Selecteer een pagina

Waar moet de gezondheidszorg haar data bewaren?

31 maart 2017

Volgens het Britse Information Commissioner’s Office staan eind 2016 medische datalekken voor 40% van de beveiligingsincidenten. Dit soort informatie zorgt voor een ware nachtmerrie. Enerzijds gaat het in de gezondheidszorg om zeer gevoelige data, anderzijds kan de beschikbaarheid van up-to-date medische gegevens bepalend zijn voor leven of dood van patiënten.
Malafide hackers, – zogenoemde black hat hackers -, zijn zich hier terdege van bewust. Ze beseffen dat medische organisaties bereidwillig zijn om losgeld te betalen als het leven van patiënten op het spel staat.

Digitalisering verhoogt veiligheidskwesties

Nu medische processen een grote hoeveelheid papierwerk genereren verbaast het niet dat de gezondheidszorg steeds meer digitaliseert. De voordelen zijn duidelijk: medische informatie kan eenvoudig van de ene naar de andere organisatie verstuurd worden en patiënten hebben betere toegang tot hun medische dossiers. Maar er rijzen vragen: waar en hoe moet de informatie naar veilig en behoren worden opgeslagen? Iedere organisatie die toegang tot deze informatie nodig heeft heeft ander bestuur, management en beleid. Het is door deze uiteenlopende eisen moeilijk om consistent beveiligingsbeleid en –training te maken.
Cédric Cartau, Chief Information Security Officer bij het academisch ziekenhuis van Nantes stelt:

“In de komende 5 tot 10 jaar kunnen we veel meer beveiligingsincidenten verwachten, die hogere budgetten, meer personeel en het aanleren van best practices vereisen.”

En wat ga je doen als je zeker bent van je eigen beveiligingsbeleid, maar weet dat een ander ziekenhuis waarmee je gegevens moet delen niet zo geavanceerd is met betrekking tot digitale hygiëne?
Consistent bestuur is moeilijk: de mix van private en publieke organisaties in veel landen als Nederland, het Verenigd Koninkrijk, Frankrijk, Duitsland en de Verenigde Staten maken uniforme protocollen en beleid extra lastig.

Gezondheidszorg: dure chaos

De huidige situatie kan op zijn best als chaotisch omschreven worden. PBS stelt de vraag of het hacken een epidemie is geworden in de gezondheidszorg. Medische gegevens kunnen vanaf meerdere plaatsen gelekt worden. Volgens dit rapport van het U.S. Department of Health and Human Services deden zich in 2016 gemiddeld vier datalekken per week voor. Ook patiënten zelf vormen een kwetsbaarheid. Ze hebben vaak nauwelijks beveiligde gezondheids-apps op hun smartphone geïnstalleerd. Die gegevens zijn een boel geld waard!

Digitale medische dossiers zijn 100 keer meer waard dan gestolen credit cards

stelt James Scott, mede-oprichter en senior partner van het Institute for Critical Infrastructure Technology (ICIT) in Washingtion D.C.

Public cloud: geen oplossing

IT-afdelingen hebben geen substantiële budgetten die geoormerkt zijn voor beveiligingszaken. Het is echter een serieus probleem als je, zoals het Beth Israel Deaconess Hospital, gemiddeld iedere 7 seconden wordt aangevallen. Sommige organisaties in de gezondheidszorg hebben daarom een verrassende stap gezet door hun data in de Public Cloud te zetten. In termen van security is dat inderdaad een beter alternatief dan om met een minimaal budget een eigen systeem bouwen. Microsoft, Google en Dropbox besteden immers miljoenen aan beveiliging. Hun teams dichten beveiligingslekken in een mum van tijd, terwijl het hun core business is om data beschikbaar te maken, waar en wanneer deze nodig zijn.

security in de gezondheidszorg
security in de gezondheidszorg

Maar Public Clouds zijn niet goed ingericht om met medische data om te gaan. In de eerste plaats geeft het gebruik van Public Clouds zorgen op het vlak van privacy. Dat is bijzonder verontrustend als het gaat om dergelijke gevoelige data. Ten tweede kan opgemerkt worden dat Public Clouds de beveiligingsproblemen niet echt oplossen!

Vanwege het typisch op consumenten gerichte karakter van Public Clouds moeten IT-afdelingen vertrouwen op third-party applicaties om er zeker van te zijn dat alleen de juiste mensen toegang hebben tot medische gegevens en om het veilige gebruik van deze clouds af te dwingen. Deze applicaties verschaffen bijvoorbeeld Identity as a Service (IaaS) en ondersteunen het beheer van devices van medewerkers en het delen van data. Maar dit verlegt alleen maar het probleem. Het gebruik van op elkaar gestapelde tools en applicaties verveelvoudigt de complexiteit en vergroot de kansen op kostbare fouten en de ‘surface of attack’. Een datalek kan nu worden veroorzaakt op meerdere niveaus en in een variëteit van applicaties! Het verleggen van het beveiligingsbeleid beperkt ook het vermogen om zich aan te passen aan veranderende situaties en eisen:

  • Kunt u het delen of downloaden van specifieke bestanden volgen (of beperken!) als u dat moet vanwege compliance-eisen?
  • Kunt u het hele proces veranderen of aanpassen als nieuwe wetgeving van kracht wordt?
  • Kunt u op zijn minst een deel van uw data uit de Cloud verhuizen naar een andere locatie als dat noodzakelijk is of is dat te kostbaar?

We hebben het over een vendor lock-in en gebrek aan controle, over het simpele feit dat de medische gegevens van uw patiënten op een onbekende locatie vermengd worden met de gegevens van ontelbare andere gebruikers en over de kans om deel te zijn van een gigantisch datalek zoals deze bij Dropbox vorig jaar. De risico’s van de Public Cloud zijn ontelbaar, terwijl de beloofde kostenbesparingen meestal niet gerealiseerd worden.

Private cloud: blijf in control

Voor de medische sector is het toepassen van een Private Cloud-oplossing de meest krachtige en elegante oplossing van het dilemma security versus toegankelijkheid. De bestaande data-opslag en toegangstechnieken en, – nog belangrijker- , bestaande beheersprocessen en tools hebben voordeel bij software zoals Nextcloud. Data die behandelaars nodig hebben komen gemakkelijk en snel beschikbaar, terwijl de IT-afdeling in control kan blijven. Het flexibele karakter van Nextcloud maakt een diepe integratie in bestaande infrastructuren mogelijk.

  • Krachtige mogelijkheden voor File Access Control stellen beheerders in staat datastromen te beheren, te optimaliseren en te beveiligen.
  • De mogelijkheid om de toegang tot data de beperken en te monitoren tot een specifieke groep gebruikers en de mogelijkheid om een expiratiedatum in te stellen als bestanden worden gedeeld, voorzien in een duidelijke behoefte bij medische organisaties.
  • Het versleutelen van data op opslagmedia stelt medische organisaties in staat kosten te optimaliseren door te profiteren van Public Cloud-opslag door data de beveiligen met versleuteling en de encryptie-sleutel in eigen huis te houden.

Nextcloud biedt de meest veilige en kostenefficiënte Private Cloud-oplossing in de markt. Het is ontwikkeld met geverifieerde, toonaangevende beveiligingsstandaarden en biedt unieke tools om de beveiliging van Private Clouds te verifiëren.

 

 

 

 

Dit artikel was oorspronkelijk in het Engels gepubliceerd op de website van Nextcloud.

Share This