Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

In een aantal Nederlandse ziekenhuizen is de ict-beveiliging niet op orde, zo blijkt uit onderzoek van Ernst & Young. Van de 35 onderzochte ziekenhuizen hadden er 9 de beveiliging niet op orde. Het is niet bekend om welke ziekenhuizen het gaat.

Van alle 35 onderzochte ziekenhuizen heeft een kwart zijn informatiesystemen onvoldoende beveiligd, blijkt uit een audit van Ernst & Young. Van de 19 onderzochte algemene ziekenhuizen, hebben er 7 problemen met de beveiliging. Bij de 10 topklinische ziekenhuizen, die specialistische zorg aanbieden, waren er bij 2 problemen. Alle 6 onderzochte academische ziekenhuizen kregen een voldoende.

Ernst & Young onderzocht onder andere of het beveiligingsbeleid op papier in orde was, of toegang tot de systemen voldoende werd geautoriseerd en of informatiesystemen fysiek werden beveiligd. Veel zorginstellingen hadden onder andere problemen met het gebruik van wachtwoorden, aldus Ernst & Young, zonder hier nader op in te gaan. Ook werd de beveiliging niet overal goed intern geëvalueerd.

Ict-beveiliging in ziekenhuizen


Voldoende
Onvoldoende
Algemeen
**********
12
**********
7
Topklinisch
**********
8
**********
2
Academisch
**********
6
**********
0
Totaal
**********
26
**********
9

Bron: Ernst&Young

Moderatie-faq Wijzig weergave

Reacties (49)

Hmm, over de academische ziekenhuizen wordt vrij stellig aangeven dat deze allen voldoende zijn. Dit terwijl er slechts 1 partij de academische ziekenhuizen geaudit heeft.
Alle andere ziekenhuizen zijn geaudit door maar liefst 6 partijen.

Ik quote uit de tekst van het rapport:
De topklinische ziekenhuizen en algemene ziekenhuizen ontlopen elkaar gemiddeld niet veel. De academische
ziekenhuizen daarentegen doen het een stuk beter, met een score van gemiddeld boven de 3,0.
Je kunt imho niet zo kort door de bocht gaan als je 6 versus 1 audit partijen over de vloer stuurt. goed+goed wordt namelijk niet beter, omdat er niet op zaken wordt ingegaan die goed zijn. Slecht+slecht daarentegen...

Daarnaast is het doorspekt met mooie marketing plaatjes en wollige teksten.
Het zijn 28 pagina's waarvan alleen al de _laatste_ 7 pagina's "wij zijn Ernst en Young" en plaatjes zijn.

Het voelt bijna aan als een goedkope reclame spot ;-)
Interessant, waarom doet E&Y dit nu eigenlijk? Informatieverwerking- en beveiliging vallen onder het toezichtsterrein van de IGZ. Zouden zij dit dan misschien in opdracht van IGZ uitvoeren?

De IGZ hanteert bij het controleren in elk geval de NEN-norm 7510. De NEN-norm 7510 is gebaseerd op en afgeleid van de NEN-ISO/IEC-norm 17799 Code voor Informatiebeveiliging [ Deze is internationeel geaccepteerd ]. De NEN 7510 bevat specifiek op de zorg toegespitste informatiebeveiligingsnormen. Zo wordt met deze norm geprobeerd de kwaliteitscriteria integriteit, betrouwbaarheid en beschikbaarheid te realiseren. Naast het realiseren hiervan probeert men door middel van deze norm ook informatiebeveiligingsmaatregelen op controleerbare wijze in te richten. Hierbij moet ik wel melden dat de NEN-norm 7510 nog niet verplicht is voor zorginstellingen.
Voor een ieder die zich afvraagt waarom Ernst & Young dit onderzoek heeft uitgevoerd:

