PrivacyLab kijkt terug en blikt vooruit
De laatste dagen van 2016, wat gebeurde er afgelopen jaar en waar kunnen we naar uitkijken?
Datalek op datalek maakten we mee in 2016. De Autoriteit Persoonsgegevens liet weten dat de zorgsector kampioen gemelde datalekken is geworden. Betekent dat ook echt dat daar de meeste lekken waren? Of is de meldingsbereidheid gewoon het grootst? Even in de herinnering een paar voorbeelden.
Harde schijf met patiëntgegevens van het Antoni van Leeuwenhoekziekenhuis werd gestolen. Het ziekenhuis zegt: “Zo is het verboden om vertrouwelijke informatie op computer- of andere systemen te plaatsen die niet zijn beveiligd.” Het mocht niet, maar de medewerker deed het toch.
Gestolen laptop van een coassistent in Isala: “Isala betreurt dit incident ten zeerste, omdat het volgens het privacy- en informatiebeleid van Isala niet is toegestaan deze informatie op een privé-apparaat te plaatsen.” Ook hier, het mocht niet, maar…
In de gestolen tas van een ingehuurde medewerker van het VU Medisch Centrum zaten papieren met patiëntgegevens. En wat zegt het VUmc: “De medewerker had de papieren niet in de tas mogen hebben.”
Deze mensen doen dit allemaal niet expres. Maar ze misten op het juiste moment de alertheid om het anders te doen.
Ransomware, de malafide software die al je bestanden versleutelt en pas na betaling van losgeld krijg je de sleutel. Of niet, zoals blijkt uit dit verhaal van een Amerikaans ziekenhuis. De ransomware wordt meestal geactiveerd door het klikken in een phishingmail. Het is een wijd verbreid fenomeen in 2016. In de media zijn er nog niet veel concrete voorbeelden van ransomware bij zorginstellingen in Nederland. Ze zijn er volop, maar blijkbaar komt dit minder in het nieuws. Wel staat er een artikel in het magazine Zorgvisie ICT van december 2016. Hierin komt één van mijn vroegere klanten aan het woord en geef ik informatie over ransomware.
Het Nationaal Cyber Security Centrum schetst in het Cyber Security Beeld Nederland 2016 de volgende ontwikkelingen in de zorgsector:
Verder in 2017 veel aandacht voor privacy. Er is bij zorginstellingen achterstallig onderhoud ten aanzien van het voldoen aan de Wet bescherming persoonsgegevens, waardoor het voorbereiden op de invoering van de nieuwe Europese privacywetgeving (Algemene Verordening Gegevensbescherming, AVG) voor veel instellingen een flinke klus wordt. Eerste stap daarbij is dat de organisatie zich bewust wordt dat de AVG een behoorlijk niveau van volwassenheid vraagt. Een kleine anderhalf jaar voor implementatie lijkt misschien lang, maar is het niet.
Ook een toename van ransomware wordt voorzien. Zorginstellingen hebben inmiddels meestal wel geïnvesteerd in technische informatiebeveiliging, maar nog niet zo veel aandacht besteed aan de factor mens in privacybescherming en informatiebeveiliging. Mensen zijn daarom vaak een zwak punt in cybersecurity geworden. Aan alle kanten wordt onderkend dat het werken aan bewustzijn een belangrijke factor is geworden. Bewustwording staat nadrukkelijk op de agenda van de Inspectie GezondheidsZorg en de Autoriteit Persoonsgegevens. Als je aantoonbaar werkt aan bewustwording heb je, naast meer veiligheid, een goed verhaal bij inspecties van deze toezichthouders.
Lees hier mijn eerdere blog waarom de zorg aantrekkelijk is voor criminelen die ransomware verspreiden.
Privacy- en informatiebeveiligingsbewustzijn in 2016
Datalek op datalek maakten we mee in 2016. De Autoriteit Persoonsgegevens liet weten dat de zorgsector kampioen gemelde datalekken is geworden. Betekent dat ook echt dat daar de meeste lekken waren? Of is de meldingsbereidheid gewoon het grootst? Even in de herinnering een paar voorbeelden.
Harde schijf met patiëntgegevens van het Antoni van Leeuwenhoekziekenhuis werd gestolen. Het ziekenhuis zegt: “Zo is het verboden om vertrouwelijke informatie op computer- of andere systemen te plaatsen die niet zijn beveiligd.” Het mocht niet, maar de medewerker deed het toch.
Gestolen laptop van een coassistent in Isala: “Isala betreurt dit incident ten zeerste, omdat het volgens het privacy- en informatiebeleid van Isala niet is toegestaan deze informatie op een privé-apparaat te plaatsen.” Ook hier, het mocht niet, maar…
In de gestolen tas van een ingehuurde medewerker van het VU Medisch Centrum zaten papieren met patiëntgegevens. En wat zegt het VUmc: “De medewerker had de papieren niet in de tas mogen hebben.”
Deze mensen doen dit allemaal niet expres. Maar ze misten op het juiste moment de alertheid om het anders te doen.
Ransomware, de malafide software die al je bestanden versleutelt en pas na betaling van losgeld krijg je de sleutel. Of niet, zoals blijkt uit dit verhaal van een Amerikaans ziekenhuis. De ransomware wordt meestal geactiveerd door het klikken in een phishingmail. Het is een wijd verbreid fenomeen in 2016. In de media zijn er nog niet veel concrete voorbeelden van ransomware bij zorginstellingen in Nederland. Ze zijn er volop, maar blijkbaar komt dit minder in het nieuws. Wel staat er een artikel in het magazine Zorgvisie ICT van december 2016. Hierin komt één van mijn vroegere klanten aan het woord en geef ik informatie over ransomware.
Het Nationaal Cyber Security Centrum schetst in het Cyber Security Beeld Nederland 2016 de volgende ontwikkelingen in de zorgsector:
PrivacyLab in 2016
Marktonderzoek om het aanbod van PrivacyLab nog meer af te stemmen op de vraag bij zorginstellingen, een van de belangrijke activiteiten van PrivacyLab in het afgelopen jaar. Hieruit heb ik een model voor blijvend informatieveiligheidsbewustzijn bij zorginstellingen ontwikkeld, waarover in 2017 meer informatie volgt. Dit liep naast het bedienen van lopende klanten. Verder ben ik actief in de nationale en internationale gemeenschap van mensen die zich bezighouden met bewustwording op het gebied van privacy en informatiebeveiliging. In Nederland heb ik in 2015 samen met Chris Karelse het beroepsplatform voor security-awarenessprofessionals in Nederland opgericht. Met inmiddels meer dan 200 leden werken wij aan het verder ontwikkelen van het vakgebied. Internationaal was ik als spreker aanwezig op de Security Culture Conference in Oslo en de European Security Awareness Summit in Londen. Al met al een goed jaar!
Wat gaat 2017 brengen?
Computable voorspelt “Zorgsector in het vizier” met een gebrek aan awareness:
Verder in 2017 veel aandacht voor privacy. Er is bij zorginstellingen achterstallig onderhoud ten aanzien van het voldoen aan de Wet bescherming persoonsgegevens, waardoor het voorbereiden op de invoering van de nieuwe Europese privacywetgeving (Algemene Verordening Gegevensbescherming, AVG) voor veel instellingen een flinke klus wordt. Eerste stap daarbij is dat de organisatie zich bewust wordt dat de AVG een behoorlijk niveau van volwassenheid vraagt. Een kleine anderhalf jaar voor implementatie lijkt misschien lang, maar is het niet.
Ook een toename van ransomware wordt voorzien. Zorginstellingen hebben inmiddels meestal wel geïnvesteerd in technische informatiebeveiliging, maar nog niet zo veel aandacht besteed aan de factor mens in privacybescherming en informatiebeveiliging. Mensen zijn daarom vaak een zwak punt in cybersecurity geworden. Aan alle kanten wordt onderkend dat het werken aan bewustzijn een belangrijke factor is geworden. Bewustwording staat nadrukkelijk op de agenda van de Inspectie GezondheidsZorg en de Autoriteit Persoonsgegevens. Als je aantoonbaar werkt aan bewustwording heb je, naast meer veiligheid, een goed verhaal bij inspecties van deze toezichthouders.
Lees hier mijn eerdere blog waarom de zorg aantrekkelijk is voor criminelen die ransomware verspreiden.
Privacylab in 2017
Met het nieuwe model voor blijvende bewustwording bij zorginstellingen in de hand ontwikkel ik een serie nieuwe producten. Deze worden getest in pilots, zodat ze helemaal aansluiten op de behoefte. Ik ben nog steeds op zoek naar instellingen, met name in de langdurige zorg, die willen meewerken aan zo’n pilot. Dat betekent dat ik vernieuwde delen uit mijn programma uitprobeer tegen zeer aantrekkelijke voorwaarden. Mocht je interesse hebben, dan hoor ik graag van je! Verder ga ik in 2017 in samenwerking met Project Blauw een aantal trainingen met open inschrijving geven. In een dag help ik bestuurders, managers en beleidsmedewerkers in de zorg aan een plan van aanpak om blijvend bewustzijn in hun organisatie te realiseren. Meer informatie volgt binnenkort.Ik wens jullie een veilig en bewust nieuwjaar!
Wil je meedoen met een van mijn pilots? Neem dan contact met mij op. Wat is jullie verwachting van 2017? Deel het in het commentaarveld hieronder! Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)[learn_press_profile]
0 Comments