Uit een recent onderzoek blijkt dat wereldwijd weinig mensen erop vertrouwen dat organisaties op een veilige manier met hun persoonsgegevens omgaan. Ondanks dat zorgaanbieders na banken en financiële instellingen als meeste betrouwbare organisaties worden gezien, vertrouwt slechts 37% van de onderzochte groep hen. De vraag is hoe de zorg en overige sectoren met de bescherming van persoonsgegevens omgaan en wat ze nog meer moeten doen om het beveiligingsniveau verder te verbeteren.
Het is van groot belang om persoonsgegevens te allen tijde te beschermen. Daarom bestaat er een wet- en regelgeving die ervoor zorgt dat patiëntgegevens niet op straat belanden. In België is sinds 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht die erover waakt dat organisaties op een zorgvuldige en veilige manier persoonsgegevens verwerken. In het kader van deze AVG moeten patiënten voor het verwerken van hun persoonlijke gegevens toestemming aan zorgorganisaties geven.
Datalekken door menselijke fouten
Ten aanzien van de beveiliging geldt er binnen de AVG een verantwoordingsplicht. Dit betekent dat zorgorganisaties technische en organisatorische maatregelen moeten treffen om de persoonsgegevens van de patiënten te beveiligen. Het is bijvoorbeeld niet toegestaan om méér persoonsgegevens te verwerken dan strikt noodzakelijk is, de persoonsgegevens mogen niet langer bewaard worden dan nodig en een zorgorganisatie moet van elke individuele medewerker bijhouden als deze een patiëntendossier bekijkt. Verder is het belangrijk om te bepalen welke medewerkers toegang mogen hebben tot bepaalde (gevoelige) persoonsgegevens. Medewerkers die geen behandelrelatie met een patiënt hebben, mogen het medisch dossier van deze persoon niet inzien.
Datalekken zijn dus niet alleen een van de grootste digitale dreigingen in de financiële sector, maar ook in de zorg. De meeste datalekken worden veroorzaakt door menselijke fouten, bijvoorbeeld een onbeveiligde usb-stick of dito laptop te laten slingeren. Ook kan het gaan om ongeoorloofde toegang van medewerkers tot bepaalde systemen en databronnen. Datalekken kunnen verder worden veroorzaakt door externe actoren. Het gaat bijvoorbeeld om datalekken veroorzaakt door het stelen of raden van wachtwoorden door hackers of het verleiden van gebruikers om kwaadaardige software (malware) op te starten. Bij dit type datalekken kan de impact groot zijn, omdat kwaadwillenden dan toegang krijgen tot een grote hoeveelheid vertrouwelijke data. 40 procent van de zorginstellingen kreeg al eens te maken met diefstal van apparaten of papier en bij 65% werd papier of hardware ontvreemd, bleek uit onderzoek van Z‑CERT. Dat is veel, en daar moet dringend verandering in komen.
Hardwarematige encryptie
Een manier om een hoog beveiligingsniveau te realiseren en datalekken te voorkomen is de toepassing van encryptie, die zowel hard- als softwarematig kan zijn. USB-sticks die werken met een softwarematige versleuteling zijn anders ontworpen en daardoor kwetsbaarder voor aanvallen. De versleuteling vindt niet plaats in de USB-stick. Dit type opslagmedium gebruikt computerbronnen en andere programma’s van gebruikers die kwaadaardig kunnen zijn. Een softwareprogramma op de computer versleutelt eerst de gegevens die daarna op de USB-drive worden opgeslagen. Om de gegevens weer leesbaar te maken is een softwareprogramma nodig voor de ontsleuteling.
Een hardwarematige encryptie van gegevensbeveiliging is de meest effectieve manier om ongeoorloofde toegang tot privégegevens uit de gezondheidszorg te voorkomen. Versleutelde USB-drives zijn een uitstekende, eenvoudig te gebruiken oplossing om persoonlijke gegevens te beschermen tegen dataverlies bij verplaatsing. Dit komt omdat ze zeer strikte industrienormen volgen. Ze vereisen geen software op de hostcomputer om te functioneren. Dit betekent dat ze compatibel zijn op alle platforms, ongeacht het besturingssysteem van de computer, laptop of tablet. Dat is een groot voordeel voor wie werkt in een omgeving met gemengde besturingssystemen en apparaten. Hardwarematige encryptie voorkomt ook andere softwarekwetsbaarheden, zoals sniffing, brute force en geheugen hashaanvallen. Zorginstellingen moeten zich daarom beter bewust zijn van deze mogelijkheid.
Versleuteling in de zorg
Het is noodzakelijk om zo’n programma voor softwarematige versleuteling voortdurend te updaten om beveiligd te zijn tegen de nieuwe manieren om de data te ontsleutelen. Dat updaten is in de praktijk lastig voor medewerkers die op afstand werken. Die moeten namelijk voortdurend updates voor de software en drivers installeren en gebruiken. Dat gebeurt vaak niet, waardoor er onaanvaardbare risico’s ontstaan. Een softwarematige oplossing voor encryptie lijkt voordelig maar doordat er hierdoor vaak datalekken ontstaan, is het alsnog een dure oplossing als blijkt dat er hierdoor bedrijfsgegevens op straat belanden.
Idealiter kiezen zorginstellingen daarom voor opslagmedia met hardwarematige encryptie. Zo bieden bijvoorbeeld de Kingston IronKey USB-drives een robuustere en betrouwbaardere gegevensbescherming. Tot slot zijn ze gebruiksvriendelijk, zonder afbreuk te doen aan de strenge militaire encryptie die de gegevens beschermt.
