applicaties met geintegreerde beveiliging
  • Awareness sessies om medewerkers bewust te maken van de risico’s
  • Pentest: penetratietest waarbij ethische hackers je systemen onderzoeken op kwetsbaarheden.

Stap 3: Detecteren

De derde stap is detecteren oftewel monitoring. Als er iets aan de hand is, wil je dat direct weten en onmiddellijk kunnen ingrijpen. Dat kan alleen als je beschikt over een waterdicht detectiesysteem. Zodra er een beveiligingsmaatregel uitvalt of een beveiligingsincident plaatsvindt, dienen er alarmbellen af te gaan. Niet alleen techniek en alertheid van mensen spelen hierbij een rol. Ook dienen procedures voor iedereen helder te zijn. Dus hoe en bij wie meld je mogelijke veiligheidsincidenten?

Stap 4: Oplossen

Wie gaat je helpen als er een incident heeft plaatsgebonden? In veel gevallen wordt er een strafbaar feit gepleegd; zorg dat je voorbereid bent om digitaal forensisch onderzoek mogelijk te maken. Ken je een Incident Response Team en heb je daar een overeenkomst mee? Maak vooraf afspraken over de verschillende scenario’s (datalek, cyberaanval, ransomware, etc) en wie welke zaken oppakt. Bereid je goed voor, voordat het te laat is.

Bij elk van deze stappen heb je gekwalificeerde ICT-partners nodig. Lime Yellow kijkt vanuit strategisch inkoopperspectief met je mee om de juiste partijen te selecteren. We begeleiden het inkoopproces en waken ervoor dat je wendbaar en weerbaar blijft, zodat jij de beste oplossing krijgt voor een reële prijs.

Meer weten?

Wil je de cybersecurity van je zorginstelling op orde brengen? En ben je benieuwd hoe de IVDO-methodiek je daarbij helpt? Neem dan contact op met Raymon Busser. Stuur een e-mail naar raymon@limeyellow.nl of bel 026 206 2170.