Om misbruik van persoonsgegevens tegen te gaan, zijn er strikte regels voor informatiebeveiliging waar zorgorganisaties zich aan moeten houden. Hoe zit die regelgeving precies in elkaar? Deel 2 van de serie over informatiebeveiliging in de zorg.
De hack waarbij onlangs persoonsgegevens van honderdduizenden Nederlanders zijn gestolen uit een systeem van het laboratorium Clinical Diagnostics Nederland (dochter van het Franse Eurofins), zet de schijnwerpers op de regels rond informatiebeveiliging in de zorg. Die zijn vastgelegd in de normen NEN 7510 en 7512. Computable vroeg toelichting over de samenhang van de regelgeving aan Tim Heijltjes, woordvoerder van Z-CERT, de officiële organisatie voor het voorkomen en/of tijdig oplossen van cyberincidenten in de zorg.
Welke zorgorganisaties moeten aan NEN 7510 en 7512 voldoen en is certificering verplicht?
‘Alle zorgaanbieders die onder de Wet kwaliteit, klachten en geschillen in de zorg vallen en die persoonsgegevens van patiënten of cliënten verwerken, zijn verplicht om aantoonbaar aan de NEN 7510 te voldoen. ‘Aantoonbaar’ betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit. Veel zorginstellingen en zelfstandige zorgverleners vallen onder deze wet. Het is dus niet verplicht om te certificeren voor de NEN 7510. Certificeren maakt het aantonen natuurlijk wel makkelijker. De NEN 7512 is een uitwerking van de NEN 7510 en daarom ook verplicht, apart certificeren voor de NEN 7512 is niet mogelijk. De Inspectie Gezondheidszorg en Jeugd is verantwoordelijk voor de naleving.’
Waar overlappen deze normen met andere cybersec-regels zoals NIS2?
‘De NIS2 is een EU-richtlijn. Zo’n richtlijn heeft geen nationale rechtstreekse werking en dient daarom in alle Europese lidstaten te worden omgezet naar nationale wetgeving. In Nederland wordt dat de Cyberbeveiligingswet. Daarin zijn verschillende rechten en plichten opgenomen, waaronder de zorgplicht. Voldoen aan de NEN 7510 geeft voor zorgaanbieders invulling aan deze zorgplicht. De NEN 7510 is een zorgspecifieke verdieping op de – de facto – wereldwijde standaard voor het managen van informatiebeveiliging, de ISO27000. Daarnaast heeft de NIS2 aanvullende eisen. Naast zorgaanbieders vallen ook een aantal leveranciers in de zorg rechtstreeks onder de Cyberbeveiligingswet, zoals vervaardigers van medische hulpmiddelen, vervaardigers van farmaceutische basisproducten en bereidingen en entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen.’
In NEN 7512 staat over de uitwisseling van persoonsgegevens tussen bijvoorbeeld lab en zorgaanbieder onder andere: ‘Communicatiepartijen moeten zijn aangesloten bij een erkende CERT-organisatie die gespecialiseerd is in het voorkomen en/of tijdig oplossen van cyberincidenten.’
Is het lab lid van een CERT-organisatie?
‘Het gehackte lab is geen Z-CERT deelnemer. Geen enkel Eurofins-lab is deelnemer van Z-CERT. Wij zijn de aangewezen CERT voor de gehele zorgsector en maken, om de hele sector te kunnen beschermen, geen onderscheid tussen wie wel of niet voldoen aan de NEN of andere wetgeving. Omdat Z-CERT, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie, is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun ketenverantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics Nederland uitbleef, heeft Z-CERT besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata. Uit respect voor de privacy van patiënten is niet meer informatie ingezien dan nodig is om deelnemers en overige zorginstellingen te identificeren en de aard van het lek te duiden. Hierdoor was de beschikbare informatie beperkt, maar kon toch een aantal deelnemende zorginstellingen worden gewaarschuwd. Ook is er een waarschuwing uitgegaan naar de eerstelijnszorg, met name huisartsen, hoewel zij geen deelnemer zijn van Z-CERT.’
