Cyber in zorginstellingen: een slecht beheerst risico. Ir. Eric Luiijf

Vergelijkbare documenten
De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Quick guide. IT security, AVG en NIB. Version 3.0

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

1. Inhoudsopgave.

ALLIANZ CYBERVERZEKERING

InformatieBeveiligingrichtlijn (NIB)

Gebruikersdag Vialis Digitale Veiligheid

INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

WET MELDPLICHT DATALEKKEN

De onderwerpen waartoe de raad in de periode verschillende producten en adviezen voor zal ontwikkelen, zijn:

Cyber Risk Management

Aan de Voorzitter van de. Tweede Kamer der Staten-GeneraalPostbus EA Den Haag

Cyber en Data Risks. BusinessCare & Insurance Risico- en verzuimmanagement

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

1. Inhoudsopgave. 2

Berry Kok. Navara Risk Advisory

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

GALLANT. Privacy verklaring

1. Inhoudsopgave.

1. Inhoudsopgave.

1. Inhoudsopgave.

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy in de afvalbranche

Cyber en Data Risks. Brochure Eikelenboom & Plücker Adviesgroep BV

Verwerkersovereenkomst

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Bescherming Persoonsgegevens. Presentatie LAC Zuid

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Cyber en Data Risks. Brochure Perrée & Partners

Introductie ICT-er met een brede blik

Cyber en Data Risks. Brochure Leemans Assurantie Adviseurs

Privacy en de meldplicht datalekken

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

checklist in 10 stappen voorbereid op de AVG. human forward.

1. Inhoudsopgave.

Cyber en Data Risks DATAVERZEKERING.NL ONDERDEEL VAN T&W TILBURG

100% veilig bestaat niet

1. Inhoudsopgave. huninkdorgelo.nl

1. Inhoudsopgave. gloudemansadviesgroep.nl

Praktijkgids voor medische systemen

1. Inhoudsopgave.

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Privacy wetgeving: Wat verandert er in 2018?

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

Nieuwe privacywet AVG: uw rechten op een rijtje

Cloud computing Helena Verhagen & Gert-Jan Kroese

Verwerkersovereenkomst voor SaaS-diensten

Algemene verordening gegevensbescherming

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Datalekken (en privacy!)

Datalekken: preventie & privacy

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

Waarom privacy een relevant thema is En wat u morgen kunt doen

2017D Inbreng verslag van een schriftelijk overleg

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

Fiscount ICT-Strategie en -Beveiliging

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

Cyber en Data Risks. Brochure Het Financiële Huis

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Een praktische oplossing voor uw meldplicht datalekken

Regels voor de continuïteit van telecomdiensten. Zorg- en meldplicht voor openbare aanbieders

Information Security Management System ISMS ISO / NEN 7510

AVG checklist ONDERWERP VEREISTE AVG UITWERKING STATUS

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Privacy en de Algemene Verordening Gegevensbescherming. Femke Salverda Juridisch adviseur

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Inleiding. Pagina 1 van 5

VAN ZAKKENROLLER TOT CYBER CRIMINEEL

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

het bijhouden van een register van verwerkingsactiviteiten; het (laten) uitvoeren van een veiligheidscontrole van het digitale cliëntendossier.

Privacy beleid conform AVG Versie 1.1 Versiedatum: 28 Oktober Inhoud

CYBER?! WAAR HEBBEN WE HET EIGENLIJK OVER? WELKE RISICO S LOPEN BEDRIJVEN?

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

Hoe houdt u uw data GDPR-proof?

Wet beveiliging netwerken informatiesystemen

Van smart home naar juridisch spookhuis?

Is uw onderneming privacy proof?

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

In 10 stappen voorbereid op de AVG

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Beveilig klanten, transformeer jezelf

Informatiebeveiliging

De IT en infrastructuur direct weer up-and-running na een incident

MedischOndernemen LIVE André van de Kasteele Oktober 2017 Veilig werken én aandacht voor de patiënt: het kan samen

WHITEPAPER. Security Awareness: Maak medewerkers tot een sterke schakel in de beveiliging van uw IT-omgeving

VERWERKEN VAN PERSOONSGEGEVENS

Borging privacy op P4 data ODA zomersessie 7 juli 2017

0.1 Opzet Marijn van Schoote 4 januari 2016

Transcriptie:

Cyber in zorginstellingen: een slecht beheerst risico Ir. Eric Luiijf

2 Cyber in zorginstellingen Cyber Technologie: Informatietechnologie (IT) en Operationele Technologie (OT) Eigenschap cyber verstopt zich bijna onzichtbaar in functies bijv. parkeersysteem, lift, MRI apparaat, infuuspomp, pacemaker verantwoordelijken zien alleen de functie niet het cyberrisico noch de noodzaak om de functies veilig te houden

3 Cyber in zorginstellingen Cyberrisico voor zorginstellingen Ernstige risico door technische storing, menselijke fout, afhankelijkheid stroomvoorziening kwaadwillenden: hackers, malware (incl. ransomware) uit te buiten kwetsbaarheden in IT & OT (te late) reactie op cyberincidenten

4 Cyber in zorginstellingen Cyberrisico voor zorginstellingen (2) Uitval essentiële functies met risico voor patiënten en cliënten Chaotische crisisbeheersing waardoor reputatieschade externe druk door pers ongeruste cliënten en familieleden continu achter de feiten aan lopen Hoge boetes door toezichthouders nieuwe NL/EU-wetgevingen (AVG, NIB, meldplicht cyberincidenten)

5 Cyber in zorginstellingen Waar zit cyber in zorginstellingen? 1. Functioneren van het gebouw 2. Ondersteunende datadiensten voor intramurale, poliklinische en ambulante zorg 3. Cliëntgegevens 4. Medische technologie & andere apparatuur operatiekamers & intramurale zorg 5. Medische systemen in ambulante zorg (in)directe verantwoordelijkheid 6. Ambulancezorg

