Negen uitdagingen die de digitale veiligheid in de ggz onder druk zetten
Gezondheidszorginstellingen integreren steeds vaker digitale oplossingen zoals telezorg, telemonitoring, elektronische cliëntendossiers (ECD) en cloud-gebaseerde IT-infrastructuur. Dit biedt nieuwe mogelijkheden voor efficiëntere en flexibelere zorg, maar brengt ook aanzienlijke cybersecurity-uitdagingen met zich mee. Deze ontwikkelingen, samen met AI-innovaties en strengere regelgeving, vereisen een herziening van cybersecuritystrategieën. IT-specialist Conscia identificeert de belangrijkste digitale veiligheidsrisico's waarmee ggz-instellingen te maken krijgen.

Om deze uitdagingen aan te pakken, is het cruciaal om de belangrijkste cyberrisico's en uitdagingen in deze maatschappelijk vitale sector te begrijpen. Conscia wijst op een aantal uitdagingen voor digitale veiligheid in de ggz.
Digitale transformatie en cloud-migratie
De overstap naar cloud-diensten (IaaS, PaaS en SaaS) en zorg op afstand kan de efficiëntie verhogen, maar maakt ggz-instellingen kwetsbaarder. Thuiswerkers en samenwerkingen met partijen met verschillende beveiligingsniveaus verhogen de risico's.
Supply chain-risico's
Samenwerking en gegevensuitwisseling met andere zorgverleners, leveranciers en ketenpartners versterken kennis, maar maken de sector kwetsbaarder. Het verifiëren van de cybersecurity-eisen van ketenpartners is moeilijk, en samenwerking met externe partijen kan leiden tot beveiligingslekken.
Toepassing van offensieve AI
AI kan helpen bij het sneller detecteren en isoleren van bedreigingen, maar biedt aanvallers ook krachtige tools. Een deel van de werknemers heeft een laag bewustzijnsniveau van de veiligheidsrisico's, wat kan leiden tot het onbedoeld blootstellen van gevoelige gegevens.
Beveiliging van elektronische cliëntendossiers (ECD)
ECD-systemen zijn vaak gesloten en missen de mogelijkheid om audit-logs te delen, wat het monitoren van toegangsrechten bemoeilijkt. Dit gebrek aan transparantie maakt een gedegen beveiligingscontrole moeilijker.
Tekort aan personeel
Door schaarste aan zorg- en IT-personeel is automatisering en efficiëntie belangrijker, maar dit verhoogt de kans op implementatie van onveilige tools.
Strengere wet- en regelgeving
Ggz-instellingen moeten voldoen aan steeds meer en strengere eisen op gebied van databeheer en cybersecurity, zoals AVG, Wegiz, NEN-standaarden, ISO 27001 en de aankomende Cyberbeveiligingswet.
Veiligheid van medische operationele technologie
De inzet van Internet of Things en medische operationele technologie brengt beveiligingsuitdagingen met zich mee, omdat deze apparaten vaak onvoldoende beveiligd zijn en toegangspunten voor cyberaanvallen kunnen vormen.
Security-frameworks
Veel zorginstellingen hebben onvoldoende zicht op hun cybersecurityniveau en missen een gestructureerde aanpak. Risicogebaseerde programma's en security-frameworks zoals NIST CSF en CIS Controls helpen om inzicht te krijgen in beveiligingsgaten.
Budgettaire druk
Door beperkte financiële middelen is de return on investment (ROI) van IT- en security-investeringen belangrijker. GGZ-instellingen centraliseren security-oplossingen om kosten te beheersen, maar dit kan leiden tot schijnveiligheid als het inrichten en onderhouden niet de juiste aandacht krijgt.
'Aantrekkelijk doelwit'
“De zorgsector is een aantrekkelijk doelwit voor cybercriminelen, omdat er een enorme hoeveelheid zeer waardevolle data in omgaat. Patiëntgegevens kunnen op het dark web al snel rond de 45 dollar per persoon opleveren. Door het groeiende gebruik van SaaS-oplossingen voor bijvoorbeeld afsprakenbeheer, toegang tot medische dossiers en telezorg, verspreiden deze gevoelige gegevens zich over een steeds breder IT-landschap. Dit maakt het voor zorginstellingen lastig om een volledig overzicht te behouden, hun beveiliging op peil te houden en consistente bescherming van data te realiseren. Hierdoor ontstaan er vaak kwetsbaarheden die hackers kunnen misbruiken om toegang te krijgen tot gevoelige informatie”, ziet Maarten Werff, Security Consultant bij Conscia. “Bovendien komt er met de Cyberbeveiligingswet weer een verscherping van de securitywetgeving aan. In het licht daarvan moeten ggz-instellingen hun security-status continu kritisch tegen het licht houden.”
“Het volledig kunnen waarborgen van informatieveiligheid is een enorme uitdaging, zeker omdat zorginstellingen vaak moeten samenwerken met ketenpartners. Die afhankelijkheid in de supply chain brengt risico’s met zich mee. Ggz-organisaties kunnen hun kwetsbaarheid voor verstoringen verminderen door proactief om te gaan met de afhankelijkheid van kritieke leveranciers. Het hebben van een 3rd party riskmanagementprogramma waarbij ketenpartners in kaart worden gebracht, geclassificeerd en minimaal jaarlijks worden gereviewed is onderdeel van de basis cyber hygiëne.”, sluit Werff af.