Home / Publicaties / De lifesciences- en zorgsector: kwetsbaar voor datalekken...

De lifesciences- en zorgsector: kwetsbaar voor datalekken en cyberaanvallen

10/09/2015

Cyberaanvallen in de zorgsector

Uit een recent onderzoek van BDO blijkt dat veel zorginstellingen niet op de hoogte zijn van de nieuwe aangescherpte regels rondom informatiebeveiliging. Maar lieftst 62% van de ondervraagden kent de nieuwe meldplicht datalekken niet en 60% is onbekend met het voorstel voor een Europese privacyverordening – die waarschijnlijk nog dit jaar zal worden vastgesteld.

Een zorgelijke ontwikkeling, omdat uit onderzoek blijkt dat de zorgsector steeds vaker doelwit is van cyberaanvallen. 37% van alle datalekken en bijbehorende schendingen in 2014 vond plaatst in de gezondheidszorg (bron: Symantec Internet Security Threat report 2015). Een geslaagde cyberaanval heeft niet alleen grote invloed op de normale bedrijfsvoering en op de betrokkenen, maar kan ook ingrijpende juridische en financiële gevolgen hebben. En wat te denken van de reputatieschade als bekend wordt dat medische gegevens van een zorginstelling "op straat komen te liggen".

Wat is een cyberaanval?

In de Engelstalige ISO/IEC-norm 27002 wordt een cyber attack of cyberaanval als volgt gedefinieerd: 'one which compromises (or seeks to compromise) the integrity, confidentiality and availability of data, systems and related assets'. Deze internationale norm geeft richtlijnen en algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in een organisatie.

Wat is een datalek?

We spreken van een datalek wanneer persoonsgegevens – vanwege een inbreuk op de beveiligingsmaatregelen – in handen vallen van een derde die geen toegang tot die persoonsgegevens zou mogen hebben. Voorbeelden hiervan zijn diefstal van gegevens, verlies van gegevens of gegevensdragers en hacking.

Als een 'geslaagde' cyberaanval bij een zorginstelling plaatsvindt dan heeft dat gevolgen voor:

a) het netwerk; en

b) de in het netwerk opgeslagen gegevens.

Gevolgen voor het netwerk

Een cyberaanval brengt de integriteit van (bepaalde delen) van de infrastructuur van het netwerk in gevaar. De gevolgen van een cyberaanval kunnen groot zijn en onder andere leiden tot bedrijfsonderbreking, verlies van inkomsten, hogere operationele kosten, het moeten repareren van IT-systemen, het moeten herstellen van verloren/beschadigde gegevens en het opnieuw moeten volgen van audits om aan te tonen dat de systemen weer op orde zijn. Het repareren van de ontstane schade kan dus hoge kosten met zich meebrengen.

Ook derden kunnen schade lijden door de netwerkproblemen van een zorginstelling. Het vertrouwen in de zorginstelling van betrokkenen, zakenpartners, andere ondernemingen of instellingen wordt op die manier ernstig geschaad. Als vanwege een cyberaanval of datalek de werkzaamheden bij derden moeten worden onderbroken of indien een virus wordt overgebracht naar de derde waardoor schade aan zijn netwerk ontstaat, is het zelfs mogelijk dat derden schadeclaims indienen, met financiële implicaties tot gevolg.

Gevolgen voor de in het netwerk opgeslagen gegevens

Door een cyberaanval kan er een datalek ontstaan waardoor (patiënt)gegevens in verkeerde handen vallen. Organisaties zijn vanaf 1 januari 2016 – zie ons nieuwsbericht van eerder dit jaar – onder omstandigheden verplicht om datalekken te melden bij het College bescherming persoonsgegevens (CBP) en aan degenen waarvan gegevens zijn gelekt. Als een organisatie niet voldoet aan bovenstaande verplichtingen of indien blijkt dat een organisatie onzorgvuldig met persoonsgegevens is omgegaan, kan het CBP vanaf 1 januari 2016 in bepaalde situaties een boete opleggen. Deze boete bedraagt maximaal € 810.000 of 10% van de omzet. Ook de Europese privacyverordening zal dergelijke boetebepalingen gaan bevatten.

Good practices en tips

Het is belangrijk om goed voorbereid te zijn op cyberaanvallen. Dat vergt een zorgvuldige voorbereiding op organisatorisch, technisch en menselijk gebied. Organisaties kunnen een breed scala aan maatregelen implementeren om goed beveiligd te zijn tegen cyberaanvallen. Deze maatregelen kunnen bestaan uit het invoeren van toegangsbeperkingen en de training van medewerkers, maar er is meer mogelijk. Enkele tips:

      • Zorgbestuurders moeten informatiebeveiliging in hun portefeuille hebben, laat dit niet over aan de IT-afdeling.
      • Maak een risicoanalyse en handel daarnaar.
      • Stel informatiebeveiligingsbeleid op en implementeer dit.
      • Evalueer regelmatig het informatiebeveiligingsbeleid.
      • Train medewerkers om bewustwording te creëren en te leren om potentiele gevaren te herkennen en te vermijden.
      • Implementeer technische maatregelen om de informatiebeveiliging te versterken.
      • Check bestaande contracten met leveranciers van IT- en datadiensten op adequate afspraken rondom datalekken.
      • Monitor en evalueer regelmatig de beveiligingssystemen om deze up-to-date te houden.
      • Stel een noodplan op dat in werking treedt wanneer uw organisatie slachtoffer wordt van een geslaagde cyberaanval of datalek. Stel een team in, bestaande uit interne/externe experts, die dit plan begeleidt.
      • Sluit een adequate verzekering af.

CMS Data Protection team

Het CMS Data Protection & Privacy team adviseert over informatiebeveiliging, privacyregelgeving en datalekken en assisteert u waar nodig met een data breach team voor acute inventarisatie en begeleiding. Dit team bestaat uit experts die ervaring hebben met het bijstaan van nationale en internationale cliënten en het communiceren met autoriteiten. Het CMS Data Protection & Privacy team werkt bij de advisering van cliënten uit de lifesciences- en zorgsector nauw samen met de CMS Lifesciences Sectorgroep.

Auteurs

Portret vanWillem Hoorneman
Willem Hoorneman
Managing Partner
Amsterdam
Jurre Reus
Hendrik Struik