Haal eens een hacker in huis

Beveiliging van informatiesystemen in de zorg is hot. De zorgen over het Landelijk Schakelpunt (LSP) zijn nog niet van tafel. En ja, het is inderdaad een illusie te denken dat een informatiesysteem voor honderd procent veilig kan zijn. Anderzijds vinden de leveranciers van het oudere uitwisselingssysteem OZIS dat dit niet kan tippen aan de veiligheid van het LSP, reden waarom ze het de komende drie jaren uitfaseren. Ook het LSP is niet honderd procent veilig, maar wel veiliger dan OZIS of papieren dossiers. Ondertussen kunnen organisaties met hulp van ‘ethische hackers’ hun informatiesystemen nog beter beveiligen.

Dat is nieuw. Want deze zogenaamde white hat hackers zullen niet langer strafrechtelijk worden vervolgd. Tenminste, als zij zich aan een aantal voorwaarden houden. Die staan in het document ‘Leidraad om te komen tot een praktijk van Responsible Disclosure’ dat het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie begin januari publiceerde.

Wie zich onbevoegd en ongeoorloofd toegang verschaft tot een ziekenhuis- of huisartsinformatiesysteem maakt zich schuldig aan computervredebreuk. Het plegen van computervredebreuk is een misdrijf waar maximaal een jaar gevangenisstraf of een geldboete van 20.000 euro op staat. Een kwaadwillende hacker kan verschillende motieven hebben: hij (ja, meestal een man) kan het informatiesysteem volledig ontoegankelijk maken, bestanden in het systeem wijzigen of toegang krijgen tot vertrouwelijke bestanden in het systeem. Dan lopen de beschikbaarheid, de integriteit en de vertrouwelijkheid van patiëntgegevens gevaar.

Er bestaan echter ook goedwillende hackers, ook wel ‘ethische hackers’ of white hat hackers genoemd. Zij testen de beveiliging van informatiesystemen ter verbetering van informatiesystemen. Een organisatie (ziekenhuis, huisartsenpraktijk, ICT-leverancier) kan afspraken maken met ethische hackers. Zij melden dan een door hen gevonden kwetsbaarheid in een informatiesysteem vertrouwelijk bij de organisatie. Zo kan die organisatie voorkomen dat kwaadwillenden ook toegang krijgen. De hackers mogen daarbij geen onnodige schade aanrichten zoals gegevens in het systeem kopiëren, wijzigen of verwijderen. Ook mogen zij geen veranderingen in het systeem aanbrengen of toegang delen met anderen. De hackers moeten wachten met openbaarmaking van de kwetsbaarheid totdat de organisatie het probleem heeft opgelost. De organisatie blijft zelf verantwoordelijk voor de beveiliging van hun informatiesystemen, maar moet wel snel en efficiënt reageren op meldingen om kwetsbaarheden te verhelpen. Als dank voor het op zich nemen van een belangrijke maatschappelijke verantwoordelijkheid kunnen de hackers worden beloond of anderszins gewaardeerd door de organisatie, die bovendien vooraf heeft verklaard geen aangifte te doen bij justitie.

De ‘Leidraad voor Responsible Disclosure’ staat niet op zichzelf. Er is ook wetgeving op komst die organisaties verplicht om toezichthoudende autoriteiten en patiënten te informeren na een inbreuk op de beveiliging van een informatiesysteem. Deze meldingsplicht staat in het voorstel voor een nieuwe Algemene Verordening Gegevensbescherming van de EU.

Nee, informatiesystemen zullen nooit honderd procent veilig zijn. Zo bleek onlangs zelfs dat het alarmnummer 112 niet altijd bereikbaar is. Maar gelukkig krijgt de zorg op deze manier ook zelf steeds meer mogelijkheden om de beveiliging van informatiesystemen blijvend te verbeteren. Dus als u nog een neefje kent die handig is met computers…?