Blogs

« Terug naar overzicht

Zero Trust Policy

02-04-2021

Cybersecurity in de Zorg – een handreiking voor Directies en Toezichthouders.

Zero Trust….. dat is niet veel trust. En dat is ook precies de bedoeling volgens het Computer Emergency Response Team (verder: CERT). CERT is een Stichting die is opgericht op initiatief van onder meer de NVZ (Nederlandse Vereniging van Ziekenhuizen).

CERT geeft het nog maar eens in klare taal weer; er is een reëel Cyberdreigingsbeeld binnen de Zorg . De dreigingen die werden onderzocht gaan van DDoS aanvallen tot malware en van CEO fraude tot phising.

Juist in deze tijden is een betrouwbaar en veilige ICT omgeving van groot belang, omdat de samenleving zwaar leunt op de gezondheidszorg in brede zin. Daar waar we eigenlijk een blog wilden schrijven over block-chain toepassingen binnen de Zorg (zie een volgende blog), nu eerst even terug naar de wortel van iedere automatisering; de veiligheid en stabiliteit die het heeft.

Wat speelt er en wat zijn de gevaren nu concreet; enkele voorbeelden:
Covid- 19:
Cybercriminelen speelden bijvoorbeeld in op de Corona angst door phisingcampagnes te voeren met Covid-19 als thema. Ook werd misbruik gemaakt door cybercriminelen om te zoeken naar de extra toegang die (binnen het ICT systeem) werden opengezet bij zorginstellingen om thuis werken te faciliteren.

Omdat zorginstellingen in toenemende mate hun data binnen zelfde datacenters plaatsten zijn DDoS aanvallen bovendien steeds gevaarlijker. Ook kunnen na een datalek, via de getroffen zorginstelling, andere zorginstellingen met meer gemak worden aangevallen. De (schijn)veiligheid van uw data, waarvan u vermoedt dat ze op een veilige plek staan, is dus onder meer afhankelijk van hoeveel andere zorginstellingen eenzelfde veilige plek gaan kiezen.

Omdat steeds meer geldt dat we anytime and anywhere moeten kunnen (door) werken, zal beveiliging en privacy binnen ICT systemen in toenemende mate aandacht eisen. Juist in de Zorg is dit zo van belang omdat het (vaak) om de meest persoonlijke data gaat.

Waar begint de oplossing:
Vanzelfsprekend is het goed om kritisch te zijn en te blijven op toezeggingen van ICT leveranciers wanneer het gaat om de betrouwbaarheid van bedrijf kritische ICT systemen. Natuurlijk is de vastlegging van de diverse afspraken ook van groot belang. Laat dit doen door middel van multidisciplinaire teams en niet alleen door juristen, ICT-ers of verkopers/inkopers.

Waar weinig of geen aandacht voor is wanneer het over dit onderwerp van data-security gaat is dat directies en toezichthouders niet de juiste vragen (kunnen) stellen, simpelweg omdat concrete kennis en ervaring voor directies en toezichthouders niet altijd makkelijk voorhanden is. Het vereist een behoorlijk diepgaand inzicht op verschillende vakgebieden om dergelijke projecten te kunnen initiëren.

Graag staan wij u op dit punt bij, maar kijkt u ook eens naar de "Board Toolkit" van het Britse NCSC zodat het stellen van de juiste vragen voor u als directie of toezichthouder voor u een stuk eenvoudiger zal worden.

Mocht u omtrent het onderwerp nog meer nadere informatie wensen, neemt u dan contact op met mr. JP Sars LLM.

CS Advocaten maakt gebruik van Cookies

Geef per categorie de keuze voor het gebruik van cookies aan. Wij hebben de cookies van Google Analytics volledig geanonimiseerd en daarom mogen wij die plaatsen zonder toestemming.

In onze Privacyverklaring is hier meer over te lezen. Graag de beste website ervaring? Vink dan alle vakjes aan.

OK