In de zorg wordt steeds meer gebruik gemaakt van mobiele apparaten zoals tablets en smartphones. In 2013 gebruikte 80 procent van de zorgprofessionals al een smartphone, tablet of beide. Van hen gebruikte bijna 80 procent deze voor professionele doeleinden.
Vooral wanneer de zorg een ambulant karakter heeft, zijn tablets een zeer populair instrument om op locatie informatie op te zoeken en notities te maken over het consult met de cliënt. Smartphones worden vooral gebruikt voor het in contact blijven met collega´s, zowel telefonisch als per e-mail.
Maar aan deze praktijk, die al zo is ingesleten dat er lang niet altijd meer diep over wordt nagedacht, kleven risico’s. Zelfs als gebruik wordt gemaakt van zorginformatiesystemen die gecertificeerd zijn. Hoe zit dat en welke maatregelen kunnen in acht worden genomen om de situatie voor bijvoorbeeld de goede beveiliging van patiëntgegevens te verbeteren?
Patiëntendossiers zijn over het algemeen goed beveiligd en niet zonder meer toegankelijk. Het is echter niet uit te sluiten dat er zorgverleners zijn die voor een huisbezoek het samengevatte dossier van een cliënt even onbeveiligd op hun tablet laden. Ook is er geen enkele garantie dat eventuele aantekeningen die tijdens het consult met de cliënt worden gemaakt, op de juiste wijze worden geëncrypteerd.
En omdat de meeste mensen e-mail door de relatief sterke versleuteling vertrouwen, is er weinig reden tot terughoudendheid met het communiceren over vertrouwelijke patiëntengegevens.
Kortom, op veel van de tablets en smartphones die door zorgverleners worden gebruikt, staan niet-versleutelde patiëntgegevens die niet bedoeld zijn voor de ogen van onbevoegden. Het is duidelijk dat er een enorme privacyschending optreedt, wanneer een dergelijk apparaat wordt gestolen of verloren. Daarnaast bestaat er het gevaar van een infectie met malware die gegevens kan stelen.
In de eerste helft van 2015 ontdekten de analisten van het G DATA SecurityLab al meer dan één miljoen (1.000.938) nieuwe soorten malware voor Android2, waarvan ongeveer de helft gericht was op het stelen van informatie.
Elke zorgorganisatie, of deze nu zelf aan medewerkers tablets en/of smartphones uitdeelt, of er juist nog nooit iets mee heeft gedaan, moet zich ervan bewust zijn dat deze mobiele apparaten worden gebruikt en dat zij data bevatten of verwerken, die een vertrouwelijk karakter hebben.
Het opstellen van een formeel beleid ten aanzien van het gebruik van deze apparaten is de eerste stap die door alle instellingen moet worden gezet. Daarin moet worden geformuleerd welke informatie zich op de apparaten mag bevinden, onder welke voorwaarden, en wat compleet uit den bozen is.
Stel encryptiesoftware beschikbaar waarmee alle gegevens op de apparaten standaard worden versleuteld. Zorg dat alle apparaten die gebruikt worden bekend zijn bij de organisatie. Deze kunnen dan worden gemonitord en beheerd door een Mobile Device Management-oplossing (MDM). Een dergelijke softwarematige oplossing kan bijvoorbeeld mobiele apparaten met een druk op de knop volledig wissen en blokkeren wanneer deze gestolen blijken te zijn. Vaak is het ook mogelijk om daarmee de verloren apparaten te lokaliseren. En wanneer er gebruik wordt gemaakt van Android-apparaten, is het meestal ook mogelijk om via een MDM te controleren of (beveiligings)updates op de apparaten zijn uitgevoerd en of zij afdoende zijn beveiligd tegen malware.
Verreweg de beste oplossing is om zelf controle over de situatie te nemen en zelf te kiezen voor de minst onveilige apparaten, uitgerust met de beste apps en beveiliging. Financiële beperkingen maken deze route echter vaak onbewandelbaar. In dat geval is het van essentieel belang om toch zoveel mogelijk controle uit te oefenen met een geschreven beleid en een Mobile Device Manager. Zeer onverstandig is om ervoor te kiezen de ogen voor de (mogelijke) problematiek te sluiten en niets te doen.
Eddy Willems, Security Evangelist bij G DATA
