File-sharing in de zorg: dat kan veel beter

  1. 7 mrt 2016
  2. 0 reacties

Door de digitalisering van bedrijfsprocessen krijgen bedrijven en instellingen te maken met enorme hoeveelheden digitale gegevens. Al die data zullen ergens opgeslagen moeten worden en beheerd. Dat is een complexe taak. Zeker binnen de zorg verliep dit proces de afgelopen jaren niet heel voorspoedig. Dus wat kan een zorginstelling doen om haar gegevens op een zo effectief en veilig mogelijke manier te beheren zonder dat het de toegang ertoe beperkt? Patrick de Goede van Eijk, Solution Expert Security bij T-Systems, licht toe.

Gegevensuitwisseling binnen de zorg is in sommige gevallen van levensbelang. Artsen moeten op ieder moment van de meest actuele situatie omtrent een patiënt op de hoogte zijn. Veranderingen in het ziektebeeld hebben immers mogelijk effect op het behandelplan en vice versa. Wordt dit niet tijdig bijgewerkt in het dossier van de desbetreffende patiënt, dan kan onjuist handelen desastreuse gevolgen hebben.

  • Patrick-de-Goede-van-Eijk_20151005_T-systems-200x300 Patrick de Goede van Eijk
  • “Er zitten meer gevolgen aan het niet goed inrichten van je gegevensuitwisseling. Denk aan onnodige doktersbezoeken of tijdsverlies en hogere kosten wegens zoekgeraakte of ontoegankelijke documenten. Belangrijker nog: wegens onvolledige beveiligingsmaatregelen kunnen persoonlijke privégegevens zomaar op straat komen te liggen. Die kans is – helaas – groter dan veel zorgorganisaties denken. Sterker nog, zeer recentelijk is het flink fout gegaan bij ziekenhuizen die in zee zijn gegaan met onzorgvuldige scanbedrijven. Security en privacy zijn dan ook cruciale gebieden waar de zorgsector in bepaalde gevallen ondersteuning in kan gebruiken.”

Wat er fout gaat

“Medici hebben daarom een efficiënte manier nodig om op een veilige manier documenten, informatie en gegevens onderling of met patiënten te delen. Het probleem is dat populaire file sharing-oplossingen zoals e-mail en Dropbox niet voldoen aan de, voor een zorginstantie opgestelde, beveiligingsvereisten. Oftewel, ze zijn niet compliant met de Nederlandse NEN-EN-ISO 27799 of internationale HIPAA-regels voor security, privacy en hun meldplicht bij datalekken”, aldus De Goede van Eijk.

Hierdoor hebben zorginstellingen en zorgverzekeraars sporadisch met situaties te maken waarin gevoelige informatie uitlekt. Opvallend genoeg blijken hackers niet de grootste boosdoener van dit soort databreaches, maar lag het meer dan eens aan vermissing of diefstal van apparatuur zoals laptops, tablets en smartphones.

“Bring-your-own-device brengt, naast hacks en onzorgvuldigheid, dus eveneens aanzienlijke risico’s mee qua databeveiliging. Zeker in de zorgsector, waar medewerkers verantwoordelijkheid krijgen over zeer persoonlijke data vanuit hun gemeenschap, is het extra van belang dat hun mobile devices optimaal beschermd worden. Het besef dat datalekken vaak het gevolg zijn van fouten door menselijk handelen, begint daar dan nu ook door te dringen. Dat is een eerste stap in de goede richting: erkennen waar het gevaar vandaan komt en ontstaat. Zo is gericht actie te ondernemen.”

