ICT Zorg

Add to favorites

Make a startpage

Aanmelden Spider Award

Thema's

De onvermijdelijkheid van hackers en computerwormen

Informatiebeveiliging

De onvermijdelijkheid van hackers en computerwormen

12 MRT 2008

Goede investeringen en een goed beleid verminderen de kwetsbaarheid, maar er zullen altijd cyberrisico’s blijven bestaan. Daarom is verzekering een belangrijk onderdeel van het ict-beveiligingsbeleid.

Vanaf eerste stap van de patiënt in een zorginstelling, bij de inschrijfbalie, tot  het ontslag en facturatie is er sprake van ict-afhankelijkheid. Deze is niet alleen kritisch voor de gezondheid van de patiënten, maar ook voor de financiële gezondheid van een zorginstelling.
 
  • Als we even opsommen waar er in een zorginstelling ict-afhankelijkheid is, dan komen we tot een grote lijst:
    ziekenhuisinformatiesystemen, met daarin onder andere de administratie van opname en ontslag, laboratoriumuitslagen, medicatiebeheer, planning van OK;
  • het elektronisch patiëntendossier, met gegevens als burgerservicenummer, elektronisch medicatiedossier;
  • monitoring van patiënten gedurende een operatie;
  • monitoring van patiënten op afstand;
  • facturatie aan zorgverzekeraars;
  • interne communicatie zoals het alarmsysteem, intranet en telefonie;
  • het onderhoudssysteem van de technische dienst.
Menselijke fout
Veronderstel dat door een menselijke fout het hele ict-systeem in een ziekenhuis ‘plat ligt’, bijvoorbeeld door de slechte installatie van een update van het beheersysteem, of door een computervirus. Operaties zijn niet meer mogelijk, want medewerkers hebben geen toegang meer tot cruciale zaken, zoals de planning van de operaties en het elektronisch patiënten dossier (EPD).
 
Integriteit
De gevolgen voor de patiënt en de zorginstelling zijn groot. Ook financieel: het kost veel tijd en geld om gegevens opnieuw op te vragen en in te voeren (reconstructiekosten), naar andere systemen uit te wijken, patiënten te informeren en afspraken te verzetten. Als laboratoriumuitslagen niet meer teruggevonden kunnen worden, of als het niet zeker is dat de elektronische uitslagen correct zijn, dan zullen er op zijn minst reconstructiekosten zijn voor het controleren van de integriteit van de gegevens. In het slechtste geval zal men de test opnieuw moeten uitvoeren.
 
Noodplan
Er zullen ook extra bedrijfskosten gemaakt worden tijdens de computerstoring. Men zal het noodplan van een ziekenhuis toepassen: inhuren van extra mankracht om het nood ict-plan op te starten, toepassen van andere werkmethodes, inhuren van onderaannemers of externe dienstverleners. In het slechtste geval zal de zorginstelling inderdaad inkomsten mislopen. Immers, als een zorginstelling per jaar minder operaties kan uitvoeren, dan kan men ook minder operaties in rekening brengen bij de zorgverzekeraar.
 
Virussen
Welke cyberrisico’s zijn er eigenlijk en hoe kunnen ziekenhuizen zich daartegen beschermen? Er zijn een aantal risico’s die veel voorkomen, zoals virussen, hackers, falende systemen of (moedwillige) vernietiging of verminking van data. Deze risico’s kunnen verminderd worden door basismaatregelen of technische analyses. Voorbeelden van basismaatregelen zijn het installeren van technische oplossingen, zoals antivirussoftware, een firewall en een ‘Intrusion Prevention System’, dat zorgt dat wormen en virussen al voor het betreden van het netwerk worden tegengehouden, en het maken van regelmatige back-ups van kritische bestanden.
 
Aanpak
Maar ict-beveiliging vereist meer dan technische oplossingen, het vereist een structurele en systematische aanpak:

• Inventariseer of er voldoende kennis binnen de zorginstelling is over de ict-systemen en de beveiliging daarvan.
• Voer een technische analyse uit om te bepalen welke apparatuur en gegevens beschermd moeten worden.
• Bepaal door middel van een risico-analyse welke bedreigingen en risico’s er zijn, hoe groot de kans is dat deze voorkomen en welke impact ze hebben op de organisatie áls ze voorkomen. De bedreigingen met de grootste kans en de grootste impact moeten de hoogste prioriteit krijgen.
• Maak op basis hiervan een plan voor het voorkomen en opsporen van bedreigingen. Dit plan beschrijft ook welke procedures door welke mensen gevolgd moeten worden als een cyberrisico daadwerkelijk plaatsvindt.
• Zorg dat alle medewerkers zich bewust zijn van het protocol voor het gebruik van computers, het netwerk, internet en e-mail. Door middel van regelmatige trainingen kan dit bewustzijn in stand gehouden worden.
• Het opstellen van zo’n ict-beveiligingsbeleid is één ding, zorgen dat het actueel blijft is een tweede. Het zal dus regelmatig geëvalueerd moeten worden, om te bepalen of aanpassingen of aanscherpingen nodig zijn.
 
