Criminelen jagen op medische dossiers; de Amerikaanse spionagedienst NSA luistert alles af en de Nederlandse inlichtingendiensten zijn hun schoothondjes, aldus de Amerikaanse klokkenluider Edward Snowden die bij NSA en CIA heeft gewerkt. Google en Facebook hebben een gedetailleerd profiel van je op basis van zoekgedrag en likes, en zij scannen alle communicatie die zij faciliteren. 'Alles ligt op straat' hoor je vaak verzuchten. Moeten we accepteren dat privacy dood is en dat verzet zinloos is? Nee. Maar je moet als zorginstelling wel wat doen, schrijft Jan Jongenelen van Nictiz.
Om te beginnen, ontrafel de bedreigingen en neem proportionele beveiligingsmaatregelen. Het College Bescherming Persoonsgegevens vereist gelukkig niet dat elk risico uitgebannen wordt. Als maatregelen onevenredig duur zijn en het risico matig is, dan is het legitiem om een risico te accepteren. Belangrijk is om de overwegingen vast te leggen en ze periodiek te evalueren. Het Nationaal Cyber Security Center (NCSC) geeft jaarlijks in de publicatie Cybersecurity beeld Nederland een analyse van alle cyberbedreigingen voor alle sectoren in Nederland. Ik pik er drie uit en bespreek de relevantie ervan in de zorgcontext, namelijk inlichtingendiensten, criminelen, en Google en Facebook. Vervolgens maak ik een inschatting van de omvang van deze risico’s. Het is verstandig en in mijn opinie ook noodzakelijk, dat iedere zorginstelling eenzelfde soort inschatting maakt voor zijn eigen organisatie.
Inlichtingendiensten
Zijn de (inter)nationale overheden en hun inlichtingendiensten zoals de NSA ook een bedreiging in de zorg? Nederlandse inlichtingendiensten AIVD en MIVD
"Bedreiging door inlichtingendiensten is in een zorgcontext praktisch nihil"
mogen gegevens uitwisselen met de Amerikaanse NSA. Het lijkt mij evenwel sterk dat inlichtingendiensten zo geïnteresseerd zijn in onze medische gegevens. Ik kan in elk geval geen enkel concrete aanwijzing in de media vinden dat inlichtingendiensten medische gegevens hebben geprobeerd te bemachtigen. De relevantie in de zorgcontext van de bedreiging door inlichtingendiensten is daarom praktisch nihil.
Criminelen
Met enige regelmaat duiken berichten op over criminelen die belust zouden zijn op medische dossiers. Ze schijnen namelijk veel geld op te brengen in het criminele circuit; onlangs nog werden ze getaxeerd op 1000 dollar per stuk! Dit bericht is afkomstig uit de Verenigde Staten. Zou dat in Nederland ook zo zijn? Het NCSC liet mij desgevraagd weten dat zij daar nog geen aanwijzingen voor hebben. Het risico hierop is daarom te classificeren als matig. Bij de professionele criminelen moet je rekening houden met een grote mate van technische expertise. Ze buiten de deur houden vereist kennis van zaken. Het is belangrijk dat zorginstellingen hun software up to date houden, virusscanners op de werkplekken installeren, en werknemers opleiden in het herkennen van phishing en social engineering.
Google en Facebook
Zoals het zo mooi geformuleerd staat in het Cybersecurity beeld Nederland, staat de 'privacy onder druk door de populaire (gratis) producten en diensten aangeboden door bedrijven die de informatie gebruiken om geld te verdienen'. We hebben het over grootmachten als Google en Facebook. Facebook kan aan de hand van een tiental likes vaststellen of iemand homo of hetero is. Dat heel veel Nederlanders het geen probleem vinden
"Ook tientallen zorgaanbieders maken gebruik van diensten zoals Gmail"
hun hebben en houden aan deze bedrijven toe te vertrouwen is hun eigen keus. Maar even googelen met de zoekwoorden 'gmail.com' en 'herhaalrecept' brengt aan het licht dat tientallen zorgaanbieders ook gebruikmaken van deze diensten. Zij nodigen hun patiënten uit om herhaalrecepten bij Herhaalrecepten@gmail.com aan te vragen of zich aan te melden bij informatieavondovergang@gmail.com. Terwijl Google openlijk aangeeft de mails te scannen om de klant aanbiedingen te kunnen doen.
In strijd met wet
Ofschoon het College Bescherming Persoonsgegevens (CBP) zich er nog niet expliciet over heeft uitgesproken, worden persoonsgegevens op deze manier vatbaar voor onrechtmatige verwerking zoals bedoeld in Wet Bescherming Persoonsgegevens (WBP). Zorgaanbieders handelen dus in strijd met de WBP als zij via bedrijven als Google medische gegevens uitwisselen. De bescherming tegen deze bedreiging is niet heel erg high tech: ontmantel die e-mailaccounts en kies een veilig mailaccount.
Zorginstellingen hebben te maken diverse bedreigingen. Elke bedreiging moet op zijn merites worden beoordeeld. Niet elk mediabericht hoeft tot paniek te leiden. Maar niets doen is ook geen oplossing. Analyseer per mogelijke dreiging, de waarschijnlijkheid ervan, de impact en de te nemen maatregelen. Einstein zei al. “De wereld is vol gevaren. Niet vanwege alle kwaadwillende mensen, maar vanwege de mensen die er niets tegen doen.”
Meer lezen?
Meer over informatiebeveiliging en veilig omgaan met e-mail in de zorg
Jan Jongenelen houdt zich als senior-adviseur bij Nictiz bezig met kwalificaties en informatiebeveiliging. Hij studeerde medische informatica aan de Universiteit van Amsterdam.
[accordion]
[acc title="Foto credits"]Bruno Cordioli via Flickr (flickr.com/photos/br1dotcom/)[/acc]
[/accordion]
Plaats een Reactie
Meepraten?Draag gerust bij!