ICT-Beveiliging en privacy vaak niet op orde in ziekenhuizen

n 2012 vond bij het Groene Hart Ziekenhuis een datalek plaats. Honderdduizenden persoonsgegevens van patiënten en medische dossiers bleken voor een hacker eenvoudig toegankelijk via het internet. Een unieke zaak, zou men denken. Niets is minder waar. Een onderzoek van het Ponemon Institute wees uit dat maar liefst 94% van de Amerikaanse ziekenhuizen minimaal één keer slachtoffer is geweest van een veiligheidsinbreuk.

Ziekenhuizen zijn een kwetsbaar doel voor kwaadwillenden. Een veiligheidsinbreuk bij een ziekenhuis kan niet alleen betrekking hebben op de persoonsgegevens in de databases, maar bijvoorbeeld ook op de apparatuur in een ziekenhuis. Hartmonitoren en anesthesieapparaten kunnen geïnfecteerd worden met een virus, waardoor het in theorie bijvoorbeeld mogelijk is een dodelijke hoeveelheid verdoving toe te dienen op afstand. Ook is het mogelijk een pacemaker te hacken en zo een dodelijke schok te geven aan een persoon.

Uit een onderzoek van Deloitte blijkt dat veel ziekenhuizen hun veiligheidsbeleid nog steeds niet op orde hebben. Dit is volgens de onderzoekers te wijten aan onwetendheid bij ziekenhuizen en patiënten. Zo zijn er nog steeds artsen die gebruik maken van eigen apparatuur om medische gegevens op te slaan. Daarnaast wordt medische apparatuur aangesloten op het administratieve netwerk, in plaats van op een apart (gescheiden) netwerk. Hierdoor is het eenvoudiger om informatie in die apparatuur te manipuleren.

Een veiligheidsinbreuk bij een zorginstelling kan grote gevolgen hebben voor de patiënten die daar worden of zijn behandeld. Het lekken van persoonsgegevens van patiënten kan grote gevolgen hebben voor het maatschappelijke leven van een patiënt. Een hack op de apparatuur kan daarnaast een levensbedreigende situatie tot gevolg hebben. Naast de risico’s voor patiënten lopen ook de zorginstellingen zelf grote risico’s door de beveiliging van hun gegevens niet goed op orde te hebben.  Denk bijvoorbeeld aan reputatieschade, maar ook grote financiële risico’s. Met de aanstaande Verordening Dataprotectie stijgen de boetes voor organisaties die niet voldoende technische en organisatorische maatregelen hebben genomen om de veiligheid van persoonsgegevens en apparatuur te waarborgen. Daarnaast is in Nederland de wijziging van de Wet bescherming persoonsgegevens door de tweede kamer geaccepteerd, waarmee het Cbp na instemming van de eerste kamer een boetebevoegdheid tot €810.000 krijgt.

Wilt u meer weten over databeveiliging en privacy voor uw organisatie? Schroom dan niet om contact op te nemen met de experts van Considerati.