Data beveiliging in de zorg:
3 onderwerpen van aandacht voor Raad van Bestuur

Nieuws
IDProfs

Heeft u als lid van raad van bestuur van een zorginstelling zich afgevraagd in hoeverre uw organisatie zorgvuldig omgaat met de gegevens van cliënten (patiënten)?

Als Raad van Bestuur bent u verantwoordelijk voor het resultaat van de organisatie in de breedste zin van het woord. Om een goede zorg te verlenen is het werken met en bewaren van client gegevens van groot belang. Een inbreuk op de veiligheid van deze gegevens door onjuist gebruik kan grote negatieve gevolgen hebben op de organisatie.

   Paul Kulk

Dat betekent dat er naast mogelijk verlies van gegevens en de mogelijke financiële schade ook het imago en/of vertrouwen in de organisatie ter discussie komt als gevolg van negatieve publiciteit. In dergelijk scenario zal vanuit haar verantwoording een RVB direct maatregelen moeten nemen met tot gevolg meer overhead en hoog oplopende kosten. Dit kunt u zoveel mogelijk voorkomen. Met deze whitepaper informeren we u over de mogelijkheden en de vragen die u aan uw organisatie kunt stellen.

Elke organisatie heeft te maken met het beschermen van gegevens. Bij een zorginstelling gaat het om de mensen die zorg nodig hebben. Om die zorg zo goed mogelijk te kunnen leveren werkt uw instelling met de privacy gegevens van mensen (zorgdossiers / medicatie / behandelingen etc.), maar ook de medewerkers die werken op verschillende locaties waar ze toegang moeten krijgen tot die gegevens. Deze gegevens zijn kwetsbaar en ongeautoriseerd gebruik kan leiden tot overtreding van de AVG en GDPR regelgeving en dus des te belangrijker om hier de nodige aandacht aan te schenken.

In 2020 kwamen 30% van de datalek incidenten voor in de sector gezondheid en welzijn

Aantal datalekmeldingen per sector

Wellicht bent u er van overtuigd dat het bij uw zorginstelling goed geregeld omdat er geen incident is geweest tot nu toe. In deze whitepaper behandelen wij een aantal onderwerpen waarbij u zich kunt afvragen “hoe is dat nu in onze organisatie geregeld ?“ Als u hierop geen duidelijk antwoord kan krijgen dan geven wij u door het lezen van deze whitepaper enkele handvatten om uw organisatie verder te helpen.

Om een beeld te geven hierbij een aantal artikelen die in de media zijn verschenen en de nadruk waarom data beveiliging belangrijk is;

  • Haga ziekenhuis, juli 2019 en 2020
  • UWV, juli 2021
  • KvK, augustus 2021
  • HAN, september 2021
  • LinkedIn, juni 2021

Bron: Overzicht van bekende datalekken | About Privacy

Flinke boete voor UWV datalek: “Pijnlijk als dit soort gegevens in verkeerde handen terechtkomen”
“Het UWV heeft jarenlang het versturen van groepsberichten via de ‘Mijn Werkmap’-omgeving niet goed beveiligd. Dat is een persoonlijke omgeving op de website, waar werkzoekenden contact hebben met het UWV. Hierdoor waren er vele datalekken van persoonlijke gegevens van ruim 15.000 mensen, onder meer over hun gezondheid.”

Bron: Flinke boete voor UWV vanwege datalek: ‘Pijnlijk als dit soort gegevens in verkeerde handen terechtkomen’ | Trouw

Toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis
De AP constateert dat het HagaZiekenhuis onvoldoende passende maatregelen heeft getroffen ten aanzien van de beveiligingsaspecten ‘authenticatie’ en ‘controle van de logging’. Het HagaZiekenhuis handelt hierdoor in strijd met artikel 32 , eerste lid, aanhef, van de AVG.

Bron: haga_rapport_def.pdf (autoriteitpersoonsgegevens.nl)

Deze voorbeelden geven aan hoe belangrijk het is om gegevens te beschermen. De volgende 3 elementen spelen hierbij een crusiale rol.

  1. De mens
  2. De processen
  3. De techniek

1. De mens

Wat we ook doen aan processen en techniek dan zal de mens vaak nog steeds een belangrijke factor blijven bij het ontstaan van datalekken.
Een belangrijke oorzaak van onbedoeld gegevens lekken is omdat mensen welke hun laptop niet dicht doen of “locken” als ze even van hun plek lopen. Het zal voor de ene functie wellicht niet veel impact hebben maar de andere wel. De systeembeheerder welke toegang heeft tot allerlei gevoelige data of de restaurantmedewerker welke de menu’s in het systeem zet. Er is een verschil echter als je de techniek niet goed hebt ingeregeld kan je zelfs met het account van de restaurantmedewerker datalekken veroorzaken.

“Van de gemelde datalekken in 2020 is 66% van het type "Persoonsgegevens verstuurd" of "Afgegeven aan een verkeerde ontvanger”

Bron: autoriteitspersoongegevens 2020

De vragen welke Raad van Bestuur aan uw organisatie zou kunnen stellen:

  • Hoe staat het met security awareness binnen ons bedrijf?Loop eens door uw organisatie en kijk wat er allemaal ligt op bureaus en openstaande schermen
  • Hebben we een account beleid? Zo ja; hoe is dit beleid ingericht? Hebben we een informatie beveiligingsbeleid? Zo ja; hoe is dit beleid ingericht? Hoe toetsen we het beleid op de omgeving, periodieke controle?

