Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 01 juni 2015

De grootste beveiligingsuitdagingen voor IT in de zorg

Software Security Zorg

Sinds 2013 is het aantal gedetecteerde beveiligingsincidenten in de gezondheidszorg met 60% toegenomen. De kosten voor beveiliging van IT zijn met 66% gestegen sinds datzelfde jaar. Vergelijk dit met percentages in andere sectoren zoals olie en gas (15%) en nutsbedrijven (9%) en de omvang van het probleem wordt duidelijk. Het totale financiële verlies als gevolg van beveiligingsincidenten is met maar liefst 282% toegenomen (bron: PWC Global Information Security Practices, 2015 Survey). Waarom is de beveiliging van IT in de gezondheidszorg zo problematisch? Wat veroorzaakt het grote aantal incidenten en wat kunnen we er aan doen?

De eindgebruiker: voorkomen dat je moet genezen
In de 2013-2014 Security Deployment Trends Survey gaf 80% van de security professionals aan dat onvoorzichtigheid van de eindgebruiker de grootste bedreiging voor de veiligheid van hun organisatie vormt. Dat legt een erg grote verantwoordelijkheid op de schouders van de gebruikers. Maar is dat wel terecht? Het is belangrijk dat we inzien dat deze ‘onvoorzichtigheid’ geen kwade wil is, maar in de praktijk vaak veroorzaakt wordt door mensen die hun werk zo goed mogelijk willen doen. Een arts kan bijvoorbeeld tegen een probleem aanlopen bij het printen van een formulier, online gaan, een nieuwe driver installeren en zo per ongeluk het netwerk met malware besmetten. Of een drukke verpleger heeft geen tijd beschikbaar om een belangrijke update uit te voeren, met een beveiligingsincident als gevolg. Deze twee voorbeelden zouden volledig voorspelbaar (en dus te voorkomen) moeten zijn, gezien het feit dat deze mensen alleen maar hun werk wilden doen.

Een belangrijk adagium in de gezondheidszorg, voorkomen is beter dan genezen, geldt ook voor de beveiliging van de IT-systemen. Hoe kunnen we de gevaren van onvoorzichtige gebruikers voorkomen terwijl het personeel in de gezondheidszorg juist steeds mobieler wordt, minder lang voor dezelfde werkgever werkt, soms zelfs in meerdere ziekenhuizen tegelijkertijd werkzaam is en onder voortdurend toenemende druk de werkzaamheden uit moet voeren? Het antwoord is: automatisering. Automatisering kan ervoor zorgen dat personeel in de gezondheidszorg verzekerd is van de juiste en directe toegang tot applicaties en informatie, waarmee het risico dat beveiligingsvoorschriften worden omzeild, kan worden voorkomen. Met behulp van automatisering kun je de toegang tot applicaties en data baseren op de vooraf gedefinieerde rol van de gebruiker. Je kunt technologie inzetten om de context waarbinnen gebruikers werken te detecteren. Combineer je deze mogelijkheden, dan kun je de toegang tot gevoelige patiëntinformatie automatisch toestaan of weigeren op grond van iemands functie, waar iemand zich bevindt en welk apparaat iemand gebruikt voor het opvragen van de data. Zo kun je bijvoorbeeld een arts toegang verlenen tot privacygevoelige informatie wanneer zij op de relevante afdeling is en de toegang weigeren wanneer ze aan het lunchen is, of zich op een andere locatie bevindt.

Fuseren zonder de controle te verliezen
Fusies en overnames worden vaak over het hoofd gezien als het gaat over security. Consolidaties van ziekenhuizen zijn wereldwijd, maar ook in Nederland, bijzonder actueel. In Nederland staan het Bronovo Ziekenhuis en het Medisch Centrum Haaglanden in Den Haag op het punt van fuseren, evenals de Stichting Rijnland Zorggroep in Leiderdorp en het Diaconessenhuis Leiden.

Wanneer gezondheidszorgorganisaties fuseren, is het onvermijdelijk dat een aanzienlijk deel van het personeel van functie verandert. Sommige personeelsleden veranderen van rol of afdeling, anderen worden overgeplaatst of gepromoveerd en een aantal zal de organisatie verlaten. En dan moeten IT-beheerders ook nog voorbereid zijn op het samenvoegen van de systemen. Gebruik je het HR-systeem van het ene ziekenhuis of juist die van het andere? Of allebei? Hier komen problemen met compliancy en beveiliging vaak aan het licht.

