Informatieveiligheid, wat kan er nu gebeuren?

Tom Urbanus
Tom Urbanus – Business Consultant

Informatieveiligheid en de NEN 7510 norm, bestuurders binnen de gezondheidszorg kennen deze begrippen. Waarom en op welke manier deze onderwerpen van belang zijn voor de complete organisatie en haar cliënten en patiënten, is minder duidelijk. In deze blog ga ik in op een aantal voorbeelden uit de praktijk en schets ik ook een aantal alternatieve oplossingen.

Patiëntgegevens moeten goed beveiligd worden, de bescherming van de privacy van patiënten en cliënten is essentieel. Patiëntgegevens zijn alleen toegankelijk voor bevoegde medewerkers. Naar aanleiding van de strikte AVG-wetgeving en handhaving door de Autoriteit Persoonsgegevens hebben de meeste zorgorganisaties inmiddels maatregelen genomen om de bescherming van deze gegevens te verbeteren. Desondanks zien we een groeiend aantal berichten in de media over informatiebeveiligingsincidenten binnen de gezondheidszorg. In deze blog kijk ik naar twee recente incidenten gepubliceerd op SKIPR. Ik beschrijf welke beheersmaatregelen van toepassing kunnen zijn op deze incidenten.

Disclaimer: hieronder worden beheersmaatregelen genoemd die de in de berichtgeving genoemde organisaties konden nemen. Het is goed mogelijk dat de organisaties de genoemde beheersmaatregelen hebben genomen en desondanks de incidenten hebben plaatsgevonden. Beheersmaatregelen verlagen risico’s maar nemen deze nooit helemaal weg. Een organisatie kan incidenten zoals deze gebruiken om opnieuw de risico’s en beheersmaatregelen te beoordelen en zo nodig scherper te stellen en/of aanvullende beheersmaatregelen te nemen.

 

Voorbeeld 1

Gegevens van ruim 3000 klanten zorgverzekeraar CZ op straat (SKIPR, 30 maart 2023)

CZ is hier een van de slachtoffers van het datalek bij een softwareleverancier van marktonderzoeker Blauw. De AVG bekijkt in het geval van deze datalek naar de gegevensverantwoordelijke voor de aansprakelijkheid. Dat betekent dat niet de softwareleverancier of marktonderzoeker Blauw aansprakelijk zijn, maar CZ zelf. Zij moeten de gedupeerde informeren en worden mogelijk onderzocht en beboet door de Autoriteit Persoonsgegevens.

CZ had twee beheersmaatregelen kunnen nemen om het risico op voorkomen te verlagen:

  1. Informatieveiligheidseisen stellen aan de (sub)verwerker.
  2. Privacy by design: alleen die gegevens verstrekken die absoluut noodzakelijk zijn voor het doel.

 

Ad.1

Als gegevensverantwoordelijke moet CZ-eisen stellen aan haar leveranciers die persoonsgegevens namens haar verwerken. Hierbij is het belangrijk om aspecten en eisen van de informatieveiligheid en wie daarvoor verantwoordelijk is in de overeenkomst op te nemen. Welke aspecten en eisen dit zijn kan op basis van een risicoanalyse worden vastgesteld. Marktonderzoeken Blauw maakt gebruik van de softwareleverancier als sub-verwerker. Daarom is het essentieel om in de overeenkomst op te nemen dat de eisen aan de verwerker onverwijld gelden voor de sub-verwerker. Ook is het belangrijk om de gemaakte contractuele afspraken (periodiek) te toetsen. Een leveranciersbeoordeling geeft antwoord op de vraag of hier nog steeds aan wordt voldaan. Bezit de verwerker het ISO 27001 informatieveiligheidscertificaat nog die het wel had tijdens het afsluiten van het contract bijvoorbeeld?

 

Ad.2

Wanneer een datalek plaatsvindt, wil je dat zo min mogelijk persoonsgegevens gelekt zijn. De beste manier om dit te voorkomen is om alleen die persoonsgegevens te verstrekken aan de verwerker die absoluut noodzakelijk zijn om de dienstverlening te verrichten. In dit geval ging het om een marktonderzoek. Het is dan aan te bevelen dat de selectie van de onderzoeksgroep plaatsvindt binnen de organisatorische grenzen van CZ en dat alleen van die personen de gegevens worden verstrekt die worden gebruikt in het marktonderzoek. Ook is het belangrijk dat de verstrekte persoonsgegevens zo snel als mogelijk worden verwijderd wanneer deze niet langer nodig zijn. Marktonderzoek resultaten zijn vaak anoniem, nadat het onderzoek en wellicht een herinnering verstuurd is kunnen de gebruikte persoonsgegevens dus verwijderd worden. Dit is belangrijk voor de informatieveiligheid.