Firewall
Maar hoe goed de basismaatregelen ook zijn, en hoe grondig een ict-beveiligingsbeleid wordt opgesteld en nageleefd, honderd procent beveiliging is niet te garanderen. Een anti-virus komt per definitie ná een virus. Een firewall bepaalt alleen wie toegang krijgt tot welke delen van het netwerk en kijkt niet in de informatie zelf. Daardoor kunnen virussen en computerwormen toch binnenkomen. Bovendien zijn menselijke fouten niet uit te sluiten. Goede investeringen en een goed beleid verminderen wel de kwetsbaarheid, maar er zal altijd een risico blijven bestaan. Zorginstellingen moeten zich daarvan bewust zijn. Een ziekenhuis in Amsterdam heeft ooit zijn poliklinische afdeling enkele uren moeten sluiten wegens computerproblemen.
 
 
Ict-problemen
Een ziekenhuis in de VS is door een hacker aangevallen, waardoor alle hartmonitors continu bleven rebooten en dus niet gebruikt konden worden. Operaties waren daardoor niet mogelijk. In Noord-Ierland heeft in augustus 2007 een ziekenhuis twee dagen zonder patiëntenregistratie moeten werken. In Californië is er een officieel onderzoek geweest naar een ziekenhuis omdat de online medicijnenregistratie en -orders verloren gingen. En in Oxford, Engeland heeft de installatie van een nieuw programma tot verlies van kritische patiëntengegevens geleid.
 
De resulterende extra kosten na ict-problemen kunnen snel enkele honderdduizenden euro’s bedragen. Als een zorginstelling echt geen patiënten kan opnemen, kan dit bedrag nog hoger worden. Afhankelijk van de grootte van een ziekenhuis kunnen de gemiste inkomsten oplopen van 100.000 tot 500.000 euro per dag.
 
Cyberrisico's 
Daarom is verzekering ook een belangrijk onderdeel in het ict-beveiligingsbeleid. De meeste organisaties hebben wel een verzekering voor de fysieke apparatuur, zodat deze vergoed wordt bij beschadiging, brand of diefstal, en ze hebben ook een verzekering voor gemiste inkomsten na fysieke schade, maar niet voor de financiële gevolgen van cyberrisico’s. En dat terwijl deze gevolgen erg groot kunnen zijn, zoals hierboven beschreven.
 
Auteursgegevens: Daniël Jacobs is senior verzekeringsexpert op het gebied van digitale risico’s bij verzekeraar ACE Europe.

Tip een collega  Tip een collega              Print
« Vorige Artikel   |   Volgende Artikel »

Meer sites

Meer sites
voor zorgmanagers: zorgvisie.nl
voor verpleegkundigen: nursing.nl
voor verzorgenden: nursing.nl/tvv
en bekijk ook het laatste gezondheidszorgnieuws
en de online shop

ICTzorg Jaargids

Vind belangrijke ICT-leveranciers, eenvoudig en op elk moment van de dag. Deze site is makkelijk om altijd achter de hand te hebben!

Bekijk de ICTzorg Jaargids >>

Nieuws op EGZ.nl

Via het tabblad Nieuws op EGZ.nl blijft u dagelijks, met hebulp van RSS, op de hoogte van al het nieuws uit de gezondheidszorgbranche. Daarnaast biedt deze site u interessante boeken en vakbladen.

Nieuws op EGZ.nl >>




Nieuwsbrief

Blijf op de hoogte van nieuws en actualiteiten rondom ICT in de zorg. Meld u aan voor de nieuwsbrief van ICTzorg. Dan ontvangt u wekelijks het laatste nieuws gratis in uw mailbox.

Abonnement afsluiten

ICTzorg magazine: achtergrondinformatie, opinie,
trends en belangrijke evenementen in één overzicht. In combinatie met de website en de e-mailnieuwsbrief de informatieverstrekker.

Abonnement nemen?

Reed Business
 Reed Business bv. Auteursrecht voorbehouden.
Op gebruik van deze site zijn de volgende regelingen van toepassing
Gebruiksvoorwaarden |  Privacy Statement |  Voeg toe aan favorieten | Maak ICTZorg mijn startpagina