Ook hier geldt weer: voorkomen is beter dan genezen. Bijvoorbeeld door het automatiseren van het on- en offboarden van het personeel. Wanneer ziekenhuizen voorafgaand aan een fusie overeenkomen hoe ze de functies en rollen definiëren, dan kunnen er individuele profielen worden gemaakt om rechten voor systeemtoegang toe te wijzen. Voeg hier technologie aan toe die zich bewust is van de context van de gebruiker (wordt er bijvoorbeeld een beveiligde wifiverbinding gebruikt, bevindt de gebruiker zich wel binnen de ziekenhuismuren et cetera) en de IT-afdeling kan de IT moeiteloos onder controle houden, ook tijdens de chaos van een fusie of een overname.

Academische ziekenhuizen: dynamische en levendige werkplekken
Automatisering en contextbewustzijn kunnen dus erg nuttig zijn voor IT-afdelingen in de gezondheidszorg die de veiligheid willen waarborgen. Academische ziekenhuizen tonen dit goed aan, want zij hebben dankzij hun aard een groot personeelsverloop. Allereerst hebben ze de typische HR-uitdagingen die ieder ziekenhuis heeft –nieuwe artsen, visites en consulten, tijdelijk ingehuurde verpleging en ondersteunend personeel dat komt en gaat- maar daarbovenop komt nog de verse groep studenten die ieder semester instroomt om het medische vak te leren.

Dat zorgt ervoor dat academische ziekenhuizen dynamische en levendige werkplekken zijn en vaak aan de basis staan van medische innovatie. Maar voor de HR- en IT-afdelingen zorgen deze eigenschappen juist voor kopzorgen op het gebied van beveiliging en regelgeving. Ook hier zijn automatisering en contextbewustzijn natuurlijk nuttig, maar laten we nog een stapje verder gaan: zou het niet bijzonder handig zijn als de ziekenhuismedewerkers gebruik kunnen maken van selfsevice IT? Wanneer ze de applicaties die ze nodig hebben simpelweg op kunnen halen in een Amazon-achtige omgeving? Een IT store waar ze de applicaties en diensten die ze nodig hebben alleen maar hoeven te bestellen, waarna ze op basis van rol en functie direct en automatisch geleverd kunnen worden, of volgens vooraf bepaalde zakelijke goedkeuringsprocessen.

Wat betekent een dergelijke IT-as-a-Service voor academische ziekenhuizen? Vooral dat mensen sneller de middelen krijgen die ze nodig hebben, op een geautomatiseerde manier, die voldoet aan de regelgeving. Het geautomatiseerde gedeelte is goed voor de IT-afdeling: het scheelt tijd, geld en energie. Het voldoen aan de regelgeving is goed voor de gehele organisatie, die de veiligheid kan waarborgen en audits zonder problemen kan doorstaan.

Automatisering, context en IT-as-a-Service
Als zorginstellingen de regels voor het beheren van de machtigingen zouden kunnen automatiseren, als er een toegangsautomatisering mogelijk zou zijn die rekening houdt met de context waarbinnen het personeel zijn werk uitvoert en als IT-diensten via een selfservice portal aan zorgpersoneel beschikbaar zou kunnen worden gesteld, dan wordt het mogelijk om medisch personeel op een veilige, eenvoudige en directe manier te voorzien van de IT-diensten die het nodig heeft.

Contextbewustzijn maakt het mogelijk dat het personeel overal kan werken en op elk gewenst apparaat, terwijl gevoelige informatie binnen de ziekenhuismuren blijft. Iedere handeling in het systeem wordt automatisch en gecentraliseerd bijgehouden, wat zorgt voor een aanzienlijk vermindering van de rapportagelast waar ziekenhuizen aan moeten voldoen omdat de IT-afdeling direct de beschikking heeft over de informatie die nodig is voor audits. Compliance kan zonder vertraging worden aangetoond en het personeel kan zich bezig houden met wat echt belangrijk is in de gezondheidszorg, namelijk het leveren van hoge kwaliteit patiëntenzorg.

Bob de Kousemaeker, Vice President of Research and Development bij RES Software

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events