Sectorsessie Cyber & Zorg, deel 2

Op 6 april vond de eerste sectorsessie plaats van dit seizoen. Dit is het tweede – en tevens laatste- verslag van deze sessie over Cyber&Zorg. Heb je het eerste verslag nog niet gelezen? Dit staat hier.

Wat kan er mis gaan en wat kun je er aan doen?

We pakken het gesprek op waar we in het eerste verslag zijn gebleven.
Roel: “De wetgeving rondom risico en consequenties in geval van een foutje in het kader van de AVG is niet helder. Dit kan je als MKB-er echt de kop gaan kosten. Dat risico is veel te groot t.o.v. je totale bedrijfsvoering”.

Pauline: “Er zijn genoeg voorbeelden in het nieuws waar het mis is gegaan. GGD, Universiteit van Maastricht, Hof van Twente. Zo wil je niet in het nieuws komen. Sommige verzekeraars geven aan de boetes te vergoeden mits dat wettelijk is toegestaan. Dat laatste maakt het er niet helderder op. Is verzekering niet een soort schijnveiligheid?”

Roel: “Een assuradeur heeft voor een klant van ons berekend wat de financiële consequenties van een ransomwareaanval zouden kunnen zijn. Dat gaat om echt hele grote bedragen. Het zijn soms kleine dingen waar je op stuk kunt lopen (klik op een mail of in een pdf) maar wel met hele grote consequenties. Verzekeren is lastig in de zorg. Bij een productiebedrijf ligt dat anders. Wij hebben voornamelijk privacygevoelige info en historie. Als we die kwijt raken is dat natuurlijk heel vervelend, maar in theorie zouden we dat weer van voren af aan kunnen opbouwen, hoewel je dan natuurlijk wel je historie kwijt bent”.

Pauline: “Heb je maatregelen getroffen? Zodat je eventueel je data uit een back-up kunt terughalen?” Roel reageert daarop: “We hebben alles in de cloud opgeslagen tegenwoordig, moet je dan alles 4x in de cloud opslaan? “
Pauline: “Hangt ervan af hoe je leverancier ermee omgaat. Wij maken nu gebruik van een hybride omgeving, als overgang. Dus deels in de cloud, deels in eigen huis. Een medewerker moet gewoon kunnen werken. Die moet zich daar niet druk over hoeven te maken. Je moet altijd blijven kijken naar de verhouding tussen werkbaarheid en security”.

Meer devices, meer risico?

Roel: “Steeds meer devices maakt het wel spannend. Een dik pak papier ben je je bewust van, van digitale data veel minder. Zo’n pak papier is maar een paar kilobyte aan data. Een medewerker heeft in principe toegang tot alles in een Office 365 omgeving. Dat zijn terrabytes aan data.”

Jacob: “De KvK heeft een volledig separaat, losgekoppeld, systeem vanwege het Handelsregister. Altijd bereikbaar vanwege 24-uurs verwerking. Hier heeft maar een beperkt aantal mensen direct toegang toe vanwege het grote risico dat zo’n systeem met zich meebrengt. Veiligheid heeft hier superprioriteit. Veel devices worden dan ook vanuit de zaak beheerd en ingeperkt qua rechten en mogelijkheden”.

Roel: “Technisch is ook bij ons alles wel op orde. De beveiliging binnen de KvK herken ik vanuit het gebruiksgemak voor ons. De toegang tot sites van organisaties als de KvK –maar ook van zorginstellingen- zou veel stringenter moeten zijn gezien de functionaliteit waartoe je beschikking krijgt. Het zou eigenlijk zo moeten zijn, dat de authenticatie- en autorisatie-eisen zouden moeten toenemen naarmate de waarde of het risico van de informatie toeneemt. Onze klant -onze patiënt-, kan tegenwoordig overal bij. Die kan alles in zijn persoonlijk dossier terugvinden. Maar wat als ik een ethical hacker als klant heb? Dan denk ik optimaal beveiligd te zijn, want we zijn immers op alle punten ge-audit. Maar is dat ook echt zo? Het is allemaal zo complex”.

Jacob: “Wij weten van te voren niet waar een hacker naar zoekt. Die heeft verschillende verdienmodellen”.

Pauline: “Zaken staan zomaar op social media tegenwoordig (ook vanuit medewerkers). Als dat gebeurd is, is dat heel moeilijk weer weg te krijgen. Ook medewerkers maken zich daar zorgen over. Dan komen zaken plotseling heel dichtbij. Opnemen van gesprekken is toegestaan (voor trainingen bijvoorbeeld). Gebruik van opnames wordt weliswaar altijd afgestemd, maar die info is heel snel gedeeld. Bewustwording, zowel bij medewerkers als cliënten, is ook op dit gebied heel belangrijk. Hier ligt een taak voor de organisatie”.

