Zorginstellingen blijken onvoldoende in control van hun informatiebeveiliging en dat terwijl zij grootverwerkers zijn van privacygevoelige informatie. De afgelopen jaren is er een groot aantal incidenten geweest waarbij na datalekken persoonlijke gegevens op straat kwamen te liggen. Reden genoeg om de huidige Wet bescherming persoonsgegevens (WBP) verder aan te scherpen.
Vanaf 1 januari 2016 zijn alle Nederlandse organisaties verplicht om direct een datalek te melden bij het College van bescherming persoonsgegevens (CBP). Deze meldplicht heeft grote consequenties voor zorgorganisaties. Het dwingt hen om weer ‘in control’ te komen en het vertrouwen van patiënten in de omgang met hun patiëntgegevens te behouden.
In het kort: meldplicht datalekken
Er is sprake van een datalek als privacygevoelige informatie in handen valt van een derde partij die geen toegang tot die informatie zou moeten hebben. Volgens de meldplicht datalekken moet privacygevoelige informatie direct gemeld worden aan het CBP. Dit conform de richtsnoeren van de meldplicht datalekken.
Het kabinet heeft deze meldplicht recent verder aangescherpt door onder andere het CBP de bevoegdheid te geven aanzienlijk hogere boetes te kunnen opleggen. Deze boetes kunnen oplopen tot 810.000 euro of, als dat niet passend is, 10 procent van de jaaromzet. Wanneer zorginstellingen niet voldoen aan deze nieuwe strenge regels, dan kunnen zij in het ergste geval hun toelating verliezen. Dat betekent dat een zorginstelling dan geen zorg meer mag bieden die bijvoorbeeld voor een vergoeding op grond van de Zorgverzekeringswet of Wet Langdurige Zorg in aanmerking komt.
Om als zorgorganisatie weer in control te komen, is het cruciaal dat informatiebeveiliging weer een kerntaak wordt van bestuurders of directie en er een helder informatiebeveiligingsbeleid wordt doorgevoerd.
Gebruikersgemak versus veiligheid
Maar liefst 30 procent van alle (gemelde) hacks in Nederland vindt plaats bij een zorginstelling. Zorginstellingen zijn dus geliefde doelwitten van cybercriminelen, maar waarom eigenlijk? Omdat zij in het bezit zijn van enorm veel privacygevoelige patiëntinformatie en volledig afhankelijk zijn van hun IT. Sterker nog, zonder IT ligt een ziekenhuis compleet stil.
Onderzoeksbureau Gartner voorspelt dat de datalekken, die nu vooral afkomstig zijn van servers en vaste werkplekken, in 2017 voor 75 procent afkomstig zullen zijn van verkeerd of kwaadaardig geconfigureerde apps. Voor security– en privacy-officers betekent dit dat zij niet alleen patiëntgegevens moeten beveiligen tegen cybercriminelen, maar ook tegen onachtzaamheid van de eigen medewerkers.
Zorgprofessionals houden zich in tegenstelling tot IT-professionals niet dagelijks bezig met de gevaren en risico’s die apps en devices met zich meebrengen. En toch is het juist deze groep die patiëntgegevens via onveilige publieke diensten met elkaar delen. Zo werd onlangs bekend dat artsen via WhatsApp patiëntgegevens, waaronder foto’s, naar elkaar sturen om tot een goede diagnose te komen. Het gebruik van WhatsApp of Dropbox is vaak de makkelijkste manier om informatie met elkaar te delen, maar tegelijkertijd zijn dit publieke diensten met de nodige security- en privacy-issues.
Voorkom shadow-IT
Zorgprofessionals, medewerkers en afdelingen kunnen dus zonder tussenkomst van hun IT-afdeling gebruik maken van verschillende applicaties. Dit kan weliswaar tot een betere productiviteit leiden, maar kan de veiligheidsvoorschriften van de IT compleet buiten werking stellen. Het is daarom belangrijk dat het gebruik van dit soort ongewenste apps wordt voorkomen door als IT-afdeling veilige en goedgekeurde apps beschikbaar te stellen. Een goed voorbeeld van zo’n app in de zorg en die WhatsApp overbodig maakt, is de IQ Secure Messenger app van IQ Messenger. Dit is de enige app die zorgalarmering combineert met veilige chat, beeldbellen en persoonlijke alarmering. Deze krachtige app is specifiek ontwikkeld voor gebruik binnen de zorg.
IQ Messenger en Vosko hebben met een aantal Nederlandse ziekenhuizen de handen ineen geslagen om de communicatie en alarmeringen beter, overzichtelijker en efficiënter te laten verlopen. Hiermee wordt de patiëntveiligheid op een hoger plan getild. Een bijkomend voordeel van deze oplossing is de verregaande integratie met de communicatieoplossing van Cisco. Hierdoor wordt het mogelijk de IQ Secure Messaging toe te passen op de moderne Cisco telefoontoestellen en video conferencing apparatuur.
Verder houdt de integratie in dat verpleegoproepsystemen, patiënt monitoring systemen en gebouwbeheersystemen gekoppeld kunnen worden met Cisco, waardoor een compleet bewaakt platform voor intra- en extramurale zorg kan worden bewerkstelligd.
Kiezen voor Vosko en IQ Messenger
De door Vosko geïmplementeerde oplossing verzorgt aanvullend versleuteling van gegevens tijdens transport en detectie van verborgen communicatiekanalen. Daarnaast adviseert Vosko haar klanten op welke wijze voldaan kan worden aan regelgeving, processen, bewaking en opslag van gegevens met betrekking tot de vereiste beveiligingseisen. Voor communicatie en alarmering biedt Vosko de oplossingen van IQ Messenger. Een aantal ziekenhuizen heeft al concreet gekozen voor deze oplossing met Vosko als integrator.
IQ Messenger heeft begin dit jaar een CE MDD Medical Class certificering behaald die vereist is bij gebruik van medische alarmering. IQ Messenger is trots te kunnen melden dat ook de privacy- en informatiebeveiligingcertificeringen, de NEN7510 en ISO27001, onder audit van DNV GL zijn behaald. Het behalen van de ISO 27001 en NEN 7510 certificeringen bewijst dat IQ Messenger aan de hoogste standaarden voldoet en inhoud geeft aan de wettelijke verplichtingen ten aanzien van privacy- en informatiebeveiliging.
ISO 27001 en NEN7510
De ISO27001 norm is de internationale norm voor informatiebeveiliging en draagt zorg voor een beleid waarin betrouwbaarheid, beschikbaarheid en integriteit van informatie centraal staan. De NEN7510 norm is de nationale norm voor informatiebeveiliging en specifiek gericht op de zorg. Het is uniek dat IQ Messenger, als niet-zorginstelling, beide certificeringen heeft behaald. Conform ISO 27001 en NEN 7510 heeft IQ Messenger de IQ Secure Messenger ontwikkeld. Instant messaging en kritische alarmering en notificatie samen in één app. Deze app voldoet aan de geldende wet- en regelgeving en faciliteert zorgmedewerkers in het veilig en snel communiceren met collega’s en andere specialisten in de zorg.