2. De processen; Instroom, Doorstoom,Uitstroom

Hoe staat het bij u met het registeren van medewerkers, leveranciers, klanten, stagiaires? Het proces waar ik op doel is het bekende Instroom, Doorstroom en Uitstroom proces.
Als we dit zien in het licht van datalekken moet u kijken hoe dit proces is ingeregeld. Een dergelijk proces is essentieel om te zorgen dat het verkrijgen van toegangen op data, via applicaties, goed en veilig geregeld is. Is dit niet goed geregeld dan komt u bedrijf in de media of terecht bij Autoriteit Persoonsgegevens. De vraag is alleen wanneer dit gaat gebeuren.

Een drietal simpele voorbeelden:

1. Instroom

Een nieuwe medewerker wordt aangenomen bij een facilitair bedrijf en heeft toegang nodig tot gebouwen, bepaalde ruimtes en applicaties.

Vanuit het aanvraagproces voor toegangen (autorisaties) krijgt de medewerker A exact dezelfde autorisaties als een andere bestaande medewerker B. Echter medewerker B is een re-integratie is gestart bij Facility en hierdoor heeft hij autorisaties gekregen van facility. Eigenlijk is hij HR medewerkers welke toegang heeft tot persoonlijke gegevens van medewerkers.

Doordat er bij de aanvraag de zogenaamde Voorbeeld Gebruiker is gebruikt (doe maar hetzelfde als B) heeft medewerker A nu ook toegang tot alle HR gegevens van alle medewerkers. Medewerker A krijgt zo onbedoeld toegang tot de persoonlijke gegevens van alle medewerkers.

2. Doorstroom

Medeweker A is goed bezig bij facility en besluit stap te nemen naar de zorgkant. Hij/Zij gaat naar een ander team en begint als begeleider Zorg. A krijgt nu toegang tot zorgdossiers en cliënten data. Even kijkend naar de instroom en het verkrijgen van autorisaties, zal dit dus betekenen dat A heel veel overbodige autorisaties zal krijgen.

3. Uitstroom

Medewerker A gaat met een welverdiende pensioen en vanuit HR zal A worden afgemeld want A krijgt geen loon meer. Worden dan nu ook alle accounts waar de toegangsrechten ook afgesloten? Hoe werkt dat bij uw bedrijf? Hoe zit het met de controle?

Voor de IDU processen kunt u de volgende vragen stellen:

  • Is er een Instroom, Doorstroom en Uitstroom proces?
    • Het core HR proces. Zonder dergelijk proces is er geen controle op toegangen en zal een identiteit altijd toegang houden.
  • Hoe zit dat met aanvragen van toegangsrechten en intrekken van toegangsrechten?
    • Mogen/moeten leidinggevende toegangsrechten aanvragen en hoe wordt dat gedaan.
  • Wordt er periodiek controle gedaan op de toegangsrechten?
    • Regelmatig toetsen of alle autorisaties nog steeds valide zijn per team en individuen
  • Is personeel bewust van hun eigen verantwoordelijkheid?
    • HR is proceseigenaar maar leidinggevende is HR operationeel verantwoordelijk en dient te zorgen voor veilig kunnen werken door hun medewerkers

3. De techniek

Als laatste nemen we u mee naar de techniek. Applicaties gebruiken we vanwege snelheid, gemak en op den duur kosten technisch. Als we de applicaties nu goed bekijken dan zult u zien dat applicaties vaak verouderd zijn of technieken gebruiken met betrekking tot toegang welke niet meer voldoet aan de problemen van datalekken.

Dit zijn de vragen die u hierover zou kunnen stellen:

  • Is er een overzicht van alle applicaties?
    • Is dit uitgesplitst op bedrijfskritisch?
  • Wordt er lifecycle management gedaan op alle applicaties?
    • Hoe wordt beheer gedaan op de applicaties?
  • Disaster recovery (in geval dat er brand uitbreekt op een locatie zijn dan de gegevens weer snel voorhanden) 
    • Backup en terugzetten (regelmatige controle)
  • Hoe staat het met de toegangsrechten op de applicaties?
    • Duidelijkheid wie mag wat?
  • Periodieke controle op accounts (nog steeds actief?)

Al deze vragen leiden tot data beveiliging of het mogelijk kunnen anticiperen op bepaalde situaties zodat uw bedrijfsvoering gecontroleerd en zo goed mogelijk door kan gaan.

Zoals genoemd in de inleiding heeft (privacy) gegevens lekken, bewust of onbewust, een grote impact op uw organisatie en als Raad van Bestuur heeft u een directe verantwoordelijkheid. Imago schade is niet alleen slecht voor de naam van uw organisatie maar het kan u ook in een pijnlijke situatie brengen.

Stel kritische vragen aan HR, Ciso en Functionaris Gegevensbescherming zodat zij u kunnen informeren over hoe het nu voorstaat binnen de organisatie en waar kwetsbaarheden en eventueel pijnpunten zitten. Focus op gegevens beveiliging en vooral cliënten bescherming.

Wilt u meer weten over dit onderwerp? Of heeft u andere vragen? Wij zijn IGA specialisten.
Wij houden non-profit organisaties uit de krant door te zorgen dat de juiste mensen bij de juiste informatie kunnen. Wij kunnen binnen enkele weken inzichtelijk maken of u zich zorgen moet maken over privacy gevoelige data in uw organisatie. Dat slaapt een stuk lekkerder.

U kunt contact met ons opnemen op 0515 70 10 50 of mail naar info@IDProfs.nl

chevron-down