De hack bij Chipsoft zette veel mensen aan het denken. Zijn patiëntgegevens bij ziekenhuizen eigenlijk wel veilig? Ivo van Heeren, CISO (Chief Information Security Officer) bij Elisabeth-TweeSteden Ziekenhuis (ETZ), legt uit wat het ETZ doet om uw gegevens te beschermen.
Wat heeft de Chipsoft-hack bij ETZ losgemaakt?
“Allereerst is het goed om aan te geven dat wij niet met Chipsoft werken, maar met Epic. Wel zijn er diverse connecties met Chipsoft, zodat er gegevens uitgewisseld kunnen worden. Op 7 april, zodra het nieuws van de hack bekend werd, hebben we zelf de verbinding met het zorgplatform van Chipsoft verbroken. We wachtten niet af. De veiligheid van onze patiëntgegevens staat voorop.”
ETZ schakelde daarna terug naar ouderwetse methoden: bellen en veilige mail om informatie over patiënten op te vragen bij andere ziekenhuizen. Omslachtiger, maar veilig.
Waar staan de patiëntgegevens eigenlijk?
“Dat is een vraag die ik begrijp, zeker nu mensen weten dat ETZ met Epic werkt, een Amerikaans bedrijf. Maar het patiëntendossier staat niet in een buitenlandse cloud, maar in het datacentrum binnen onze eigen muren.”
Wie kan bij uw gegevens?
“Alleen medewerkers die dat echt nodig hebben voor hun werk. En dan ook alleen de gegevens die bij hun functie horen.” Een verpleegkundige op de afdeling orthopedie kan bijvoorbeeld niet zomaar dossiers inzien van patiënten op andere afdelingen.
Hoe houdt ETZ kwaadaardige e-mails buiten de deur?
“E-mail is een van de belangrijkste manieren waarop criminelen proberen binnen te komen. We hebben meerdere, gelaagde beveiligingssystemen die onze binnenkomende mails controleren op kwaadaardige inhoud zoals een link of bijlage.”
Toch blijft waakzaamheid nodig. “Techniek kan veel, maar onze medewerkers zijn minstens zo belangrijk. Zij zijn de eerste verdedigingslinie.”
Wat verwacht ETZ van medewerkers?
Iedereen die bij het ETZ werkt, volgt een verplichte training over informatieveiligheid. Daarnaast zijn er extra trainingen beschikbaar en brengen we regelmatig onderwerpen
die te maken hebben met informatieveiligheid onder de aandacht.
Kan een hack bij ETZ dan écht niet gebeuren?
Van Heeren is eerlijk. “Dat kunnen we nooit met zekerheid zeggen. Geen enkel systeem is 100% veilig, en dat geldt voor elk ziekenhuis ter wereld. Maar we doen er alles aan om risico’s zo klein mogelijk te houden. Daarnaast zijn we aangesloten bij Z-Cert, het expertisecentrum voor cybersecurity in de zorg.