Zorg is kwetsbaar voor cyberaanvallen

‘Voor veel organisaties is het niet de vraag of je gehackt gaat worden, maar wanneer’, stelt Mark Jansen, advocaat IT en privacy bij Dirkzwager. Het gevaar van cyberaanvallen neemt in alle sectoren toe. Steeds meer dienstverlening en contacten vinden tegenwoordig immers digitaal en online plaats. ‘Maar terwijl de risico’s toenemen, doen onze paraatheid en beveiliging dat niet altijd.’

Met name ziekenhuizen en zorginstellingen zijn kwetsbaar voor cyberaanvallen. Hoe komt dat? ‘In de zorg werken ontzettend veel partijen samen in een lange keten’, zegt Jansen. ‘De huisarts verwijst naar het ziekenhuis, na een operatie kom je bij een andere instelling voor de nazorg, er zijn fysiotherapeuten of apotheken betrokken - en al die partijen wisselen informatie met elkaar uit. Medische informatie, dus per definitie gevoelig. Dat maakt dat er veel aanknopingspunten zijn voor kwaadwillenden om toe te slaan.’

Voorbeelden van de risico’s zijn datalekken, hacks, DDoS-aanvallen, phishing, malafide medewerkers die er met bedrijfsinformatie vandoor gaan en de beruchte ransomware. Daarbij zetten hackers bedrijfssystemen ‘op slot’ en vragen losgeld (vaak in cryptocurrency) om die weer vrij te geven. ‘Soms maken organisaties een afweging: als het losgeld minder is dan de kosten om je systemen terug te “veroveren”, wordt daar wel eens voor gekozen.’ 

Een bekend voorbeeld van zo’n cyberaanval in de zorg in Nederland vond plaats in januari 2020, toen Medisch Centrum Leeuwarden alle dataverkeer met de buitenwereld moest platleggen omdat hackers probeerden in te breken. Patiënten konden daardoor niet bij hun elektronisch patiëntendossier. 

Mark Jansen maakt deel uit van het multidisciplinaire Cybersecurity Team van Dirkzwager, dat adviseert en helpt bij alle juridische aspecten van cybersecurity. Hij kijkt bijvoorbeeld mee bij de contracten die worden afgesloten met softwarebeveiligers en adviseert hoe zorginstellingen kunnen voldoen aan de eisen die wet- en regelgeving stellen aan hun informatiebeveiliging. ‘Alle bedrijven die persoonsgegevens verwerken, moeten voldoen aan de Europese Algemene Verordening Gegevensbescherming. Maar omdat ziekenhuizen in de toekomst waarschijnlijk worden gerekend tot “vitale infrastructuur”, moeten ze daarnaast tegen die tijd ook voldoen aan de Wet beveiliging netwerk- en informatiesystemen. 

Het komt er voor beide wetten op neer dat instellingen passende maatregelen moeten nemen om data te beveiligen. Op overtreding van die regels staan pittige boetes.’

Als het mis gaat en er vindt een cyberaanval plaats, dan is deskundig juridisch advies essentieel. ‘Wat moet je allemaal vastleggen en melden bij de Autoriteit Persoonsgegevens of andere toezichthouders. Hoe ga je om met de schade die je lijdt als een ziekenhuis helemaal stilgelegd moet worden en je dus geen omzet draait. Maar ook: voor welke schade van patiënten en andere partijen ben je aansprakelijk. Als er niet behandeld of geopereerd kan worden, kunnen de gevolgen natuurlijk dramatisch zijn. Het is niet zo dat een ziekenhuis dat gehackt wordt per definitie aansprakelijk is voor de gezondheidsschade van de patiënten. Maar als blijkt dat je cybersecurity niet op orde was, heb je wel een probleem. In sommige gevallen kunnen bestuurders zelfs persoonlijk aansprakelijk gesteld worden. Het is een hele verantwoordelijkheid.’

Het Cybersecurity Team van Dirkzwager houdt zich ook bezig met het procesmanagement tijdens de incident response. ‘Denk aan de communicatie met patiënten en andere betrokkenen. Er hoeft maar één onduidelijk zinnetje in je bericht te staan en je helpdesk wordt platgebeld. Dus daar kijken we graag op mee.’

Hierin werkt het team samen met communicatiedeskundigen en IT-experts. Deze aanpak gaat dus verder dan alleen de juridische aspecten van een cyberaanval. ‘We werken dan op het snijvlak van juridische dienstverlening en consultancy. Ik trek ook de praktische zaken graag naar me toe. Dat wordt door de getroffen partij altijd zeer op prijs gesteld. Waar je behoefte aan hebt als je het slachtoffer bent van een cyberaanval, is een gesprekspartner met ervaring die het hoofd koel houdt.’ Hierbij helpt het dat Jansen zelf ook programmeerervaring heeft. ‘Op hobbyniveau hoor, maar ik kan wel met de techneuten praten. Het helpt om de werelden bij elkaar te brengen.’

Menselijke factor

Jansen gaat graag in gesprek met ziekenhuizen die willen weten waar ze staan met hun cybersecurity. ‘Het is een strategisch aandachtspunt dat de zorgsector niet kan laten liggen. Ook hier gaat het niet alleen over de juridische aspecten; we kunnen bijvoorbeeld ook aanbieders van trainingen voorstellen die helpen om medewerkers bewust te maken van de risico’s. Uiteindelijk is de menselijke factor nog altijd de meest kwetsbare. Er zijn nog steeds mensen die hun wachtwoorden op een post-it aan de monitor hangen.’