Applicaties worden steeds intelligenter en het ICT landschap bij zorgaanbieders groeit. Tegelijkertijd stellen de Nederlandse overheid en de Europese Commissie steeds strengere eisen aan informatieveiligheid. Reden genoeg om meer te vertellen over de maatregelen die wij nemen om de informatie in onze software veilig te houden. We gaan in gesprek met onze Chief Information Security Officer (CISO) Erik-Jan Davids.
Security en veiligheid
Zo blijft de informatie in onze software veilig
Even voorstellen
Erik-Jan Davids werkt sinds 2020 als CISO bij Tenzinger. Na een opleiding computertechniek heeft Erik-Jan de afgelopen 25 jaar verschillende leiderschapsrollen bij diverse organisaties bekleed. Bij Tenzinger werken vindt hij waardevol, omdat de maatschappelijke impact van zijn werk zo relevant is. Als CISO bij Tenzinger is Erik-Jan de vraagbaak voor normen, best practices en wet- en regelgeving rondom informatiebeveiliging. Hij is dagelijks bezig met het adviseren, controleren en inspireren van de organisatie op het gebied van informatiebeveiliging, en vanuit zijn rol ook direct betrokken bij de productontwikkeling. Hij gelooft in een decentrale aanpak, waarbij security een geïntegreerd onderdeel is van alles wat we doen. Eigenlijk kun je Erik-Jan zien als de dirigent voor het gezamenlijke Tenzinger security orkest!
Eigenlijk kun je Erik-Jan zien als de dirigent voor het gezamenlijke Tenzinger security orkest!
Hoe belangrijk is informatiebeveiliging in de zorg?
“De veiligheid en privacy van cliënten en patiënten is voor zorgaanbieders prioriteit nummer één. Steeds meer administratie in de zorg gebeurt digitaal. Informatiesystemen zoals ECD’s en portalen zijn daarom cruciaal en de afhankelijkheid van deze systemen neemt alleen maar toe. De data in zorginformatiesystemen is enorm belangrijk voor zorgaanbieders, maar ook waardevol voor criminelen. Door de gevoeligheid van de informatie die in ECD’s en portalen zijn vastgelegd, zien criminelen en hackers de zorg als een belangrijk doelwit. Bij een gijzeling van systemen komen zorgprocessen tot stilstand, wat als drukmiddel gebruikt wordt om losgeld te betalen. Dit gaat soms om miljoenen euro’s.
Als zorgaanbieder ben je verantwoordelijk voor de gegevens van jouw cliënten. Je wilt niet dat cliëntinformatie op straat komt te liggen en cliënten slachtoffer worden van fraude. Daarbij komt de dreiging van boetes en reputatieschade bij het openbaar maken van gestolen gegevens. Informatiebeveiliging moet, naast het leveren van kwalitatieve zorg, dus absoluut één van de hoogste prioriteiten zijn voor zorgaanbieders.”
Wat zie je als de grootste uitdagingen, nu en in de toekomst?
Toenemende dreiging
“De ontwikkelingen in de wereld van informatiebeveiliging gaan razendsnel. Cybercriminelen zijn meedogenloos en hebben steeds meer middelen tot hun beschikking. Als gevolg moeten (zorg)organisaties steeds meer tijd, geld en aandacht besteden aan het bestrijden van cybercriminaliteit. Tijd, geld en aandacht die al schaars is en ten koste gaat van de primaire activiteiten zoals het leveren van goede zorg.”
Digitale gegevensuitwisseling
“De zorg staat voor een enorme opgave waarbij verdere digitalisering, de inzet van data en het uitwisselen van gegevens juist een belangrijk onderdeel vormen van de oplossing. Het digitaal uitwisselen van gegevens biedt enorme voordelen, zoals het niet meer hoeven versturen van gevoelige (cliënt)informatie via onbeveiligde mails of papieren documenten. Tegelijkertijd maakt deze digitaliseringsslag het aanvalsgebied voor hackers weer groter en nemen de bijbehorende risico’s toe. De veiligheid van het kunnen uitwisselen van gegevens wordt dus alleen maar belangrijker.”
