De afgelopen maanden is de wereld geteisterd door twee grootschalige cyberaanvallen met ransomware. Waar eind juni een aanval met aan het Petya-virus verwante ransomware plaatsvond, was een maand eerder WannaCry-ransomware de boosdoener. Tijdens die aanval werden computers van minstens zestien Britse zorginstellingen getroffen. Vooral de acute zorg kwam hierdoor in het gedrang, maar ook geplande operaties moesten worden geannuleerd.
Hoe is het gesteld met de cybersecurity van Nederlandse zorginstellingen? Met welke ontwikkelingen in regelgeving moeten Nederlandse zorginstellingen de komende tijd rekening houden?
| Ransomware Door ransomware worden computerbestanden versleuteld en ontoegankelijk gemaakt. Dit kan alleen door een betaling worden opgeheven. Wanneer bestanden met persoonsgegevens worden versleuteld door ransom- of cryptoware, wordt dit beschouwd als een datalek. De bestanden moeten namelijk toegankelijk zijn geweest om deze te kunnen versleutelen. |
Situatie in Nederland: meer dan 7 datalekken per dag in de zorg
Volgens het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van V&J zijn er tijdens beide aanvallen geen Nederlandse zorginstellingen getroffen. Er is echter al langer bekend dat zorginstellingen met het beveiligen van hun IT-omgevingen nog een lange weg te gaan hebben. Zeker vijftien Nederlandse ziekenhuizen zijn de afgelopen drie jaar slachtoffer geweest van een ransomware aanval. Naast de NCSC geeft ook het Rathenau-instituut aan dat zorginstellingen steeds vaker het slachtoffer worden van ransomware. Ziekenhuizen maken met grote regelmaat back-ups van hun gegevens, waardoor een incident voor de zorgpraktijk zelf op lange termijn vaak zonder grote gevolgen blijft. Omdat het gaat om medische informatie, kan een datalek evenwel grote gevolgen hebben voor de persoonlijke levenssfeer van betrokkenen.
Het probleem van datalekken gaat bovendien veel verder dan alleen cybercrime. De Autoriteit Persoonsgegevens geeft aan dat vanuit de sector 'zorg en welzijn' in het eerste kwartaal van 2017 666 datalekken zijn gemeld. Dat zijn meer dan 7 datalekken per dag! Bij 55% van de incidenten ging het om het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger, 13% betrof een kwijtgeraakt dossier of apparaat. In vergelijking met bijvoorbeeld de financiële en telecomsectoren toont de zorgsector zich kwetsbaar.
Wet- en regelgeving datalekken: bereid u voor op de AVG
Gedegen cybersecurity begint bij het begin. Allereerst is bewustzijn van de (Europese) wet- en regelgeving van belang. De afgelopen jaren heeft de Europese Commissie een aantal maatregelen ingesteld om cyberincidenten tegen te gaan.
Relevante wet- en regelgeving
Tot 25 mei 2018 is sprake van een transitiefase, waarin Nederland nog zijn eigen privacywetgeving heeft. Momenteel geldt de Wet bescherming persoonsgegevens (Wbp). Artikel 13 Wbp richt zich op maatregelen op het gebied van informatiebeveiliging. Zorginstellingen moeten technisch en organisatorisch passende maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. In dit kader zijn o.a. de volgende specifieke regelingen van toepassing:
- Sinds 1 januari 2016 is de Meldplicht datalekken van kracht. Nederlandse bedrijven en organisaties die met persoonsgegevens werken zijn nu wettelijk verplicht om datalekken te melden bij het College Bescherming Persoonsgegevens (CBP). Oók zorginstellingen moeten hier gehoor aan geven. Zorg er dus voor dat u een procedure voor het melden van datalekken heeft. Houd hierbij rekening met de beleidsregels van de Autoriteit Persoonsgegevens.