Wat er beter kan

Er zijn vanaf dat startpunt een aantal zaken waar zorginstanties rekening mee kunnen houden:

  1. Meldplicht voor lekken van medische gegevens

“Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Deze nieuwe wet verplicht organisaties (inclusief zorginstellingen en overheden) om melding van te doen van een datalek bij de Autoriteit Persoonsgegevens als er sprake is van – een aanzienlijke kans op – ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens. Gebeurt de melding niet, dan kan het desbetreffende bedrijf een fikse boete verwachten. De boete moet er uiteindelijk voor zorgen dat organisaties zorgvuldiger omgaan met de (persoons)gegevens die zij in bezit hebben. Dat ze zorgen voor een solide beveiliging en dat ze hun securitystrategie en –oplossingen telkens opnieuw onder de loep nemen en blijven testen.”

  1. Probeer het niet allemaal zelf te doen

Zorginstellingen willen zich op hun core business kunnen concentreren waardoor het lastig is alle facetten van informatiebeveiliging te overzien. Daarom zoeken zij, bij de implementatie van hun informatie beveiligingsbeleid en security-maatregelen, steeds vaker ondersteuning van een partner die bewezen betrouwbare oplossingen biedt.

“Zo koos een bekende Duitse zorgverzekeraar recentelijk voor de file sharing-oplossing van Covata”, vertelt De Goede van Eijk. “De verzekeraar koos specifiek voor de oplossing van de Australische databeveiligingsspecialist voor een optimale bescherming van hun gevoelige gegevens. T-Systems host de clouddienst vanuit geaccrediteerde en streng beveiligde datacenters in Duitsland. Door te kiezen voor twee gespecialiseerde securitybedrijven, maakt de Duitse zorgverzekeraar goed gebruik van dat databeveiligingspartnerschap. En zo verzekert het zichzelf van een zeer veilige opslag van gegevens, de mogelijkheid om onderling vertrouwelijke data te delen en te werken op een bewezen, goed beveiligde infrastructuur.”

  1. Kies de juiste tools

Voor de zorgsector is het nu essentieel om te beseffen dat het gevaar wezenlijk is, en dat iedereen een mogelijk doelwit voor cybercriminaliteit vormt. Het zijn allang niet meer alleen de grote, financiële ondernemingen die moeten vrezen voor hackers of datalekken. De zorg is in het bijzonder juist interessant omdat ze over zoveel persoonlijke gegevens beschikken. Zulke data zijn veel waard op de zwarte markt. Werken via (open) netwerken, is dan risicovol. Maak daarom een zorgvuldige keuze in de oplossingen, tools en systemen, luidt het advies van De Goede van Eijk.

security-tsystems-covata-615x410

“Het spreekt voor zich dat solide dataprotectie en internetsecurity inmiddels uit meer moet bestaan dan alleen het installeren van wat antivirussoftware en een firewall. De Duitse zorgverzekeraar koos niet voor niets voor deze specifieke Safe Share-oplossing van Covata. Eerder al bouwde T-Systems voor hen een technisch netwerk voor het creëren van een betrouwbare koppeling tussen de zorgverzekeraar en zijn partners. Covata levert hiernaast nu nieuwe file sharing-opties waardoor de instantie naast gegevensuitwisseling met zijn partners, ook op veilige wijze informatie kan delen met interne en externe stakeholders, zoals hun mobiele salesforce, klanten en leveranciers.”

Belangrijk hierbij is dat data overal beschermd moet zijn, waar het zich ook bevindt. Dus zowel in het netwerk, buiten het bedrijfsdomein maar ook in mobiele apparaten en in de cloud. Via meerdere toegangscontroles, end-to-end encryptie, een ruime op- en afschaalflexibiliteit en transparantie, wordt die bescherming gegarandeerd. “En dat is waar het bij populaire file sharing-oplossingen als Dropbox momenteel nog weleens aan schort. Wees dus zeer kritisch in de keuze van tools. Controleer daarnaast altijd of het aan de beveiligingsvereisten voldoet, of de bescherming volledig is (voor zowel applicaties, netwerken als systemen) en dat de data veilig staan opgeslagen in speciaal daarvoor ingerichte omgevingen. Met het nemen van deze stappen kan de zorgsector hun file sharing namelijk nog aanzienlijk verbeteren”, besluit De Goede van Eijk.