De Inspectie voor de Gezondheidszorg (IGZ) heeft bepaald dat alle Nederlandse ziekenhuizen in 2010 verplicht een externe audit moeten laten uitvoeren op de implementatie van de NEN 7510, de norm voor informatiebeveiliging in de zorg. Naar aanleiding van deze verplichting heeft De Nederlandse Vereniging van Ziekenhuizen (NVZ) het Toetsingsreglement Informatiebeveiliging opgesteld. Dit toetsingsreglement bevat een selectie van 33 normen die gezamenlijk kunnen aantonen in hoeverre de organisatie voldoet aan de eisen die zijn gesteld aan informatiebeveiliging in de gezondheidzorg. Voor het jaar 2010 is de doelstelling om te voldoen volwassenheidniveau 2 van het toetsingsreglement van de NVZ.

Ernst & Young is ťťn van de partijen die een aantal audits heeft uitgevoerd aan de hand van het NVZ-normenkader. Voor ťťn ieder die de NEN-7510 wil inzien, kijk is op NEN.nl daar is deze voor de schappelijke prijs van € 44,20 te downloaden ;-)
E&Y is inderdaad geen filantropische instelling...

Je kan ook gewoon de code voor informatiebeveiliging erbij pakken. Die is volgens mij gratis en komt op het zelfde neer.

Trouwens wel belachelijk dat die NEN 7510 niet vrij beschikbaar is.

[Reactie gewijzigd door PHiXioN op 2 juni 2011 01:32]

Je mag jezelf dan zeurkous noemen, maar je hebt wel een punt... in ziekenhuizen is de balans tussen toegankelijk en beveiligd erg belangrijk, het gaat immers regelmatig over kritische informatieuitwisseling, waar patienten direct mee geraakt kunnen worden.

Aan de andere kant is ziekenhuis IT alles wat het elders ook is, en dat gaat van industriele systemen (gebouwenbeheer) tot het uitwisselen van medische gegevens met externe instellingen. Een heel complexe wereld. Dat moet je denk ik niet onderschatten. En daar komt sinds een aantal jaren ook nog zoiets bij als concurrentie, dat in de praktijk meestal uitdraait op aanjagen op nieuwe ontwikkelingen in plaats van het verbeteren van basisfaciliteiten als beveiliging. En dan doel ik niet zozeer op ICT, maar op beveiliging als geheel.

Ernst en Young zijn weliswaar bevoegd en worden ingeschakeld voor audits, maar in mijn ervaring geven de rapportages aan het einde meestal een vrij eenzijdig beeld, dat voor een deel het resultaat is van input die ze krijgen met mensen binnen de te toetsen organisatie (gekleurd?), anderzijds hebben ze meestal ook een speerpunt waar extra op gelet wordt (net als de belastingdienst die ook ieder jaar 'extra controleert op onderdeel X') waardoor het totaalbeeld niet helder is. Waarmee ik zeker niet wil zeggen dat het totale onzin is, maar van grote waarde is zeker ook niet een term die ik aan dergelijke audits zou willen hangen. Elke audit wordt er weer een ander belangrijk punt aangestipt, dat leid tot aanpak van dat punt, maar het grote geheel wordt niet gezien zo. Bezuinigingen en als gevolg daarvan budgettaire- en personele issues helpen daar ook niet bij.

Beveiliging zou verder moeten worden gebracht (in de zorg, maar gezien de vele beveiligingsincidenten, zeker op ICT gebied, ook in alle? andere branches) door dit integraal op te pakken. Dat bereik je volgens mij niet door keer op keer financieel alles uit te knijpen. Meer geld naar de zorg, en bewaken dat dat extra geld goed ingezet wordt, zou volgens mij een serieuze verbetering kunnen brengen.
Dan word het eens gouw tijd dat ze hier aan gaan werken.
Dit is zeker niet netjes. Beveiliging hoort gewoon goed te zijn!
Beveiliging hoort inderdaad goed te zijn, echter hoort je personeel ook goed opgeleid te zijn met betrekking tot beveiliging. Veel ziekenhuizen hebben wel een goede beveiliging maar schieten dan weer te kort op wachtwoord beleid. Vaak zie je wachtwoorden onder toetsenbord en op monitoren geplakt, dat is natuurlijk absoluut niet veilig.

