“Gebruik compliance en security als katalysator in plaats van als rem”
Meander Medisch Centrum, het ziekenhuis in Amersfoort, is op alle fronten aan het digitaliseren. Niet alleen implementeren ze een volledig nieuw EPD, ook worden er op allerlei plekken in het ziekenhuis e-health toepassingen geïmplementeerd. Om te voorkomen dat privacy en security een rem vormen op zorginnovatie, kiest Meander Medisch Centrum voor een integrale aanpak van informatiebeveiliging. Het Security Operations Center (SOC) is de spil hierin.
Director Digital & ICT Vincent van Luling: “Je ziet dat security vaak een rem vormt op zorginnovatie. Wij willen dat voor zijn en dat betekent dat je het in de basis heel goed moet regelen. Bij alle innovaties nemen wij security en compliancy vanaf het begin mee: security by design. We toetsen alle innovaties aan ons Compliancy Framework en we werken nauw samen met diverse securityleveranciers en -dienstverleners die samen ons security ecosysteem vormen.”
Malversaties snel herkennen
Meander Medisch Centrum heeft zijn SOC extern belegd bij Pinewood. Het SOC fungeert als spil in de integrale securityomgeving; als plek waar alle securitydata samenkomt en waar specialisten werken die snel kunnen ingrijpen. Van Luling: “Natuurlijk nemen we allerlei maatregelen om de slotgrachten en kasteelmuren te verstevigen met onder meer een firewall, virusscanner en endpoint security, maar we willen ook weten wat er op de binnenplaats en binnen de muren van het kasteel gebeurt. Daarom monitort het SOC alle events op ons netwerk en alle log- en eventdata die worden gegenereerd door de securityhard- en software. Het is namelijk een utopie dat je alles kunt dichtzetten. Zeker in deze nieuwe digitale wereld, waarin e-health een steeds belangrijker rol gaat spelen en waarin medische apparatuur aan het internet hangt, kun je dat niet langer volhouden. Je haalt altijd wel virussen en malware binnen. Waar het om gaat is dat je deze malversaties zo snel mogelijk detecteert en daarop acteert. Want de tijd tussen een incident en het moment waarop dat wordt geconstateerd is in de regel de tijd waarin de meeste schade wordt toegebracht.”
Big data analytics
Daarom monitort het SOC voortdurend wat er op het netwerk en in applicaties en databases gebeurt. Van Luling: “De crux is dat je afwijkend gedrag zo snel mogelijk detecteert. Dat doe je middels big data analytics. De kwaliteit van die analyses verbetert naarmate je meer externe benchmarks daarin meeneemt. Dat is een belangrijke reden waarom we deze taak extern hebben belegd. Pinewood monitort niet alleen onze omgeving, maar die van veel andere organisaties waaronder andere ziekenhuizen. Die externe data helpt hen om op ons netwerk sneller afwijkingen te detecteren.”
Daarnaast is het een specialisme dat het Meander Medisch Centrum zelf niet beheerst, erkent hij. “Je moet dit soort kennis als ziekenhuis niet zelf willen opbouwen, het is zulk verschrikkelijk specialistisch werk. Je kunt als ziekenhuis nooit de kwaliteit en snelheid bereiken die een externe partij kan garanderen.”
Het inschakelen van een externe partij betekent niet dat er geen verantwoordelijkheid meer ligt bij het Meander Medisch Centrum. Het is een nauwe samenwerking, zowel op het gebied van techniek als beleidsmatig. Van Luling: “Een SOC hoort de vertaalslag te maken van security naar de alledaagse praktijk van een ziekenhuis. Het draait daarbij niet alleen om techniek. Het SOC speelt ook een adviserende rol als het gaat om de organisatorische maatregelen die nodig zijn om de informatiebeveiliging naar een hoger niveau te krijgen.”
Compliance framework
De dienstverlening past binnen het Compliance Framework van Meander Medisch Centrum. “Dat framework is opgesteld in samenwerking met gerenommeerde juristen. Zij hebben alle wet- en regelgeving bij elkaar opgeteld, ontdubbeld en relevant gemaakt. Dat wil zeggen: we hebben de vertaalslag gemaakt naar: wat betekent deze regel precies voor ons ziekenhuis? Uit het framework komt een enorme bak werk voort, want we voldoen nog niet aan alle regels waar we aan willen voldoen, maar het geeft ook rust. Want we weten precies waar we staan. En we kunnen ook verantwoorden waarom we bepaalde maatregelen niet nemen of nog niet hebben genomen. Bovendien helpt het framework bij het maken van afspraken met ICT-dienstverleners. We weten precies met welke partijen we wat voor afspraken moeten maken, bijvoorbeeld met de partij die ons EPD host, maar ook met Pinewood, onze SOC-dienstverlener.”
Nieuw speelveld informatiebeveiligers
ICT is geen aanvulling meer op het zorgproces, het is de kern van zorgprocessen geworden. Dit maakt dat het speelveld van informatiebeveiligers in ziekenhuizen in een paar jaar tijd ingrijpend is veranderd. De volgende ontwikkelingen zijn hier debet aan:
- het EPD. Waar het EPD in eerste instantie vooral een applicatie was om de geleverde zorg ook goed te kunnen declareren, worden de nieuwe generaties EPD meer en meer systemen die zorgpaden ondersteunen. Dit betekent dat er steeds meer koppelingen komen naar diagnostische systemen en dat het EPD medische workflows ondersteunt.
- e-health. E-health is een verzamelnaam voor alle vormen van digitale zorgtoepassingen die gebruikmaken van het internet: webportalen, mobiele apps, persoonlijke gezondheidsdossiers, videocommunicatie, wearables, serious gaming. Denk hierbij ook aan data die patiënten zelf meenemen, bijvoorbeeld data van een sporthorloge of digitale weegschaal.
- Internet of Thing (IoT). Steeds meer medische apparatuur krijgt een internetverbinding en wordt daarmee onderdeel van een groot IoT-netwerk. Hoewel medische apparatuur de afgelopen jaren dus massaal aan het netwerk is gehangen, valt de verantwoordelijkheid van het beveiligen van die apparaten vaak niet onder de bevoegdheid van de ICT-afdeling. Vaak geldt hetzelfde voor gebouwbeheersystemen, zoals toegangssystemen en camerabewaking.
- digitale ketensamenwerking. Ziekenhuizen werken samen met veel andere partijen: huisartsen, thuiszorgorganisaties, verpleeghuizen, revalidatiecentra, gespecialiseerde derdelijns behandelcentra, universiteiten die wetenschappelijk onderzoek doen. Informatieoverdracht is nu vaak nog een crime, mede doordat XDS (Cross Document Sharing) niet door alle partijen wordt gebruikt en bovendien veel verschillende interfaces kent. In de praktijk worden daarom nog altijd CD’s heen en weer gestuurd en wordt veel informatie telefonisch, via e-mail (Zorgmail) of zelfs nog gewoon per post gedeeld.
- big data en deep learning. De komende jaren zal één van de grootste verbeteringen in de zorg bestaan uit personalized medicine, mogelijk gemaakt door big data analytics. Waar big data analytics nu nog vooral wordt toegepast in wetenschappelijk onderzoek, zal het de komende jaren in toenemende mate ook in de kliniek worden gebruikt.
