Datalekken - Een groeiend probleem in zorginstellingen

Veel zorgorganisaties stellen werknemers in staat om smartphones, tablets en andere geavanceerde apparaten voor het verzamelen van gegevens in hun kantoren te brengen en om verbinding te maken met hun netwerken of bedrijfssystemen, de derde jaarlijkse studie over de privacy van patiënten en de beveiliging van gegevens die vandaag is gepubliceerd.
De auteurs vragen zich af of BOYD (breng je eigen apparaat mee) een veiligheidsrisico is waarvan de gezondheidszorgorganisatie zich gewoon niet bewust is.
Het rapport, gepubliceerd door het Ponemon Institute en de Health Information Trust Alliance, onthulde dat de gezondheidszorgsector achterblijft bij de meeste andere sectoren van de economie met betrekking tot het stoppen van datalekken.
In het rapport van 2012 staat dat 94% van de 80 zorgorganisaties die hebben deelgenomen aan een onderzoek heeft toegegeven aan ten minste één datalek in de afgelopen 24 maanden; 45% zei dat ze op de hoogte waren van ten minste vijf datalekken, vergeleken met 29% in het vorige rapport.
Meer dan de helft van alle ondervraagde organisaties zei dat ze ten minste één voorval van medische identiteitsdiefstal hadden. Slechts 18% zei dat ze er zeker van waren dat de diefstal het gevolg was van een datalek - 32% zei dat ze niet zeker waren.
Meer dan de helft van alle gezondheidsorganisaties zei dat ze weinig of geen vertrouwen hadden in hun vermogen om inbreuken op te sporen. Slechts 40% zei dat ze alle gegevensverlies of diefstal van patiënten met vertrouwen kunnen voorkomen of snel kunnen detecteren.
Datalekken hebben de Amerikaanse gezondheidsorganisatie $ 6,78 miljard per jaar gekost.
BOYD helpt productiviteits-, tijd- en bewegingsdeskundigen. Vandaag de dag zijn technologieën die een grotere productiviteit en gemak beloven, mobiele apparaten, apps voor het delen van bestanden en cloud-gebaseerde services - allemaal heel moeilijk te beveiligen. Het risico bestaat dat iemand in het bedrijf ergens anders de gegevens ophaalt, inclusief vertrouwelijke patiëntinformatie, waar deze in de verkeerde handen terecht kan komen.
De auteurs schreven:

"Een andere zorg in dit onderzoek is dat geavanceerde en sluipende aanvallen door criminelen sinds 2010 gestaag zijn toegenomen.
Het prijskaartje voor het omgaan met deze schendingen kan enorm zijn. Hoewel de kosten kunnen variëren van $ 10.000 tot meer dan $ 1 miljoen, berekenen we dat de gemiddelde kosten voor de organisaties die worden vertegenwoordigd in deze benchmarkstudie $ 2,4 miljoen zijn over een periode van twee jaar. Dit is iets gestegen van $ 2,2 miljoen in 2011 en $ 2,1 miljoen in 2010. "

Insiderachteloosheid belangrijkste oorzaak van datalekken

Bij 46% van de datalekken was het computerapparaat van de werknemer verloren of gestolen, wat de auteurs toeschrijven aan onvoorzichtigheid.
In 42% van de gevallen werd de inbreuk veroorzaakt door fouten van medewerkers of onbedoelde acties.
SNAFUS van derden is ook een relatief veel voorkomende oorzaak van datalekken.
Het aantal gerichte criminele aanvallen op databanken van de gezondheidszorgorganisatie is ook toegenomen.

Hoe veilig zijn deze apparaten?

De auteurs legden uit dat wanneer zij organisaties in de gezondheidszorg vroegen hoe zeker ze waren dat de apparaten die hun werknemers op kantoor brengen en mee naar huis nemen veilig zijn, het meest typische antwoord was dat ze helemaal geen vertrouwen hadden.
Onder zorgorganisaties die in dit rapport zijn behandeld, zijn:

• Ziekenhuizen / klinieken die deel uitmaken van een netwerk - 46%
• Geïntegreerde afleversystemen - 36%
• Op zichzelf staande ziekenhuizen / klinieken - 18%

De onderzoekers voerden 324 interviews uit - geïnterviewden waren degenen die werken in administratie, beveiliging, privacy, compliance, klinische zaken en financiën.

Wat moeten ziekenhuizen doen om datalekken te beteugelen?

De auteurs zeggen dat ze:

• Voer een privacy risicobeoordeling uit


• Identificeer organisatorische hiaten


• Maak een beleid met gedetailleerde richtlijnen voor alle mobiele apparaten voor alle aannemers en werknemers.


• Wanneer zij het beleid opstellen, moeten zij de beveiligingsrisico's aanpakken en duidelijk uitleggen welke procedures moeten worden gevolgd


• Het beleid voor mobiele apparaten van de zorgorganisatie moet werknemers uitleggen waarom hun mobiele apparaten veilig en beschermd moeten zijn, en welk risicovol gedrag moet worden vermeden

Experts geloven dat het aantal datalekken meerdere malen groter is dan momenteel wordt gerapporteerd, simpelweg omdat de meeste zorgorganisaties niet over de middelen beschikken om ze te detecteren.
Veel zorgwekkender is de lage prioriteit die veel leiders geven aan datalekken, aldus het Ponemon Institute. In vergelijking met andere sectoren van de economie, zoals het bankwezen, lijkt de gezondheidszorg relatief onbekommerd.
Medische apparaten, zoals insulinepompen, mammogram-beeldvormingsapparatuur en draadloze hartpompen beschikken over veel gevoelige patiëntgegevens - de meeste zijn draadloos verbonden met commerciële pc's en zijn kwetsbaar voor cyberaanvallen. De meeste zorgorganisaties beveiligen hun medische apparaten niet. De auteurs denken dat dit komt omdat organisaties geloven dat het de verantwoordelijkheid is van de leverancier van medische hulpmiddelen om de producten te beschermen, en niet die van hen.
Geschreven door Christian Nordqvist