- Sinds 1 juli 2017 is bovendien de ‘Wet cliëntenrechten bij elektronische verwerking van gegevens’ en het ‘Besluit elektronische gegevensverwerking’ in werking getreden. Als zorgaanbieder moet u nu cliënten informeren over en toestemming vragen voor het elektronisch uitwisselen van cliëntgegevens, maar bijvoorbeeld ook:
- een functionaris gegevensbescherming benoemen;
- beleid en verantwoordelijkheden vastleggen ten aanzien van elektronische uitwisselingssystemen;
- ervoor zorgdragen dat de gebruikte systemen, verbindingen en loggings van cliëntgegevens voldoen aan de NEN-normen 7510-13.
NEN 7510 tot en met NEN 7513 zijn in overleg met de zorgpartijen in de praktijk tot stand gekomen. Zij kunnen daarmee als eigen gestelde normen worden beschouwd. In de NEN normen staan bijvoorbeeld eisen aan de inrichting van technische processen, de verdeling van verantwoordelijkheden, de screening van bepaald personeel en het maken van reservekopieën.
Vanaf 25 mei 2018 wordt Algemene verordening gegevensbescherming (AVG) van kracht, en zal gelden voor alle Europese lidstaten. De Wbp geldt dan niet meer. De AVG zal leiden tot versterking en uitbreiding van privacyrechten en een strengere verantwoordingsplicht voor organisaties. Ook zorgorganisaties moeten kunnen aantonen dat ze zich aan de wet houden. De Autoriteit Persoonsgegevens krijgt als privacytoezichthouder bevoegdheden om boetes op te leggen en deze compliance af te dwingen. Deze boetes zijn zwaarder dan onder de huidige nationale wetgeving. Het is van groot belang dat zorgaanbieders nu al aan de slag gaan met de AVG. Zie voor een eerste checklist het 10-stappenplan van de Autoriteit Persoonsgegevens.
Politieke ontwikkelingen
De grootschalige cyberincidenten van afgelopen maanden hebben ook de politiek niet onberoerd gelaten. Inmiddels is in de Tweede Kamer een motie ingediend over het mandateren van het NCSC om actief (semi-)publieke instellingen, zoals ziekenhuizen, te helpen om hun cybersecurity op orde te krijgen. Een andere motie gaat nog verder en pleit voor de oprichting van een Digital Trust Centre (DTC) dat bedrijven en maatschappelijke instellingen moet informeren, adviseren en helpen bij het verbeteren van hun cybersecurity en bij het afslaan van aanvallen door hackers. Mogelijk zal de NCSC zich in de toekomst dus nog actiever (moeten) opstellen.
De uitdaging voor zorginstellingen: zorg er actief voor dat u bij blijft
Ontwikkelingen op het gebied van cybersecurity gaan razendsnel. Dit heeft als gevolg dat zowel wet- en regelgeving als verplichtingen voor organisaties in rap tempo mee ontwikkelen. Cybersecurity binnen de gezondheidszorg is daarnaast al enige tijd een bijzonder aandachtspunt. Van zorginstellingen wordt verwacht dat zij met al deze ontwikkelingen meegaan. Dit vereist implementatie van wet- en regelgeving op het terrein van cybersecurity, een actieplan gericht op zowel snelle en doeltreffende impactminimalisering, en juridische compliance. Het Cybersecurity Team van Pels Rijcken staat klaar om zorgaanbieders hierbij te assisteren.
Bronnen
- NOS.nl, 25 juni 2017: Zeker vijftien ziekenhuizen geïnfecteerd met ransomware
- Rathenau Instituut, 2 maart 2017 rapport: Een nooit gelopen race
- Autoriteit Persoonsgegevens, Overzichten meldingen datalekken
- Autoriteit Persoonsgegevens, Richtsnoeren Meldplicht datalekken
- Rijksoverheid, Brochure Elektronische gegevensuitwisseling in de zorg
- Autoriteit Persoonsgegevens, In 10 stappen voorbereid op de AVG
- Kamerstukken II, 2016-2017, 26 643, nr. 469
- Kamerstukken II, 2016-2017, 26 643, nr. 465