Nu trending
Diversiteit
Hoe maken we onze werkvloer niet alleen diverser, maar ook inclusiever?
Diversiteit
Omgaan met emoties: Boys do cry
Carrière
Solliciteren met een hoofddoek: “Als een bedrijf mij niet accepteert zoals ik ben, dan is het niet de juiste plek voor mij”
Diversiteit
Geboorteverlof: Waarom het belangrijk is dat ook papa luiers ververst
Diversiteit
Iedereen heeft vooroordelen, ook jij. Wees je daar bewust van
gegevens
Gezondheid

Medische gegevens achter slot en grendel

25.03.2020
door Hermien Vanoost

Zorginstellingen, -verzekeraars en ziekenfondsen zijn geliefde doelwitten van internetpiraten. Ze beschikken dan ook over een schat aan gevoelige informatie. Wat doen die organisaties om die waardevolle persoonlijke gegevens te beschermen?

Dat cyberaanvallen hele ziekenhuizen kunnen platleggen, hebben we helaas ook al in ons land ervaren. In maart vorig jaar drongen hackers binnen in de IT-systemen van het André Renard-ziekenhuis in Herstal. Ze versleutelden 70 van de 120 servers en meer dan 100 miljoen bestanden. Om de toegang te herstellen, vroegen ze 5.000 euro per server. “Daar zijn we niet op ingegaan”, vertelde IT-verantwoordelijke Marc Delforge in Humo. “Omdat onze back-ups gespaard gebleven, waren we er zeker van dat we alles zelf konden herstellen. Het zou alleen veel tijd kosten.” De rekening liep dan wel op – 250.000 euro schatte Delforge –, voor de patiënten bleven de gevolgen gelukkig beperkt. De medische dossiers bleken intact en de deuren van het ziekenhuis konden open blijven.

Nooit absoluut veilig

Het ziekenhuis van Herstal richtte na de aanval een cyberveiligheidscel op en investeerde in een sensibiliseringscampagne voor het personeel. Een verstandige keuze, weet Stefan Van Gansbeke, Chief Information Security Officer van CM, al voegt hij er meteen aan toe dat cyberbeveiliging nooit absoluut is. “Je kunt alleen maar proberen om de kans op gegevenslekken te verkleinen. Vergelijk het met wat je doet om een diefstal van je wagen te voorkomen. Je kunt de deuren op slot doen en hem in een garage met camerabeveiliging parkeren, maar dan nog heb je geen 100 procent garantie.”

Veiligheidsschillen

Om de gegevens van zo’n 4,5 miljoen leden te beschermen, levert ook CM heel wat inspanningen. “We werken met zogenaamde actieve beveiligingsschillen”, vertelt Van Gansbeke. “Het idee erachter is dat als de eerste schil breekt, er nog altijd andere schillen zijn om verdediging te geven. Zo zijn alle laptops en servers voorzien van een gedegen toegangsbeheer, up-to-date antimalware en de meest recente beveiligingssoftware. Ze zitten in van elkaar gescheiden zones en worden continu in de gaten gehouden. Daar hebben we een team van externe en interne specialisten voor.” CM laat ook geregeld ethische hackers op zijn systemen los. Die proberen binnen te breken om zo eventuele beveiligingsgaten bloot te leggen.

Medewerkers meekrijgen

Belangrijk is ook om de steun van de directieleden te krijgen. Zij moeten begrijpen waarom deze maatregelen zo noodzakelijk zijn. Bewustzijn creëren bij de medewerkers is een ander aandachtspunt. De makkelijkste weg voor een hacker om een organisatie binnen te dringen, loopt immers via de werknemers. “In 2019 detecteerden we een dertigtal phishingaanvallen op onze organisatie”, zegt Van Gansbeke. “Omdat niet alle phishingmails automatisch tegen te houden zijn, is het belangrijk de medewerkers goed te trainen, onder andere via filmpjes en interactieve testen. We leren medewerkers hoe ze een phishingmail kunnen herkennen en proberen zo het klikgedrag op nul te brengen.”

Uitwisseling gegevens

Niet alleen bij CM, ook in en tussen andere zorgorganisaties worden veel gegevens uitgewisseld. Sinds de komst van het elektronisch patiëntendossier gebeurt dat bovendien efficiënter dan ooit. Als een ziekenhuis uit Oostende bijvoorbeeld een patiënt uit Doornik over de vloer krijgt, dan kan het via dat dossier resultaten van eerder gevoerde onderzoeken bekijken. Daarvoor werden in ons land vier zorgnetwerken opgericht. Tom Fiers, klinisch bioloog aan UZ Gent, coördineert het Collaboratief Zorgplatform CoZo, waar maandelijks meer dan een miljoen opvragingen gebeuren. “Die uitwisseling van gegevens mag alleen als de patiënt er toestemming voor heeft gegeven én als er een behandelrelatie met de hulpverlener in kwestie is. Hulpverleners moeten zich ook authenticeren om gegevens te kunnen opzoeken. Dat gebeurt via de databank van de overheid waar zij als arts, thuisverpleegkundige, apotheker… erkend staan.”

Geen massalek

Dat er geen grote centrale gegevensbank is en alle gegevens bij de zorginstellingen zelf blijven, is volgens Fiers een van de sterktes van het systeem. “Alle gegevens zitten verspreid, dus een massalek is quasi onmogelijk. Bovendien verloopt de uitwisseling met de instellingen via geëncrypteerde connecties en blijft er bij een opzoeking nergens info plakken. Patiënten mogen er dus van uitgaan dat hun dossier veilig zit. Het is weinig waarschijnlijk dat hun medische geschiedenis op straat komt te liggen.”

Vorig artikel
Volgend artikel