In de zorg worden steeds vaker digitale communicatiemiddelen ingezet. E-mail, WhatsApp, social media, chatbots en tools voor videobellen maken steeds meer deel uit van de dagelijkse communicatie. Of dit ook veilig is, dat is vaak onzeker. Desondanks worden deze middelen ingezet om privé patiëntgegevens mee te versturen, zeker via e-mail. Met de ingang van de Algemene Verordening Gegevensbescherming (AVG) worden er strenge eisen gesteld aan de bescherming van deze gegevens, maar veel digitale communicatiemiddelen voldoen hier niet aan. Zonder additionele technische en organisatorische maatregelen voldoet reguliere e-mail hier bijvoorbeeld ook niet aan. Hoe kun je ervoor zorgen dat je digitale communicatie wel voldoet aan de eisen van de AVG? En wat zijn de risico’s die je loopt? Dat lees je in dit blog.
De waarde van patiëntgegevens
De zorg is een populair doelwit onder cybercriminelen. Dit komt grotendeels doordat patiëntgegevens voor veel geld kunnen worden verkocht op het darkweb. Ze zijn waardevoller dan bijvoorbeeld creditcardgegevens. Met deze patiëntgegevens kunnen cybercriminelen onder andere identiteitsfraude plegen en het slachtoffer laten opdraaien voor de medische kosten van een ander. Ook zou het kunnen worden gebruikt om onder valse voorwendselen krediet toegewezen te krijgen of om de slachtoffers van gehackte dossiers af te persen. Zoals eind 2020 gebeurde bij een Finse psychotherapiepraktijk.
De waarde van deze medische dossiers komt door de zeer gevoelige en persoonlijke informatie die het bevat. Informatie waarvan men dan ook liever niet heeft dat ze gelekt worden. Eén dossier kan volgens het Healthcare IT News tot wel 1.000 USD opleveren, terwijl creditcardgegevens al vanaf 0,11 USD verkocht worden.
Het risico van gestolen gegevens
Wanneer belangrijke gegevens worden gestolen, kunnen cybercriminelen ook patiëntendossiers aanpassen. Ze verwijderen bijvoorbeeld aantekeningen over allergieën of voegen andere onware informatie toe. Dit veroorzaakt mogelijk grote gevaren.
Farmaceutische bedrijven lopen een heel ander risico. Cybercriminelen zouden via onveilige digitale communicatie de ontwikkeling van nieuwe en spraakmakende medicijnen kunnen volgen. Om er bijvoorbeeld achter te komen wanneer ze het best kunnen toeslaan en op een kritiek punt de systemen kunnen platleggen door middel van ransomware. De faciliteiten, die zijn aangesloten op het netwerk, kunnen dan worden gehackt en de testgegevens kunnen worden aangepast of zelfs vernietigd.
Bedrijven die samenwerken met externen, kunnen ook via de digitale communicatie van een partner of leverancier slachtoffer worden van een cyberaanval. Het is dan ook van groot belang voor iedereen in de keten om de digitale communicatie goed te beveiligen.
Hoe weet je of je digitale communicatie veilig is?
Lange tijd was onduidelijk aan welke voorwaarden digitale communicatie moest voldoen om veilig te zijn en in lijn te liggen met de AVG. In het voorjaar van 2019 kwam daar verandering in met de publicatie van de NTA 7516 norm. In deze norm hebben belanghebbenden en experts uit de zorg vastgesteld waar digitale communicatie aan zou moeten voldoen om veilig te zijn. Daarbij gaat het aan de ene kant om de mate van beschikbaarheid, integriteit, interoperabiliteit en vertrouwelijkheid, maar ook om gebruiksvriendelijkheid. Gebruiksvriendelijkheid is voornamelijk in de norm opgenomen om ervoor te zorgen dat het ook daadwerkelijk gebruikt wordt.
Wat staat er in de NTA 7516 norm?
