In 2021 nam de dreiging van aanvallen met ransomware dramatisch toe, mede door grote beveiligingslekken in software die in de gezondheidszorg veel wordt gebruikt (zoals de nu actuele Log4J dreiging). De Inspectie gezondheidszorg en Jeugd is er niet gerust op dat Nederlandse ziekenhuizen goed zijn voorbereid op aanvallen met gijzelsoftware of andere inbreuken op de informatiebeveiliging. Dat meldt de inspectie in een recente rapportage over de invoering van e-health in ziekenhuizen.
De inspectie roept ziekenhuizen op om hun informatiebeveiliging snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. Zeker in een tijd dat de druk op de sector hoog is, kan uitval van een ziekenhuis door bijvoorbeeld gijzelsoftware ernstige gevolgen hebben voor de zorg, zegt de inspectie.
De inspectie moet er op toe zien dat de informatiebeveiliging van zorgaanbieders op orde is. Ziekenhuizen moeten aantoonbaar werk maken van een managementsysteem voor informatiebeveiliging dat voldoet aan de wettelijke norm NEN7510. Hiervoor moet minimaal een onafhankelijke beoordeling aanwezig zijn. Verder moet er een continuïteitsplan zijn dat regelmatig getest wordt. Tijdens 22 inspectiebezoeken aan ziekenhuizen tussen september 2017 en oktober 2021 beoordeelde de inspectie, naast andere e-health gerelateerde zaken, ook de informatiebeveiliging.
Meerderheid ziekenhuizen kan effectiviteit beleid niet aantonen
Het rapport bevat niet alleen slecht nieuws. Alle ziekenhuizen hebben “een vorm” van informatiebeveiligingsbeleid en hebben beveiligingsmaatregelen ingezet. Een aantal ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging niet op orde hadden, bleken na het uitvoeren van verbeterplannen aantoonbaar aan de NEN7510 norm te voldoen. Enkele ziekenhuizen behaalden een certificaat van een onafhankelijke partij.
Maar de meerderheid van de bezochte ziekenhuizen kon op het moment van het inspectiebezoek niet duidelijk maken hoe effectief het informatiebeveiligingsbeleid was en hoe gewerkt werd aan verbetering. Ook na het inspectiebezoek kon het soms lang (meerdere jaren) duren voor een ziekenhuis voldoende verbeteringen had doorgevoerd om aantoonbaar aan de wettelijke norm te voldoen. Het laat volgens de inspectie zien dat het voor ziekenhuizen niet altijd eenvoudig is effectief informatiebeveiligingsbeleid te voeren zonder een papieren tijger te creëren. Mogelijk doordat het onderwerp niet genoeg aandacht van het bestuur heeft of omdat te weinig deskundigheid aanwezig is.
Hoewel ziekenhuizen maatregelen hebben genomen tegen ICT-storingen, heeft de inspectie zorgen over de frequentie ervan. Daarnaast nemen bedreigingen van bijvoorbeeld gijzelsoftware nog steeds toe. Maatregelen zullen regelmatig getoetst en zo nodig aangescherpt moeten worden en afhankelijkheden van systemen moeten beter in kaart zijn gebracht, zegt de inspectie. Het gehele rapport is te vinden via de IGJ.
Masterclass cybersecurity in de zorg
Cybersecurity is te belangrijk om het uitsluitend aan specialisten over te laten. Verantwoordelijke bestuurders en informatie-managers moeten een compleet beeld hebben van de risico’s en de effectiviteit van het gehele palet van organisatorische en technische maatregelen. Daarom organiseert SmartHealth in 2022 de Masterclass Cybersecurity in de zorg
Plaats een Reactie
Meepraten?Draag gerust bij!