KPN: informatiebeveiliging prioriteit voor ziekenhuis; slimmer inzetten budget nodig
Informatiebeveiliging en cybersecurity staan hoog op de agenda van de Raad van Bestuur van de Nederlandse Ziekenhuizen. Risicobewustzijn en aandacht voor het beschermen van vertrouwelijke patiëntgegevens nemen sterk toe. Het blijkt voor een deel van de ziekenhuizen echter een uitdaging om dit besef te vertalen in slimme inzet van de beschikbare budgetten en voortdurende monitoring op datalekken of cyberbedreiging. Dat blijkt uit het onderzoek “Informatiebeveiliging in de Zorg” dat KPN vandaag presenteert tijdens de vakbeurs Zorg & ICT in Utrecht.
Patiëntenzorg behelst meer dan het zo goed mogelijk behandelen van een ziekte of aandoening. Ook de zorg voor de informatie van en over die betreffende patiënt valt onder de verantwoordelijkheid van de zorginstelling. KPN heeft de Chief Information Security Officers (CISO’s) van negentien ziekenhuizen bevraagd over uiteenlopende aspecten van informatiebeveiliging in hun ziekenhuis. Het onderzoek is uitgevoerd door de afdeling Trusted Services van KPN.
Vier op de vijf ziekenhuizen noemt informatiebeveiliging een prioriteit
Maar liefst 79% van de ziekenhuizen beschouwt informatiebeveiliging als prioriteit op Raad van Bestuur-niveau. Het budget blijft echter achter bij de toenemende risico’s rond het verlies van patiëntgegevens, sociale media, malware en verouderde soft- en hardware. Het meten van return on security investment heeft nauwelijks aandacht. Monique Philippens, directeur Zorg van KPN: “Opvallend is dat meer dan 50% van de geïnterviewde ziekenhuizen aangeeft dat het budget voor informatiebeveiliging niet toeneemt het komende jaar. Slimmere budgetinzet lijkt hierbij kansen te bieden.”
Processen op orde, maar dagelijks besef gebruikers nog niet
Het voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging staat hoog op de agenda van de Raad van Bestuur en wordt als enigszins effectief ervaren in het verlagen van risico’s. Meer dan de helft van de deelnemende ziekenhuizen voert dan ook periodieke compliance reviews uit om de benodigde processen te evalueren. Een derde van de ziekenhuizen voert deze momenteel niet uit. Het onderzoek laat zien dat ziekenhuizen hun processen veelal op orde hebben. Ziekenhuizen maken zich echter wel zorgen op het gebied van informatiebeveiliging, en dan met name het besef van beveiligingsrisico’s onder eigen medewerkers.
Cybersecurity nog ver van eigen bed
Het lijkt erop dat de meeste ziekenhuizen zichzelf op dit moment niet zien als doelwit van hackers, omdat de ICT zich nu nog veelal binnen het ziekenhuis afspeelt. Uit het onderzoek blijkt dat ziekenhuizen zich op de eerste plaats veel zorgen maken over het verlies van (vertrouwelijke) patiëntinformatie. Op de tweede plaats staat de uitbraak van een groot virus, phishing aanval of andere malware. Philippens: “Een groot deel van de deelnemende ziekenhuizen zet wel op regelmatige basis ethical hackers in om kwetsbaarheden in systemen te identificeren. Echter continu monitoren op cybercriminaliteit en op kwetsbaarheden die datadiefstal van onder meer patiëntgegevens kunnen veroorzaken, wordt niet structureel toegepast.”