Column


Menno Weij en Lora Mourcous van SOLV

Onderzoek haalt bezem door cyberhygiëne ziekenhuizen

Technologie is niet meer weg te denken uit de zorg. Nieuwe en snellere apparatuur maakt het behandelen van patiënten effectiever en efficiënter. Er worden dan ook steeds meer en geavanceerdere medische apparaten ingezet om de kwaliteit van de gezondheidszorg te verbeteren. Om communicatie tussen apparaten en systemen onderling mogelijk te maken, wordt medische apparatuur steeds vaker uitgerust met een netwerkaansluiting. Uit deze toegenomen connectiviteit ontstaan echter ook nieuwe dreigingsscenario’s die de patiëntveiligheid of diens privacy direct kunnen raken.

Medische apparatuur kwetsbaar
Al in 2012 bracht de Amerikaanse Government Accountability Office een rapport uit over het hacken van medische apparatuur. Naar aanleiding van dat rapport en de groeiende aandacht voor dit onderwerp, is Deloitte tussen eind 2013 en begin 2015 een eigen onderzoek gestart naar de beveiliging van medische apparatuur in Nederlandse ziekenhuizen. Uit dat onderzoek is gebleken dat de IT-beveiliging van veel medische apparatuur niet in orde is en van buitenaf gemakkelijk toegang kan worden verkregen tot bijvoorbeeld MRI-scanners, hartmonitoren, infuuspompen en röntgenapparatuur. 

Hierdoor kunnen signalen van apparaten worden geblokkeerd, kan van buitenaf opdracht voor therapie worden gegeven terwijl de patiënt deze niet nodig heeft, kunnen de instellingen van apparaten worden aangepast, en kan een hacker een alarm nodeloos laten afgaan (of juist blokkeren). Ook is besmetting door malware of een virus mogelijk.

Wachtwoorden
In vervolg op dit onderzoek heeft Deloitte tussen maart en december 2015 het onderzoek uitgebreid en hetzelfde gedaan bij 24 ziekenhuizen in negen verschillende landen, waaronder ook Nederland. Uit dat onderzoek blijkt onder andere dat meer dan de helft van de ziekenhuizen de standaard door de fabrikant ingestelde wachtwoorden om apparatuur te beveiligen niet heeft veranderd, waardoor hackers eenvoudig toegang kunnen krijgen tot de apparatuur.

Zowel de veiligheid als de privacy van patiënten komt hierdoor in het gedrang. Het merendeel van de ziekenhuizen doet echter geen onderzoek naar mogelijke verbanden tussen incidenten waarbij een patiënt letsel heeft opgelopen (of zelfs is overleden) en de cybersecurity van medische apparaten.

Kamervragen
Reden genoeg dus om Kamervragen te stellen aan de minister van Volksgezondheid, Welzijn en Sport. Op de vraag of de minister bereid is onderzoek te doen naar de cyberhygiëne van medische apparatuur in Nederlandse zorginstellingen en of deze voldoen aan de privacyregelgeving, antwoordt zij dat informatiebeveiliging een eigen verantwoordelijkheid van een zorginstelling is. Ziekenhuizen moeten voldoen aan bestaande beveiligingsnormen die de informatiebeveiliging en privacy van patiënten waarborgen.

Het is dan ook aan de ziekenhuizen zelf om na te gaan of nieuwe apparatuur in overeenstemming is met deze beveiligingseisen, aldus de minister. Zij wijst in dat verband op het belang van het principe van privacy by design. De informatiebeveiliging van medisch apparatuur dient deel uit te maken van het ontwikkel- en designproces, stelt zij. Privacy by design gaat uit van het principe dat er in een vroeg stadium nagedacht wordt over de bescherming van de privacy van betrokkenen, de noodzaak van het gebruik van de persoonsgegevens en de beveiliging ervan. Door al bij het ontwikkelen van systemen de privacy en bescherming van persoonsgegevens in te bouwen, is de kans op het succes ervan het grootst.

Privacyverordening
Met de aankomende algemene verordening gegevensbescherming, die vanaf 25 mei 2018 in werking zal treden, wordt meer nadruk gelegd op dit principe en de daadwerkelijke uitvoering en handhaving daarvan. Dit lijkt nog ver weg, maar de privacyverordening bevat dusdanig veel regels, dat gehele bedrijfsprocessen tegen het licht moeten worden gehouden.

Organisaties zullen tijd nodig hebben om dit in kaart te brengen en waar nodig aan te passen. Uit het onderzoeksrapport volgt echter dat bijna de helft van de ziekenhuizen niet eens weet of hun apparatuur voldoet aan de aankomende privacyverordening. Ziekenhuizen dienen daarom nu al bij de aanschaf van medische apparatuur te beoordelen of het apparaat voldoet aan vooraf vastgestelde privacy-eisen.

Aanbevelingen
Het rapport van Deloitte noemt een aantal aanbevelingen die kunnen helpen de cybersecurity van medische apparatuur te verbeteren. Zo moet cybersecurity onder de verantwoordelijkheid vallen van één centraal persoon die handelt vanuit een concreet beleid. Dit beleid kan bijvoorbeeld bestaan uit gedragscodes met betrekking tot de veilige verwerking van patiëntgegevens, een protocol in geval van een incident en procedures om de veiligheid van de verwerking te testen, beoordelen en evalueren.

Ziekenhuizen dienen daarnaast zelf organisatorische maatregelen te treffen die bijdragen aan de veiligheid van de technische infrastructuur van het ziekenhuis, zoals netwerksegregatie, monitoring en fysieke afscherming van apparatuur. Tot slot dient ook apparatuur zelf de hoogst mogelijke veiligheid te bieden. De huidige wetgeving stelt geen essentiële eisen aan medische apparatuur in het ontwikkelproces, maar met de komst van de privacyverordening komt hier zoals gezegd verandering in.

Geen paniek?
Ondanks de alarmerende berichtgeving is er geen reden tot blinde paniek. Het niet gebruiken van medische apparatuur vormt een groter risico voor het welzijn van de patiënt dan het gebruiken daarvan, aldus Jeroen Slobbe, cybersecurity-expert binnen Deloitte. Of de Autoriteit Persoonsgegevens hier ook zo over denkt, is nog maar de vraag. De privacywaakhond houdt ziekenhuizen nauwlettend in de gaten en heeft ze dan ook dit jaar al meerdere keren op de vingers getikt.

Het is daarom van belang dat ziekenhuizen nu al hun bedrijfsprocessen tegen het licht houden en de privacyrisico’s in kaart brengen. Zeker met het oog op de aankomende Europese privacyverordening, waarin privacy by design wettelijk verankerd is, is het geen overbodige luxe om dit principe nu al te omarmen. Dit kan bijvoorbeeld door het opstellen van protocollen en procedures voor minimalisering van de persoonsgegevens die worden verzameld of door het inzetten van technieken voor de anonimisering van gegevens.

Daarnaast zijn het instellen van auditprocedures, het aanstellen van privacy officers met bepaalde taken en verantwoordelijkheden en het opstellen van regels en richtlijnen rond Privacy Impact Assessment, tools die ingezet kunnen worden voor de realisering van privacy by design. Gebeurt dit niet, of pas in een laat stadium, dan is de kans groot dat de noodzakelijke aanpassingen zeer tijdrovend en kostbaar zijn.


Eerdere bijdragen van Menno Weij en Lora Mourcous

Lees meer over