Er zijn dus wettelijk verplichte normen, waarom is het dan fout gegaan?
‘Helaas kunnen wij deze vraag niet beantwoorden. Wij hebben nog geen inzicht in waar het fout heeft kunnen gaan. Wel hebben wij vorige week onze tien tips tegen ransomware opnieuw verspreid. Normaal is deze content exclusief voor onze deelnemers. Gezien de ernst van de situatie hebben wij besloten om deze tien tips met de hele sector te delen.’
Tips tegen ransomware en uitleg staan hier.
De andere delen van deze serie zijn hier te vinden.
wel moeten voldoen aan norm maar certificering daarvoor niet nodig niet nodig
want onafhankelijke audit mag ook..
ISO270000/NEN7510/NEN751/NIS2/CERT/Z-CERT ?
die is nou deelnemers waarvan en waarom ?
“aangesloten zijn”, wat zou dat precies inhouden, een logo op je website, een contactpersoon ?
“Omdat Z-CERT, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie, is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun ketenverantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics Nederland uitbleef, heeft Z-CERT besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata. ”
blijkbaar wordt er afgewacht, geen wettelijk mandaat en wordt er “gekozen voor een zorgvuldige aanpak” die dan zou bestaan uit “eerst de leverancier wijzen op hun ketenverantwoordelijkheid”.
Zorgvuldig hoor.
Maar daar hoef je als organisatie weer niet op te reageren ?
Zal hun een zorg zijn.
Aantoonbaar voldoen kan ook zonder certificering want een rechter vraagt naar het bewijs. Leuke hierin is NEN-7513 want zowel de WGBO als de AVG verplichten dat de toegang tot de medische gegevens gelogd wordt. Denk hierbij ook aan te nieuwsgierige ogen want niet alleen Haga ziekenhuis werd op de vingers getikt. En bij GHOR/GGD bleek tijdens coronapandemie hoe makkelijk gevoelige data kon worden ingezien en misbruikt. Never waste a good crisis drijft er trouwens nog een drol in de badkuip van Archimedes omdat een klokkenluider in 2014 al wees op dit euvel. Wie de geschiedenis niet kent is gedoemd deze te herhalen want de klokkenluider vroeg aandacht voor de volgende punten:
1. Belangenverstrengeling in het toezicht;
2. Onvoldoende bescherming patiëntgegevens;
3. Een incompetente interne organisatie.
Wat betreft het eerste punt laat wetgever niet alleen open hoe je aantoonbaar maakt dat je aan je zorgplicht voldaan hebt maar is ook heel duidelijk over de marktwerking hierin. Z-CERT is één van de drijvende drollen in de badkuip van Archimedes omdat de commissie Borstlap duidelijk was over ambtsmisbruik. Vrees dat er een groeiend maatschappelijke bewustzijn is over toezichthouders als politiek instrument want never waste a good crisis gedroeg een IGJ zich meer als een verlengstuk van de staat dan als de hoeder van patiëntenrechten tijdens pandemie. Het is dan ook jammer dat we geen traditie van harakiri in bestuurlijk Nederland hebben want dat lost het probleem van incompetente op.
https://www.computable.nl/2023/03/09/advocaat-deelt-actieplan-voor-ransomware-slachtoffers/
Het feit dat er nog geen antwoorden zijn wijst op speculatie, leuk voor de kijkcijfers maar niet meer als in je broek plassen voor het warme gevoel. En dat gaat stinken als je geen verschoning hebt want elke organisatie die een hack constateert zal eerst een advocaat raadplegen. En Z-CERT bellen staat ergens op plaats 18 in het actielijstje van de advocaat zoals Hof van Twente leerde met de VNG. Het besluit van Z-CERT om zelf deelnemers te informeren op basis van de metadata is mogelijk als laster aan te vechten want de aannames zonder bewijs houden geen stand als deze bewijsbaar tot reputatieschade hebben geleid.