Oneigenlijk gebruik van data

Wico:”Je kunt het ook dichter bij huis zoeken. Stel je doet een videoconsult met de beste bedoelingen, en de inhoud wordt oneigenlijk gebruikt omdat iemand er een foto of filmpje van heeft gemaakt. Dat kan dan ineens als bewijsmateriaal in een heel andere discussie gebruikt worden. Is dat een risico dat door jullie wordt herkend?”

Roel: “Het gemak waarmee dingen gaan is verontrustend. Tot je iets meemaakt denk je sowieso altijd dat het wel meevalt. Het idee dat iemand kan meekijken zonder dat je daar zelf toestemming voor hebt gegeven geeft een onveilig gevoel”.

Wico: “Dezelfde actie kan voor meerdere dingen gebruikt worden. Soms worden zaken onbewust geregistreerd voor een ander doel. Voorbeeld: wij deden iets met sensoren om luchtkwaliteit te meten. Prima. Tot iemand opmerkte dat je op die manier dus ook kunt registreren of iemand in een ruimte aanwezig is. Dan blijkt dat je onbedoeld -en tot dan toe onbewust- registreert of iemand op het werk is, of niet.”

Deepfake

En zo komt het gesprek bijna ongemerkt ook op de mogelijkheden van deepfake. We posten allemaal foto’s en filmpjes en die kunnen makkelijk worden gemanipuleerd terwijl dat nooit de bedoeling was op het moment van posten.

Roel: ”Als je je bewust wordt van dit soort zaken, ga je op den duur vanzelf ook anders met info om.”

Pauline: “Vaak wordt gedacht: “mijn gegevens liggen toch al op straat”, dat zorgt ervoor dat mensen minder gaan relativeren”.

Jacob: “Waarschijnlijk gaat er wel een vorm van wetsbescherming komen waardoor je weet of informatie “echt” is. We zitten nu in een soort overgangsperiode waarbij we nog heel veel zaken moeten ervaren en leren. Het gevaar van opnames is dat het als bewijslast tegen je kan worden gebruikt. Wie bepaalt wanneer dit wel of niet gebeurt? Als het voor de rechter komt, is overigens niet alles wat opgenomen is bruikbaar”.

Het voorbeeld wordt aangehaald van de melding dat gesprekken worden opgenomen voor trainingsdoeleinden. De vraag is dan al snel “Doen ze dat dan ook?.” Of kan die informatie eventueel ook worden gebruikt voor andere doeleinden? .

Jacob: “Als wij zaken opnemen, dan worden er vooraf toch vaak contracten afgesloten en overeenkomsten getekend om te voorkomen dat die info oneigenlijk wordt gebruik”.

Roel: “De balans tussen veiligheid en vertrouwen is heel fragiel. Het is maar de vraag of zo’n overeenkomst stand houdt als het erop aankomt. Er is een enorm verschil tussen de mensen die beroepshalve bezig zijn met security en de gemiddelde gebruiker. Dat gat is bijna niet te overbruggen”.

Jacob: “Die gap is inderdaad aanwezig. Wanneer is er sprake van toewijzing van verantwoordelijkheid en wanneer gaat het over in werkprocedures? Hoe krijg ik alle medewerkers bewust? Wat mag en kan ik vastleggen, en voor hoelang, bij een aantal van 400 gesprekken per dag?”

Zijn er nog dingen die jullie bewust niet digitaal doen en heb je tips?

Roel, lachend: “Ja. Zwart betalen. Dat leggen we niet vast in digitale procedures”.

Pauline: “Alles wat je niet nodig hebt, moet je gewoon niet digitaal opslaan of verwerken. Bedenk waarom je iets wil gebruiken en wat het doel daarvan is. Voorbeeld: soms nemen we iets van een cliënt in bewaring, maar dat mag niet in een dossier staan. Dan slaan we dat gewoon op in een kluisje”.

Roel: “Wij werken met een authenticatie-app. Maar de periode is omwille van de werkbaarheid zo ingesteld dat je gedurende een langere periode gewoon kan inloggen op andere devices, zolang je niet handmatig uitlogt. Dat was voor mij een echte eye-opener”.

Jacob: “De meeste kleine partijen realiseren zich gewoon de waarde van hun data niet. Het geeft mij een veilig gevoel dat de werkgever een deel van de devices en dus de business beheert. (Maar wel gewoon blijven opletten, het blijft mensenwerk!)”

Het gesprek wordt afgesloten na de gezamenlijke conclusie dat we echt aan het begin staan van een periode van grote veranderingen. De kwetsbaarheid neemt (veelal ongemerkt) toe naarmate we meer data verzamelen en centraal beschikbaar maken. De hoeveelheid data, maar vooral ook de combinatie van data uit verschillende bronnen, maakt dat data steeds waardevoller wordt voor heel veel partijen. Wat informatie over één persoon voelt niet als gevoelig en zal dat vaak ook niet zijn, maar als diezelfde informatie van honderden of duizenden personen bij elkaar hebt is het ineens een heel ander verhaal en dito verantwoordelijkheid geworden!