6 Cyber in zorginstellingen 1. Functioneren van het gebouw Functionaliteit gebouw steeds meer afhankelijk van IT en OT gebouwbewakingssystemen (security & safety); HVAC; energiesystemen telefonie parkeersysteem, liften, hydroforen, robotwasstraat bedden, publiek netwerk voor cliënten en bezoekers (WiFi) Wie is verantwoordelijk voor de cybersecurity en het cyberonderhoud (patches)? vaak onbeheerst risico! niet alle essentiële gebouwfuncties hebben noodstroom uitbesteed onderhoud

7 Cyber in zorginstellingen 2. Ondersteunende datadiensten Data-intensieve dienstverlening risico uitval balie, keuken, verpleegposten, poliklinieken ransomware steeds groter risico dilemma: betaal je de crimineel of begin je opnieuw? 3.6 M$ in Bitcoins of 10 M$ voor wissen en herinstalleren 6.000 werkstations; 6 weken plat? Externe afsprakensysteem, aanmeldschermen cliënten hacker paradise

8 Cyber in zorginstellingen 3. Cliëntgegevens Nieuwe wet- en regelgeving bij inbreuken per 25.05 (EU) Algemene Verordening Gegevensbescherming verantwoordingsplicht goed geregeld meldplicht zonder onredelijke vertraging binnen uiterlijk 72 uur na kennisname [de Wbp gaf meer speling voor crisismanagement] overtreding AVG: boete max. 20 M ; overtreding regels max. 10 M plus schadevergoeding aan gedupeerde cliënten daarnaast meldplicht bij Inspectie GJ NEN 7510, 7512 en 7513: handvatten voor veilige cyber en incidentmanagement

9 Cyber in zorginstellingen 4. Medische technologie operatiekamers & intramurale zorg Diagnostiek, bewaking, invasieve systemen e.a. steeds meer IT en OT functionele apparatuur niemand denkt na over cyberrisico generen en bevatten persoonsgevoelige informatie ingebedde verouderde IT (bijv. Win/XP, Win 2000) ongewijzigde fabriekswachtwoorden maar wel aan het netwerk (50% instellingen!) In VS 68.000 medische apparaten (2014) rechtstreeks aan het Internet 21 anesthesieapparaten, 67 nucleaire bestralers, 133 infuuspompen, 97 MRIs MRI scanners gemiddeld 11.4 jaar in gebruik met cyber uit 2006!

10 Cyber in zorginstellingen 4. Medische technologie operatiekamers & intramurale zorg (2) Gehackt/malware in patiëntbewaking, labanalyse, röntgen, MRI, defibrillatoren, katheter labapparatuur, pacemaker programmeerstations, elektronische apotheek WiFi koppelingen infuus- en medicijnpompen oude apparatuur op veilingsites speelgoed voor hackers! 325.000 infuus- en medicijnpompen hadden software-update nodig Convenant Veilige toepassing Medische Technologie geeft eerste aanzet, maar is zwak m.b.t. cybersecurity in gebruiksfase Concept NIST 1800-8 standaard biedt handvatten

11 Cyber in zorginstellingen 4. Medische technologie operatiekamers & intramurale zorg (3) Hightech in zorginstelling, bijv. robots besparing kosten, preciezer, functioneel draadloos verbonden autonome software: wie zorgt voor de cybersecurity? inbreuken op communicatie, malware, hacking fabriekswachtwoord

12 Cyber in zorginstellingen 5. Medische systemen in ambulante zorg Patiënten met pacemakers, insulinepompen en medicijnpompen draadloos te bedienen en te programmeren hackers spelen met aansturing van pacemakers en insulinepompen Leverancier verantwoordelijk voor postmarket cyberkwetsbaarheden verontruste patiënten gaan bellen na bericht in pers Bent u voorbereid? Wat is uw plan-b als er niet snel een fabrikantoplossing is? Trend: 24/7 patiëntmonitoring, infuusvestje etc. op afstand; heeft u grip op de cybersecurity daarvan?

13 Cyber in zorginstellingen 6. Ambulancezorg Medische apparatuur in ambulances en communicatie heeft ook cyberzorg nodig! cyberongeluk: afgesloten zuurstoftoevoer

# Cyber in zorginstellingen EU netwerk- en informatiebeveiligingsrichtlijn (NIB) Stelt eisen aan Aanbieders van Essentiële Dienst (AED) per 09.05 waaronder aangewezen zorginstellingen uiterlijk 09.11 aangewezen Meldplicht cyberincidenten sanctie max. 5 M onverwijld bij J&V/NCSC die mag het publiek informeren --- sneller dan uzelf dacht! onverwijld bij VWS/IGJ onverwijld bij Autoriteit Persoonsgegevens (indien privacy)

15 Cyber in zorginstellingen Enkele handvatten NEN 7510:2017 Business Continuity Management en crisiscommunicatie Middelenbeheer conform Convenant Medische Technologie Amerikaanse standaarden voor medische apparatuur Overweeg Coordinated Vulnerability Disclosure beleid Neem deel aan Z-CERT

16 Cyber in zorginstellingen Samenvatting Cyber zit diep in allerlei processen van zorginstellingen Het risico van verstoring en gevolgen daarvan is groot Nieuwe wet- en regelgevingen met serieuze boetebedragen Niet alle cyberrisico wordt nu beheerst! loop eens door uw instelling en laat u verrassen door onverwachte cybertoepassingen Zijn die wel cyberveilig?

17 Cyber in zorginstellingen Bedankt voor uw aandacht luiijfconsultancy@ziggo.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback