Nieuwe organisatie voor cybersecurity in de zorg

Er is een nieuwe organisatie, Zorg-CERT, om de zorgsector te ondersteunen bij ICT-beveiligingsproblemen. Een team van zes ICT-beveiligingsdeskundigen komt in actie bij incidenten en probeert deze te voorkomen.

Zorg-CERT staat voor Computer Emergency Response Team en is een initiatief van onder meer de NVZ, NFU en GGZ Nederland. Het ministerie van VWS heeft een startsubsidie toegekend, maar de bedoeling is dat zorginstellingen – inmiddels 36 – een jaarlijkse bijdrage gaan leveren voor hun deelname. Zorg-CERT is een stichting zonder winstoogmerk.

‘De deelnemende instellingen blijven zelf verantwoordelijk voor de beveiliging van hun ICT, zoals website en elektronische patiëntendossiers, en medische apparatuur’, zo licht woordvoerder Petra Klap toe. ‘Maar ons team grijpt in op het moment dat zich incidenten voordoen. Bijvoorbeeld als er is gehackt, als er phishingmails worden verstuurd uit naam van de instelling of als een aanval heeft plaatsgevonden met ransomeware. Tijdens een incident treden wij op als een digitale brandweer. Maar we proberen ook branden te voorkomen. Ons team checkt internet de hele dag om op de hoogte te zijn van de nieuwste risico’s en stuurt indien nodig waarschuwingen uit. Als er bij één deelnemer een incident plaatsvindt, zullen de andere deelnemers ook worden gewaarschuwd.’

Hoeveel ICT-beveiligingsincidenten precies voorkomen bij ziekenhuizen en andere zorginstellingen, weet Klap niet. ‘We hebben daar geen cijfers van, omdat het – met uitzondering van datalekken – niet verplicht is ergens melding te doen. We denken dat datalekken, phishing en aanvallen met ransomware het meest voorkomen. De risico’s voor een instelling zijn heel groot, omdat er sprake is van erg cybergevoelige informatie, zoals patiëntgegevens. Maar ook een aanval op ziekenhuisapparatuur kan grote risico’s met zich meebrengen.’