informatieveiligheid

Voorbeeld 2

Systemen van Noord-Hollandse zorginstelling gehackt (SKIPR, 10 maar 2023)

Zorgorganisatie WilgaerdenLeekerweideGroep (WLGroep) uit Noord-Holland is getroffen door een cyberaanval. Hackers hebben toegang gehad tot het computernetwerk van de organisatie. De hack kwam aan het licht toen medewerkers in het weekend last kregen van systemen die niet goed werkten. Al snel bleek dat dit werd veroorzaakt door een hack. Deskundigen zijn aansluitend een uitgebreid onderzoek gestart om de omvang van de hack en de gevolgen voor de organisatie in kaart te brengen.

Omdat vanuit het bericht niet duidelijk is hoe de cyberaanval heeft kunnen plaatsvinden, gaan we hieronder niet in op preventieve- maar op reactieve beheersmaatregelen. Zoals eerder aangegeven beperken beheersmaatregelen de risico’s maar nemen deze nooit volledig weg. Het is dan ook goed om beheersmaatregelen te nemen om de impact van een incident te beperken en niet alleen om deze te voorkomen. Beperken is daarom ook een groot onderdeel van informatieveiligheid.

 

2 reactieve beheersmaatregelen voor Zorgorganisatie WilgaerdenLeekerweideGroep (WLGroep):

  1. De detectie van onbevoegde toegang.
  2. Het vooraf organiseren van ondersteuning bij het beperken van de impact of het oplossen van het probleem.

Onbevoegde toegang is vaak vast te stellen door vreemde en/of afwijkende handelingen binnen de ICT-omgeving. Bijvoorbeeld het veel proberen (en falen) van inlogpogingen op standaard accounts met veel rechten (zoals administrator accounts) of het verzenden van grote hoeveelheid mails, een enorme toename van netwerkverkeer, et cetera. Dit zijn allemaal signalen die al in een vroeg stadium kunnen worden opgemerkt. Diverse gespecialiseerde bedrijven hebben hiervoor software ontwikkeld om dit soort afwijkingen te detecteren. Ook is het mogelijk een eigen ICT-beheerder regulier controles te laten doen om dergelijke afwijkingen te detecteren door bijvoorbeeld de activiteiten logging van systemen periodiek na te lopen. Samen met preventieve maatregelen zoals zonering van het netwerk of het gebruik van een gelaagde systeemarchitectuur is het mogelijk om onbevoegde toegang eerder te ontdekken.

Wanneer onbevoegde toegang is gedetecteerd moeten er direct maatregelen worden genomen om de toegang te blokkeren en de mogelijk geplaatste software te verwijderen. Ook moet de oorzaak van de onbevoegde toegang worden aangepakt om herhaling te voorkomen. Dit is werk waarbij een bepaalde expertise nodig is die de organisatie meestal niet heeft. Inhuur is dan noodzaak en door de urgentie zijn deze tarieven doorgaans ook vele malen hoger dan regulier.

Een goed advies is hier vooraf afspraken over te maken met dit soort partijen als een soort verzekering. Er zijn ook verschillende verzekeraars die een cyberverzekering aanbieden waar onder andere het inschakelen van een dergelijke partij onderdeel van de dekking is.

 

Risicoanalyse informatieveiligheid centraal

Ook al worden alle mogelijke beheersmaatregelen genomen, incidenten zoals hierboven genoemd kunnen altijd plaatsvinden en risico’s zullen altijd bestaan. Met een goede risicoanalyse creëert u een overzicht van de risico’s voor uw organisatie. Daarnaast neemt u gericht beheersmaatregelen en bent u op de hoogte van de restrisico’s. Wanneer de restrisico’s voor uw organisatie acceptabel, restrisico’s die je kan dragen of kan incasseren zijn, dan bent u op het gebied van informatieveiligheid in control. Op het moment dat u de risicoanalyse en beheersmaatregelen in een Plan-Do-Check-Act beheercyclus onderbrengt, bent u in control voor de lange termijn.

 

Wat kunt u doen voor uw informatieveiligheid?

Blog geschreven door Tom Urbanus Business Consultant