In de NTA 7516 norm worden de gewenste technische en organisatorische informatiebeveiligingseisen beschreven voor alle ad hoc communicatie (waaronder het gebruik van e‐mail, chat- en messengerapplicaties) voor alle organisaties en professionals die gezondheidsinformatie uitwisselen. Hierin is een balans tussen beveiliging en gebruiksgemak opgenomen. Zo is het een voorwaarde dat er, ongeacht van welke oplossing er gebruik gemaakt wordt, informatie uitgewisseld moet kunnen worden tussen verschillende partijen.
Naast de gewenste beveiligingseisen biedt de NTA 7516 norm zorginstellingen en -professionals ook de zekerheid dat ze kunnen communiceren met andere partijen op een veilige manier, zonder dat ze daar andere oplossingen voor hoeven aan te schaffen.
Voor wie is de NTA 7516 norm bedoeld?
De NTA 7516 norm is voornamelijk bedoeld voor Nederlandse professionals en instellingen in de zorgsector, maar heeft ook betrekking op andere organisaties en professionals die gezondheidsinformatie uitwisselen. Bijvoorbeeld gemeenten, het OM en verzekeraars. Daarnaast is het ook belangrijk voor andere belanghebbenden als de patiënten zelf, hun familie, mantelzorgers en leveranciers. De NTA 7516 wordt ook steeds vaker gebruikt in andere sectoren, zoals de juridische sector en in selectietrajecten in België.
Bovendien geldt de NTA 7516 ook voor leveranciers die communicatiediensten leveren aan organisaties met gezondheidsinformatie. Het is voor leveranciers voor name belangrijk om aan te kunnen tonen dat hun oplossingen voldoen aan de hoge beschermingseisen die de norm stelt aan de communicatie in de zorg.
Moet de zorg aan de NTA 7516 voldoen?
Het invoeren of voldoen aan de NTA 7516 norm is voor partijen die te maken hebben met gezondheidsinformatie (nog) niet verplicht, maar de NTA 7516 is gebaseerd op de AVG en eIDAS. Dit zijn wetgevingen waar je al wel aan moet voldoen. Hierin staat dat digitale communicatie is toegestaan, wanneer dit veilig gebeurd. De NTA 7516 beschrijft die eisen waar je aan moet voldoen en fungeert zo als verduidelijking op de AVG. Je kunt er voor kiezen om de NTA 7516 norm niet toe te passen, maar dan mag je ook geen gezondheidsinformatie versturen via digitale communicatiemiddelen en dien je dus een andere oplossing te gebruiken.
Hoe helpt Eshgro?
Eshgro hecht enorm veel waarde aan de beschikbaarheid, integriteit en veiligheid van data. Bij ons ben je dan ook aan het juiste adres voor de beveiliging van jouw digitale communicatie, en wel om de volgende redenen:
- We kunnen veel zekerheden bieden in de vorm van certificeringen en assurances. Denk aan certificaten voor de normen NEN 7510 (zorg) en ISO 27001 (informatiebeveiliging).
- Eshgro heeft een eigen compliance officer die altijd op de hoogte is van de laatste ontwikkelingen op het gebied van adequate en passende informatiebeveiliging.
- Beveiligingsmaatregelen voor je werkplek zijn natuurlijk standaard beschikbaar als de situatie daarom vraagt. Denk bijvoorbeeld aan multi-factor authentication voor de toegang tot privacygevoelige documenten en data.
- Wij focussen ons vooral op kleine en middelgrote bedrijven die informatiebeveiliging vaak een lastig dossier vinden.
- Als ervaren en bekwame cloudprovider kunnen we je helpen met het samenstellen van de ideale cloud oplossing voor jouw organisatie.
Meer informatie
Ben je op zoek naar een betrouwbare partner die je helpt bij het beveiligen van jouw digitale communicatie? Dan maken we graag kennis met je. Samen met jou verkennen we de mogelijkheden en zorgen we ervoor dat je patiëntendossiers veilig zijn en blijven. Bel ons gerust op 0485 – 476 193 of stuur een mail naar sales@eshgro.nl.