Digitale rampen, u een zorg?

Dinsdag 28 november vond de landelijke OTO Themamiddag in Driebergen plaats. OTO staat voor Opleiden, Trainen en Oefenen en is een programma van het Landelijk Netwerk Acute Zorg (LNAZ), een netwerkorganisatie van de elf acute zorgnetwerken. Ziekenhuizen, GGD-en, de regionale ambulancevoorzieningen en huisartsenposten bereiden zich gezamenlijk voor op rampen en crises. Onder het thema 'Digitale rampen' deden zo’n 200 aanwezigen mee aan interactieve, prikkelende en levendige discussies.

audit_zorg_it

Digitale rampen in de gezondheidszorg; een kwestie van tijd

Verstoring, uitval of aantasting van de infrastructuur kan een ramp of crisis veroorzaken met alle gevolgen van dien. Met de komst van de digitale samenleving zijn we afhankelijker van de ICT-infrastructuur. Het maakt ons kwetsbaar. Het is een kwestie van tijd dat een digitale ramp zich ook voltrekt in de gezondheidszorg in Nederland. Met het programma crisisbeheersing en OTO wordt de kennis en expertise van hulpverleners verder ontwikkeld. Daardoor zijn zorginstellingen steeds beter voorbereid op hun taken tijdens een grootschalig incident. Want juist dan is een gecoördineerde inzet van veel partijen vereist om verantwoorde hulp te bieden en de schadelijke gevolgen zoveel mogelijk te beperken. Tijdens de landelijke OTO themamiddag ging een aantal experts, onder begeleiding van dagvoorzitter Chris van ’t Hof (onder andere directeur van TEK TOK) in op verschillende ‘dreigingen’ die een digitale ramp kunnen veroorzaken, de mogelijke gevolgen hiervan, de mogelijke maatregelen en de wijze waarop crisismanagement teams hiermee kunnen omgaan. Een paar wijze lessen:

Verhoog de weerbaarheid met maatregelen

Een (digitale) ramp is niet te voorspellen. Besteed daarom geen tijd aan het bedenken en uitwerken van allerlei mogelijke scenario’s. Zorg, in de gehele keten, voor passende organisatorische en technische maatregelen om de weerbaarheid tegen digitale rampen te vergroten. Standaarden als NEN7510 en de ICT-richtlijnen voor de beveiliging van webapplicaties van NCSC zijn hiervoor een goed uitgangspunt.

Stefan van Heumen, technisch consult bij het Innovatie Centrum Bouw van TNO, gaat in op de risico’s van een kwetsbare technische infrastructuur en het effect op zorginstellingen. Hij licht de noodzaak toe van het treffen van bouwkundige maatregelen om de ICT-infrastructuur van een zorginstelling weerbaarder te maken tegen bijvoorbeeld een overstroming.

Geert Munnichs, coördinator bij het Rathenau Instituut, laat zien dat de huidige maatregelen van de overheid tegen cyberdreigingen niet volstaan. In de strijd tegen de steeds professionelere methoden van statelijke actoren, cybercriminelen en andere kwaad­ willende hackers zijn extra maatregelen nodig. Basis voor zijn presentatie is het rapport ‘Een nooit gelopen race’.

Zet hackers in

In mijn presentatie ‘You will be hacked!’ ga ik dieper in op de cyberdreigingen. Hackers die op een zonnige dag, met bijvoorbeeld malware, PV-installaties hacken en het Europese stroomnetwerk verstoren en een black-out veroorzaken is een reële dreiging. Een belangrijke oorzaak is de slecht beveiligde software in allerlei apparaten.

Hackers kunnen ons niet alleen helpen om software veiliger te maken. Crisismanagement teams kunnen hackers ook inzetten om voor te bereiden op een digitale ramp. In december oefent het crisisteam van VR Groningen bijvoorbeeld een digitale ramp waarbij hackers worden betrokken.

Balans tussen zorg en gegevensbescherming

Edwin Stokvis, directeur Harteveld Groep, laat op praktische wijze zien hoe zorginstellingen aan de Algemene Verordening Gegevensbescherming (AVG) kunnen voldoen. Volgens sommige aanwezigen een regelrechte ramp en wordt in de AVG onvoldoende rekening gehouden met de zorgketen.

In de zorg is men altijd op zoek naar een goede balans tussen de zorg voor een patiënt en cliënt- en gegevensbescherming. Het snel en transparant uitwisselen van gegevens verbetert de kwaliteit van de zorg en kan levens redden. Lastig hierbij is dat de huidige Wet bescherming persoonsgegevens en de op handen zijnde AVG uitgaat van een een-op-een relatie tussen de zorgverlener en de patiënt/cliënt. In de zorg is dit vrijwel nooit het geval. Denk maar eens aan een situatie waarbij een huisarts bij een patiënt thuis een ambulance laat komen, de patiënt naar de spoedeisende hulp gaat van een ziekenhuis en uiteindelijk worden opgenomen in een ander ziekenhuis en er tussendoor bloed wordt geprikt bij de post van een medisch laboratorium in een van de ziekenhuizen. Het is duidelijk dat het belangrijk is om vooral praktisch om te gaan met de wet- en regelgeving, de zorg staat altijd voorop.

Gedeelde verantwoordelijkheid

De slotdiscussie tijdens de themamiddag gaat over wie nu precies verantwoordelijk is voor de beveiliging van informatie? Er wordt het voorbeeld aangehaald dat leveranciers van bijvoorbeeld EPD software de beveiliging van de applicaties slecht op orde hebben. Het blijkt ook lastig voor zorginstellingen om goede beveiliging af te dwingen. Sterker, als software wordt aangepast garandeert in veel gevallen de leverancier niet langer de goede werking ervan. Hierdoor komt de zorgverlening vaak in gevaar.

Het antwoord op de vraag wie in de keten verantwoordelijk is? Iedereen! De zorginstelling, de leverancier, de zorgverleners en de patiënt/cliënt. Eens te meer blijkt deze middag dat vooral de mens de maat is van alle dingen. Helaas is er geen patch voor het menselijk brein….

Wilt u meer informatie over cybersecurity in de zorg? Neem vrijblijvend contact op voor een kennismaking of kijk eens bij ons dienstenaanbod.

Contactformulier

Meer artikelen

Bekijk al het nieuws