Groeiende kosten voor informatieveiligheid
“Bovenstaande ontwikkelingen maken dat zorgaanbieders, maar ook wij als ECD-leverancier, hogere kosten moeten maken voor het beheersen van deze risico’s. Ontwikkelingen op het gebied van gegevensuitwisseling en het ontsluiten van data vereisen dat software die een aantal jaren geleden ontwikkeld zijn als een ‘gesloten’ systeem waar gegevens binnen de applicatie bleven nu aangepast moeten worden om deze gegevens op een veilige manier te kunnen uitwisselen met gekoppelde systemen. Je kunt dit vergelijken met een wat ouder huis waar je een verdieping op wil zetten. Je moet eerst de fundering aanpassen voordat de woning klaar is voor de nieuwe verdieping.”
Wat doet Tenzinger om informatie in de zorg veilig te houden?
“Informatiebeveiliging is een complex en veelomvattend onderwerp wat diep ingebakken zit binnen onze organisatie. Samen met onze Privacy Officer Marieke van Dijk informeren en trainen we medewerkers over privacy en informatieveiligheid. Het is belangrijk dat de basis op orde is en dat risico’s worden beheerst. Om dit te bereiken hebben we bij Tenzinger een informatiebeveiligingsmanagementsysteem (ISMS) ingericht dat gecertificeerd is volgens de NEN 7510 norm. Een ISMS bestaat uit een stelsel van beleidsregels, processen en beheersmaatregelen en is samengesteld op basis van behoeften en verwachtingen van opdrachtgevers, stakeholders en onze beoordeling van de informatiebeveiligingsrisico’s. Dit ISMS wordt continu doorontwikkeld en bijgewerkt om te blijven voldoen aan de normen en richtlijnen.”
Meer over de maatregelen die wij nemen om de informatie in onze software veilig te houden vind je in ons whitepaper ‘Veilig werken met een SaaS ECD’.
Waar werken wij nu aan en wat merken onze opdrachtgevers daarvan?
“Ik krijg regelmatig vragen hoe we ontwikkelingen in onze software op het gebied van informatiebeveiliging kunnen laten zien aan onze opdrachtgevers. Dat is soms best lastig. De onderwerpen privacy, security en technisch onderhoud nemen een steeds prominentere plek in op onze roadmap. Dit jaar is er zelfs een extra deel van het budget gereserveerd. Niet omdat onze software niet veilig is, maar om toekomstbestendig te blijven en de veiligheid op de lange termijn te kunnen garanderen.
Er is waarde die je kunt zien en waarde die je niet direct kunt zien, een beetje als de bekende ijsberg. Zo nemen wij maatregelen die zichtbaar zijn aan de voorkant van onze software, zoals het inloggen via 2-factor-authenticatie, maar doen wij ook optimalisaties in de code van de software. Daar merken onze opdrachtgevers niet direct iets van, maar het is onderhoud die nodig is om te zorgen dat we hoge kwaliteit producten kunnen blijven leveren – nu en in de toekomst. Een voorbeeld hiervan is de Tenzinger Identificatie Service. Hiermee zetten we een stap in het veilig kunnen uitwisselen van gegevens, zonder dat zorgprofessionals opnieuw hoeven in te loggen in aan Medicore gekoppelde applicaties. Hiermee maken we gegevensuitwisseling veiliger en maken we het switchen tussen systemen voor zorgprofessionals eenvoudiger, een win-win situatie.”
Wat kunnen zorgaanbieders zelf doen rondom het thema security en privacy?
“De data in systemen is eigendom van de zorgorganisatie, daarom is het belangrijk voor zorgaanbieders om hier een beleid op te voeren. Laat je door jouw ECD/EPD aanbieder goed informeren over de mogelijkheden die de software biedt. Wij implementeren onze software via een best practice implementatie. Onderdeel hiervan is ook de inrichting van rollen en autorisaties. Hiermee bedoelen we dat het stukje ‘wie mag wat zien in de software’ goed wordt ondervangen. Zo zorg je er als zorginstelling voor dat gevoelige cliëntinformatie alleen beschikbaar is voor de juiste personen.”
Het is belangrijk om te beseffen dat een keten zo sterk is als de zwakste schakel. Wij ontzorgen onze opdrachtgevers voor een groot deel op het gebied van informatiebeveiliging, maar het blijft een gedeelde verantwoordelijkheid. Daarom hieronder mijn tips voor zorgaanbieders:
- Gebruik sterke wachtwoorden
- Zorg voor een goede beveiliging in de eigen ICT-omgeving
- Overweeg het gebruik van IP whitelisting
- Maak een calamiteitenplan om goed voorbereid te zijn
- Bewaar gegevens zo veel mogelijk binnen het ECD
- Sluit systemen af voor medewerkers die niet meer werkzaam zijn”
Stel een vraag