Een nieuw probleem wat je ziet opduiken is het gebruik van Single Sign-On systemen in combinatie met smartcards. Sommige ziekenhuizen gebruiken smartcards in combinatie met een wachtwoord of pincode waarmee artsen direct in het systeem inloggen en alle applicaties die daarbij horen. Op zich een handig en veilig systeem, echter zie je vaak dat artsen na het invoeren van hun pincode een paar uur lang rond kunnen lopen en kunnen inloggen zonder een wachtwoord te gebruiken.

Dit betekent dus dat als een arts rond 9:30 uur voor het laatst inlogt met een wachtwoord en rond 1 uur zijn kaart verliest tijdens lunch en dit pas rond 2 uur weer opmerkt er gewoon een window is van een half uur lang is waarbij mensen met die kaart toegang hebben tot alle in formatie in het ziekenhuis en alle medische programma's en patiŽntgegevens.

Dit haalt natuurlijk het hele voordeel van toegang met smartcards weg. Het idee is juist dat je de combinatie van 'iets dat je hebt' en 'iets dat je weet' gebruikt voor een dubbele beveiliging.

Het is dan ook niet voor niets dat er NEN normeringen komen met betrekking tot informatiebeveiliging. Onder meer het gebruik van groepsaccounts is niet toegestaan en er worden eisen gesteld met betrekking tot secure access van de systemen. Helaas is dit in enorm veel ziekenhuizen nog niet op orde, ze zijn er wel mee bezig maar lopen gewoon ernstig achter.

Er zijn gelukkig genoeg bedrijven die een vorm van secure access bieden, helaas zijn deze pakketten erg duur. Je betaald vaak een groot bedrag per gebruiker, een bedrag dat ziekenhuizen gewoon niet hebben liggen. Een ziekenhuis heeft zo enorm veel projecten liggen en kan het lang niet allemaal tegelijk uitvoeren. Er zal bijvoorbeeld gekozen moeten worden tussen een nieuw EPD of toegang door middel van smartcards. In ziekenhuizen wordt deze beslissing echter gemaakt door artsen, die hebben de meeste macht. Mag jij eens raden wat ze liever hebben, een totaal andere manier van inloggen die ze niet gewend zijn of een beter EPD wat hun werk makkelijker maakt?

Een ander groot probleem zijn de pc's met medische programma's gekoppeld aan apparatuur. Dit zijn pc's waar vaak vanwege compatibiliteitsredenen geen anti-virus software op kan draaien maar die wel in het netwerk moeten hangen voor het opslaan van beelden. Via deze pc's kan een virus zich vaak goed verspreiden en het is erg lastig tegen te gaan.

[Reactie gewijzigd door Tsurany op 1 juni 2011 22:49]

De belangrijkste reden voor deze gang van zaken en de mentaliteit van artsen is simpelweg tijdsgebrek.

Om nog maar eens wat te noemen: wel eens gezien hoeveel USB sticks er in redelijk openbaar toegankelijke ruimtes in de machines steken. Waarom dat half uurtje op het netwerk proberen uit te buiten als je thuis een complete backup kan doorbladeren?

Maar ook papieren archieven zijn te gemakkelijk te raadplegen. En email conversaties onder personeel maar ook met externe instanties zijn ook niet altijd vrij van informatie waarmee de patient te herleiden is. Het uitlekken van een email + password combinatie van een emailaccount is ook al een nachtmerrie.

Er is ook in de zorg simpelweg niet genoeg tijd om nieuwe dingen te introduceren bij het personeel. Iedere overstap die niet vlekkeloos gaat kost tijd die er niet is. Overwerk wordt niet betaald, maar ik ken niemand die werkelijk 36 uur werkt. Of eigenlijk zelfs niemand die het bij 40 kan houden.
Wel zeer slecht, als ziekenhuis heb je toch een bom aan kostbare informatie in handen. Best veel ziekenhuizen waar de beveiliging niet goed is.

