Het Internet-of-Things doet razendsnel haar intrede in de maatschappij, zo ook in de zorgsector onder de noemer ’eHealth’. De beveiliging van IoT, en dus ook eHealth, is lang niet altijd op orde, waardoor deze apparaten meermaals misbruikt zijn voor onder andere cyberaanvallen. Het doel van dit onderzoek is tweeledig:
- Onderzoeken welke specifieke cybersecurityrisico’s gepaard gaan met het gebruik van eHealthtoepassingen bij Universitaire Medische Centra
- Adviseren welke strategische maatregelen genomen kunnen worden om cybersecurity voor eHealth-toepassingen beter te borgen door Universitaire Medische Centra, leveranciers van eHealth-toepassingen en beleidsmakers in de zorgsector.
Hiervoor is de volgende centrale vraagstelling opgesteld:
“Hoe ziet het huidige cybersecuritylandschap er uit voor Universitaire Medische Centra bij het gebruik en de ontwikkeling van eHealth-toepassingen en welke strategische maatregelen op gebied van cybersecurity kunnen getroffen worden om cybersecurity bij het gebruik en de ontwikkeling van eHealth-toepassingen beter te borgen?”
Om antwoord te kunnen geven op de centrale vraagstelling zijn interviews gehouden met experts uit de zorgsector en de bancaire sector over het cybersecurityrisicolandschap voor eHealthtoepassingen en genomen strategische maatregelen voor cybersecurity. Het cybersecuritrisicolandschap voor eHealth ziet er als volgt uit:
Figuur 1: Samenvatting risicolandschap
Het bewustzijn voor cybersecurity onder het personeel van Universitaire Medische Centra is van onvoldoende niveau, wat leidt tot onveilig gedrag. Daarnaast is informatieveiligheid nog onvoldoende onderdeel van patiëntveiligheid.
Cybersecurity is onderdeel van de gehele keten, waarin naast Universitaire Medische Centra ook leveranciers en patiënten een rol spelen. Leveranciers hebben onvoldoende aandacht voor cybersecurity. Daarnaast wordt de rol van patiënten bij cybersecurity steeds groter, nu zij ook eHealthtoepassingen gebruiken op hun eigen, vaak onveilige apparaten.
Door de Universitaire Medische Centra, leveranciers van eHealth-toepassingen en beleidsmakers in de zorgsector zijn strategische maatregelen getroffen. Deze maatregelen zijn niet volledig toereikend voor het beschreven risicolandschap. Voor de cybersecurityrisico’s die wel gedekt zijn, is het onduidelijk of deze risico’s voldoende gedekt zijn.
Om cybersecurity beter te borgen bij het gebruik en de ontwikkeling van eHealth-toepassingen zijn de volgende aanbevelingen gedaan:
- Bewustzijn en houding
- Universitaire Medische Centra, leveranciers van eHealth-toepassingen en de overheid zien informatieveiligheid als volledig, volwaardig en vanzelfsprekend onderdeel van patiëntveiligheid.
- Universitaire Medische Centra en leveranciers starten een gezamenlijk initiatief starten om het bewustzijn van de patiënt te vergroten ten aanzien van veilig en juist gebruik van eHealth-toepassingen in de (thuis)omgeving van de patiënt.
- Universitaire Medische Centra zetten structureel in op het opleiden van hun personeel op het gebied van cybersecurity en coachen van veilig gedrag. Hiermee wordt de basis gelegd voor de juiste houding ten op zichte van cybersecurity in de zorgsector.
- Zorgprofessionals binnen Universitaire Medische Centra lichten de patiënt voor en wijzen deze op de implicaties op gebied van cybersecurity en privacy bij het gebruik van eHealth-toepassingen die aan de patiënt worden voorgeschreven.
- Privacybescherming
- Universitaire Medische Centra en leveranciers voorzien centrale informatiesystemen die gevoelige informatie opslaan over de patiënten van (technische) detectie- en preventiemechanismen tegen onrechtmatige of verdachte informatieverzoeken.
- Regelgeving
- De overheid, zorgsector en leveranciers ontwikkelen gezamenlijk richtlijnen voor een veilige toepassing van eHealth, bij voorkeur in de vorm van zelfcertificering.
- Leveranciers nemen verantwoordelijkheid voor hun zorgplichten voor het afleveren van veilige eHealth-toepassingen. Het is hierbij voor de afnemer duidelijk op welke manier en voor hoe lang de eHealth-toepassing van beveiligingsupdates wordt voorzien.
- Risicobeheersing
- Universitaire Medische Centra en leveranciers brengen een gezamenlijk, uitputtend cybersecurityrisicolandschap voor het gebruik en de ontwikkeling van eHealth-toepassingen tot stand, waarin de cybersecurityrisico’s beschreven worden en beoordeeld worden op kans en impact voor de afnemer en eindgebruiker van de eHealth-toepassingen.
- Testen
- Universitaire Medische Centra testen de beveiliging van eHealth-toepassingen in de (productie)omgeving waarin deze eHealth-toepassingen gebruikt gaan worden.
- Samenwerking
- Universitaire Medische Centra helpen andere zorginstellingen, leveranciers en patiënten op gebied van cybersecurity, waarbij Z-CERT een verbindende rol speelt.
- Universitaire Medische Centra en leveranciers bereiden zich voor op cyberincidenten voor eHealth door oefeningen uit te voeren.