Patiënten in gevaar bij hacking

Gepubliceerd op 18/11/2019 in Klantenverhalen

Patiënten in gevaar bij hacking

Stel: u krijgt te horen dat uw medische gegevens gehackt zijn en online te koop aangeboden worden. Daar mag u niet aan denken, toch? Dat is precies de reden waarom cybersecurity voor ziekenhuizen prioriteit nummer 1 is.

Hoe belangrijk is databeveiliging voor de gezondheidssector?

Stefaan Vansteenkiste, IT-directeur Heilig-Hartziekenhuis Lier: “Het is een topprioriteit. Medische gegevens van patiënten en ook persoonsgegevens van medewerkers en patiënten zijn heel gevoelige data. Als ziekenhuis ben je verplicht om patiëntengegevens 10 tot 30 jaar en soms zelfs tot 30 jaar na een overlijden bij te houden. Op basis daarvan kun je de hele levensloop van iemand samenstellen.”

“Patiëntengegevens zijn voor hackers een echte goudmijn. Daarom beveiligen we onze systemen ook volop. Een ziekenhuis gebruikt 200 of meer systemen die allemaal met elkaar communiceren. Als het netwerk gehackt wordt, loop je risico op gegevensverwisseling waardoor patiënten de verkeerde zorgen krijgen, op gedwongen stopzetting van je dienstverlening en zelfs op een volledige sluiting van het ziekenhuis.”

Ontdek alles over security en beveilig uw project.

Security-oplossingen

Hoe heeft het ziekenhuis zich aangepast aan de GDPR- en de NIS-wetgeving?

“Voor GDPR hebben we een stappenplan uitgewerkt om aan alle eisen tegemoet te komen. We hebben een Data Protection Officer (DPO) in dienst genomen en overeenkomsten afgesloten met onze leveranciers en artsen. Een onafhankelijk bureau heeft getest of we voldoen aan de NEN 7510-norm over informatiebeveiliging in de zorgsector. Alle patiënten en medewerkers hebben toegang tot onze privacyverklaring en we hebben een kanaal opgezet voor mensen die vragen over hun privacy hebben. Maar het blijft work in progress.”

“Wat NIS betreft: de overheid moet de zorgsector nog altijd officieel op de hoogte brengen (interview afgenomen op 5 september 2019). Daarna hebben we 6 maanden de tijd om compliant te zijn. We ondernamen nog geen stappen, maar onze informatiebeveiliging staat er. We hoeven die alleen nog te finetunen om volledig aan de ISO 72001- en NEN 7510-normen te voldoen.”

De wetgeving rond databeveiliging moet inhoudelijker worden. Verplichte audits opnemen, bijvoorbeeld. We bekijken onze logs nu eerder zelden.

Stefaan Vansteenkiste, IT-directeur bij Heilig-Hartziekenhuis Lier

author

De GDPR- en NIS-wetgeving vragen om specifieke profielen. Hoe vullen jullie die in?

“Voor onze informatiebeveiliging zijn we in zee gegaan met BDO. Om aan de GDPR-wetgeving te voldoen, zijn we de markt opgegaan om een Data Protection Officer te zoeken. Maar er zijn weinig mensen die het juiste profiel hebben. Daarom gingen we in op een aanbod van Proximus. Een externe consulent is nu onze DPO. Het is de bedoeling om hem op termijn in te schakelen voor de databeveiliging van het volledige ziekenhuisnetwerk.”

“Voor de NIS wachten we nog op een communicatie van de overheid. Dan bekijken we wat de impact is. We hebben onze medewerkers wel al infosessies over NIS gegeven. En de verantwoordelijkheid voor compliance met de NIS-wet gaat naar onze DPO.”

Bekijk in de video hoe het Heilig-Hartziekenhuis Lier inzet op cybersecurity.

Bekijk de video

Wat verwacht u in de toekomst op beveiligingsvlak?

“Dat alles nog strenger en ingewikkelder wordt dan het nu al is. Maar er is vooral nood aan inhoudelijke wetgeving. Nu draait alles rond technische maatregelen. Wat ik bijvoorbeeld mis, zijn audits en regels over actieve bewaking en beheer van anomalieën. Een audit dwingt instellingen om te controleren hoe ze met databeveiliging omgaan. Nu houden we logs bij, maar die bekijken we eerder zelden. En er moet iets gedaan worden aan de kloof tussen theorie en praktijk. Onze artsen zijn volledig mee met databeveiliging, maar worden door de strenge regels in hun werk gehinderd. Dat kan niet.”

Het Heilig-Hartziekenhuis Lier bestaat al sinds 1236. Het algemeen ziekenhuis telt 450 bedden en 1.600 medewerkers. Tegen 2030 plant het H.-Hartziekenhuis Lier een volledige nieuwbouw. Ondertussen vormt het zich om tot ziekenhuis van de toekomst. IT is daar een belangrijk onderdeel van.

Stefaan Vansteenkiste werkte 14 jaar voor een producent van medische software. Hij startte een bedrijf op dat ITdiensten levert aan de gezondheidszorg en hielp verschillende ziekenhuizen om hun IT te verbeteren. Sinds 2017 is hij directeur IT van het Heilig- Hartziekenhuis Lier.

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

Andere artikels van One