Edit: Dit onderzoek zouden ze ook eens bij allerlei plaatselijke zieken huizen moeten doen, daar zal het nog wel erger zijn.

[Reactie gewijzigd door Paul-G op 1 juni 2011 16:28]

Wel zeer slecht, als ziekenhuis heb je toch een bom aan kostbare informatie in handen. Best veel ziekenhuizen waar de beveiliging niet goed is.
Tja, maar voor een ziekenhuis is dit geen core-business, en de bezuinigingen die de ziekenhuizen voor hun kiezen krijgen zullen ze ook eerder op IT proberen te halen, dan op de zorg zelf.
als je ziet wat er bezuinigd is afgelopen jaren, dan kan je afvragen hoe ze het uberhaubt nog draaien weten te houden. Helaas is dit jaar weer (geloof de 7e ronde), weer een bezuinigingsronde.
Ook heb ik het rapport van ernst&young mogen inzien in de tijd dat wij een grote ICT fusie had (wel vreemd dat ik die man niet gesproken heb, terwijl ik toch redelijk de motor van ons gebeuren ben) . Helaas ontbrak hier wel een hoop relevante informatie.
Geloof dat het ook voor de openhaard of monitor steun is gebruikt.

Het is zeker zorgwekkend, als je een netwerkstoring heb, moet je eens tellen hoeveel mensen dan verder kunnen werken <20% .
Alles is geautomatiseerd en een hoop systemen ook aan elkaar gekoppeld.

Een van de grootste probelemen in deze sector en dat is dan vooral in de grotere ziekenhuizen dat de ratio werknemer vs 'handen aan het bed' te klein is.
Er zijn te veel managementlagen en deze lagen zijn vaak ook nog eens te breed.
Hier zitten dus ook bijna de helft van je kosten in terwijl deze groep een klein deel van de werknemers uit maakt.
De crux van het grote probleem, en niet alleen in ziekenhuizen, ligt bij te veel (nutteloze) managementslagen, die onder de zware overhead van bedrijven en instellingen vallen.

Deze vallen eerder buiten de core business van bijvoorbeeld een ziekenhuis dan ICT.
Een groot deel van de ICT valt wel onder de core business omdat veel systemen direct van invloed hebben op het bedienen van patienten en verzorgers.

Bij bezuinigingsrondes zullen de managementslagen zo veel mogelijk in stand worden gehouden.
Anders snijden ze zelf in hun eigen functies en het is een ons-kent-ons ellebogen cultuur.


"ratio werknemer vs 'handen aan het bed' te klein"
Het percentage werkelijke verzorging die bij 'handen aan het bed' hoort, wordt sterk vermindert door nutteloze administratieve handelingen opgedragen door diezelfde managers.
Nutteloze stappen worden veelal gewoon overgeslagen door adequaat personeel. Ik zie totaal niet dat er teveel management beslissingen worden opgelegd die puur administratief zijn. Het wordt redelijk tot het minimum beperkt, het is eerder de overheid, de auditor en de verzekeraar die voor meer administratie zorgt.

Een groot probleem met de administratie is dat de systemen bijzonder slecht samen werken, al helemaal buiten de muren van instanties, maar vaak ook buiten afdelingen.
Zeker niet alleen de managementlagen die excessief duur zijn. Kijk vooral ook naar het verziekte DBC-systeem. Het systeem veroorzaakt perverse prikkels omdat het inkomen van specialisten wordt vastgesteld door (DBC x normtijd x uurtarief). Meer DBCs of duurdere DBCs betekent meteen een hoger inkomen voor de arts in kwestie. Daarbij komt nog dat ze op een rare manier gestandaardiseerd zijn zodat ook maar zijdelings betrokken artsen (anesthesist blijvoorbeeld) altijd gecompenseerd wordt voor werk wat niet altijd geleverd hoeft te worden. De prijs wordt dus niet gebaseerd op de handelingen die daadwerkelijk geleverd zijn maar op een "standaardpatient". En volgens een kennis: "ff kort bellen met een collega is uiteraard een interdiciplinair overleg, 10 minuten opschrijven en wegboeken"

Een significant aantal specialisten ging ineens een stuk meer verdienen na invoering van DBCs, goed voor miljoenen per jaar in heel Nederland.

Wat mij betreft gaat de hele sector in loondienst en wordt de hoogte van het inkomen losgekoppeld van DBCs. Verder de numerus fixus verruimen en later afschaffen (inclusief verplichting voor de sector om voldoende opleidingsplaatsen te creŽren). Het moet maar eens afgelopen zijn met de kunstmatige schaarste. En het inkomen van zorgbestuurders kan ook worden gestandaardiseerd als je het mij vraagt. Ze worden uiteindelijk allemaal betaald uit de premies die we met z'n allen ophoesten.

De zo vrijgekomen gelden kunnen besteed worden aan projecten als deze en aan voldoende gekwalificeerd, behoorlijk betaald verplegend/ondersteunend personeel.
Een auditrapport is er op gericht om een bepaalde hoeveelheid aan zekerheid af te geven en eventuele zwakheden aan te kaarten. Hoe goed een instelling het doet ondanks het lage budget is geen factor om rekening mee te houden. Je stelt een norm en daar voldoet men aan of niet. Eventuele tekortkomingen en het bijbehorende advies is gericht op het management dat bepaalt hoeveel van dat budget beschikbaar is voor het inrichten van informatiebeveiliging of de IT-functie in het algemeen.

[Reactie gewijzigd door PHiXioN op 2 juni 2011 01:40]

geen core-business
Dat is altijd weer het knelpunt, niet alleen bij ziekenhuizen, het is nergens core business. Beveiliging wordt nog steeds als een vervelende en alleen indirect zinvolle kostenpost gezien, als BTW op de kassabon. Het wordt wel altijd meegenomen als standaard onderdeel van het geheel, maar zodra de deadlines naderen, of onvoorziene kosten stijgen, is het nog veel te vaak het eerste onderdeel dat de klappen vangt.

Het is goed dat dit soort onderzoeken gehouden worden, want het enige dat helpt is mensen constant confronteren met dit soort nalatigheid. De enige nog effectievere confrontatie is wanneer er eentje goed op z'n muil gaat, maarja dan vallen er dus onschuldige slachtoffers. Bij ziekenhuizen is dat weer net een iets te zware prijs, dan gaat het niet niet meer over een handvol emailadressen.
Hangt van de afdeling af. "droge laboratoria" (aka wetenschappelijke ondersteuning) kunnen simpelweg niet zonder ICT. Als het doen van analyses en het verzamelen van informatie een hoofdtaak is, is ICT gewoon core-business.

Leuk getal: Als het netwerk van een onderzoekstak van een zorginstelling met 60 voltijds contracten WP er een uur uit ligt, kost dat gemiddeld over de €100.000 aan verloren productiviteit en personeel om het weer te herstellen.
Alsof het bedrijfsleven zijn informatie zo goed beveiligd heeft
bedrijven hebben geen diepgaande informatie over jouw medisch dossier. dat hebben alleen artsen en doctoren. het medisch dossier is vele malen gevoeliger dan de telefoonnummers en adres gegevens die veel bedrijven hebben. de beveiliging zou daar daarom ook veel hoger moeten zijn. dat is helaas niet het geval. nee het is juist precies andersom.
Wat vind jij erger, jouw medische gegevens slecht beveiligd of dat Duinrell zijn beveiling niet op orde heeft?

Even nadenken wat een kwaadwillend persoon kan doen in medische dossiers, dat kan mensen hun leven kosten.
Ja, meestal wel en goed genoeg ook....
Ik mis een stuk methodiek en bronvermelding. welke normen zijn er gehanteerd en wat was de score, welke ziekenhuizen en de bijlage.

Dit document is zo high level (er wordt in categorieen gesproken) dat ik deze conclusies ook wel wil overnemen voor andere branches.

Hoop dat er nog wat meer inzage komt in de onderbouwing van deze audit/conclusie.
De ziekenhuizen zul je wel niet te horen krijgen. Er zijn veel meer ziekenhuizen dan hier vermeld worden. Je hebt er niets aan om die ziekenhuizen aan de schandpaal te nagelen terwijl er ongetwijfeld veel meer ziekenhuizen zijn waar dit het geval is.
ik weet er niet veel van af, maar ik denk de " NEN 751" norm.

stukje uit de audit:
Om hierbij te helpen is NEN 7510 in het leven geroepen. De norm NEN 7510
gaat over informatiebeveiliging binnen de zorgsector.
Goed dat de invoering van het landelijk EPD niet doorgegaan is, blijkbaar is in veel ziekenhuizen de beveiliging zo lek als een mandje.
De eerste kamer heeft het EPD afgeschoten.
Maar een groot deel van het EPD is al actief en wordt (voorlopig?) niet afgebouwd.

http://privacynieuws.nl/databases/epd.html
En om zulk soort reacties gaat het EPD niet door. Die losers in de tweede kamer die hier over gaan weten er namelijk net zoveel vanaf als jou.

Voor het EPD heb je een UZI pas nodig, een post-it voldoet niet.
Het landelijk EPD is een systeem dat totaal afgesloten is van het lokale EPD dat in ziekenhuizen gebruikt wordt. Het landelijk EPD heeft een apart systeem om in te loggen met een aparte pas die compleet los staat van de pas die binnen het ziekenhuis zelf gebruikt wordt. Daarnaast heeft enkel een selectieve groep binnen het ziekenhuis toegang tot het EPD, niet vrijwel het gehele ziekenhuis.
Wel eens in een non-profit organisatie naar de inlognamen en wachtwoorden gevraagd?
En gezien waar je ze allemaal kunt vinden op het bureau, onder de bureaulegger, monitor, enz.?
Lekker i.c.m. elektronisch patientendossier! Volgens mij kan ik beter alvast mijn eigen dossier op internet plaatsen, weet ik in ieder geval dat wat er in staat ook daadwerkelijk klopt!
ehm, dat werkt wel een stukje anders... nu is het altijd mogelijk om bijv. een printscreen te maken van een dossier, maar dit is ook mogelijk met een camera, bij de huisarts ed.
overigens is afiak het EPD versleuteld met je DIGID en daarmee dus ook een type encryptie. Het dosier is dus alleen te openen op een specifieke locatie binnen een specifieke tijd...
Niet zo'n vreemde conclusie van E&Y. De ICT is al enige jaren een puinhoop binnen de ziekenhuis. Ik was een tijdje geleden op een security conferentie en daar sprak iemand vanuit de ziekenhuizen en die gaf aan dat het niet anders als een puinhoop kan zijn wanneer een gemiddeld ziekenhuis met maar liefst 100 ICT aanbieders werkt. Voor een academisch ziekenhuis ligt dat nog een stuk hoger. Daarnaast hebben specialisten nogal de gewoonte om nieuwe gadgets naar binnen te fietsen en dat moet natuurlijk allemaal op de infrastructuur passen, dat is vragen om ellende. Niet zo gek dus dat degene die verantwoordelijk zijn voor de informatiebeveiliging door de bomen het bos niet meer zien.
De medische staf is alleen maar bezig om zoveel mogelijk doden te voorkomen of om uit het nieuws te houden. Informatiebeveiliging zit niet tussen de oren bij de medische staf.
Ik was een tijdje geleden op een security conferentie en daar sprak iemand vanuit de ziekenhuizen en die gaf aan dat het niet anders als een puinhoop kan zijn wanneer een gemiddeld ziekenhuis met maar liefst 100 ICT aanbieders werkt. Voor een academisch ziekenhuis ligt dat nog een stuk hoger.
Geen valide punt want zoals je kunt zien scoren de academische ziekenhuizen die gescreened zijn wel goed.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True