>, Medisch recht, Privacy recht>Cyberrisico’s in de medische sector (EY)

Cyberrisico’s in de medische sector (EY)

Auteurs: Lucien De Busscher en Andy Deprez (EY)

Publicatiedatum: augustus 2018

Terwijl de gezondheidssector door een ingrijpende transformatie gaat, is het vooral technologie die voor de grootste disruptie zorgt. “Technologie opent de weg naar meer efficiëntie en betere dienstverlening, onder meer via geconnecteerde toestellen”, zegt Lucien De Busscher, vennoot Life Sciences bij EY. “Maar even goed hangen er nieuwe risico’s aan vast”, antwoordt Andy Deprez, vennoot Cyber Security bij EY. “Wat als een hacker de controle over een pacemaker of insulinepomp overneemt?”

Lucien De Busscher: “De sector van healthcare & life sciences verandert snel. Vroeger werkte iedereen op zijn eigen eilandje. Een farmaceutische onderneming, bijvoorbeeld, was vaak een onehitwonder, opgebouwd rond één succesvol medicijn.

Vandaag ziet de sector er helemaal anders uit. Verschillende spelers vormen samen een ecosysteem. Het gaat daarbij niet alleen om ondernemingen uit de medische sector, maar vaak ook om partners uit de technologiewereld. Samen bouwen ze oplossingen die elk op hun manier een stukje informatie over de patiënt capteren. Zo ontstaat het fenomeen van de digitale echo.”

Wat houdt dat precies in?

Lucien De Busscher: “De digitale echo bestaat uit de informatie die je over jezelf op digitale wijze achterlaat. Het gaat daarbij niet alleen om de data in het elektronische patiëntendossier in het ziekenhuis. Ook medische toestellen – zoals een pacemaker of een insulinepomp – registreren informatie.

En dat is niet alles. Een app op de smartphone registreert hoeveel stappen je zet. Een sporthorloge meet je hartslag, weet hoe vaak je gaat joggen en heeft een zicht op je conditie. Elk stukje informatie afzonderlijk is op zich niet altijd bijzonder waardevol. Maar wanneer je alles samenlegt, krijg je een vrij accuraat beeld van iemands conditie. En dat is natuurlijk wel interessant.”

Andy Deprez: “Hoe meer toestellen informatie over je capteren, hoe groter de kans op problemen. Nog niet zo lang geleden was de beveiliging van digitale data een vrij overzichtelijke job. De opdracht bestond erin het bedrijfsnetwerk – met centraal de databank – om te vormen tot een versterkte burcht: om de hackers buiten en de data binnen te houden.

Die aanpak is uiteraard niet houdbaar binnen dat nieuwe ecosysteem, waar ziekenhuizen, labo’s, onderzoekscentra, artsen en patiënten informatie met elkaar uitwisselen. Dan kun je niet anders dan de poort van de burcht openmaken.”

Kroonjuwelen

Wat is het basisprincipe van security in die nieuwe omgeving?

Andy Deprez: “Alles draait om de kroonjuwelen. Een ziekenhuis bijvoorbeeld, of een farmaceutische onderneming, moet voor zichzelf in kaart brengen welke data het allerbelangrijkst zijn. Mogelijk gaat het om patiëntengegevens, of om data in verband met intellectuele eigendom, enzovoort.

De belangrijkste oefening bestaat er echter in het juiste evenwicht te vinden tussen de integriteit van de data, want je wil niet dat ze in verkeerde handen vallen, en flexibiliteit, want tegelijk moet je met de partners van het ecosysteem ook data kunnen uitwisselen.”

Wat kan er gebeuren wanneer de beveiliging in die nieuwe context steken laat vallen?

Lucien De Busscher: “Cybercriminaliteit bestaat in heel uiteenlopende gradaties. Er zijn partijen die medische data stelen en verkopen. Vaak zijn dat incidenten die zich situeren in de sfeer van de industriële spionage of identiteitsfraude.

De verkoop van persoonsgebonden data houdt echter geen direct fysiek risico in voor de patiënt in kwestie. Dat is wel het geval bij de hacking van medische toestellen. Hackers kunnen ermee dreigen de instellingen van je pacemaker te wijzigen, tenzij je losgeld betaalt. Dat kan leiden tot levensbedreigende situaties.”

Andy Deprez: “Vroeger waren medische toestellen niet verbonden met een netwerk. Vandaag wel, en daardoor ontstaat er een risico. Het probleem is dat medische toestellen vaak een lange ontwikkelingstijd hebben.

De ontwikkeling van de huidige generatie toestellen vond plaats toen er van al die nieuwe bedreigingen nog geen sprake was. Ontwikkeling volgens het principe van security by design is iets dat er pas met de volgende generatie toestellen aankomt.”

Veiligheid en integriteit

Dat er meer en sneller data beschikbaar zijn over een patiënt, houdt allicht ook opportuniteiten in. Hoe zien jullie dat evolueren?

Lucien De Busscher: “Het gaat om meer dan de betere dienstverlening aan de patiënt. Onder meer de verzekeringsbranche is geïnteresseerd. Om een bepaalde verzekering af te sluiten, moet je vandaag enkel aankruisen of je al dan niet rookt.

De data uit je smartwatch geven echter een veel betere indicatie van je gezondheid. Die data zouden mee de hoogte van je polis kunnen bepalen. In de VS zijn er verzekeraars die al op die manier werken. Maar stel dat iemand je smartwatch hackt en de data wijzigt, dan kan dat zo ook problemen opleveren.”

Hangen de risico’s ook niet voor een stuk samen met een gebrek aan kennis? Is er meer bewustmaking nodig?

Andy Deprez: “Natuurlijk. Vandaag leggen de producenten van toestellen en apps de verantwoordelijk maar al te graag bij de eindgebruiker. Wie een app in gebruik neemt, aanvaardt blindelings een lange lijst van voorwaarden. Daarmee zet de leverancier alleen zichzelf uit de wind. We moeten komen tot een situatie waarbij het gebruik van een toestel of een app de veiligheid en integriteit van de data waarborgt.”

Kunnen nieuwe technologieën daar een oplossing voor bieden?

Lucien De Busscher: “Er komt ongetwijfeld nieuwe technologie die veel zal veranderen. Artificiële intelligentie en machine learning bijvoorbeeld, zullen de dienstverlening aan de patiënt sterk verbeteren. Maar even goed zullen cybercriminelen dezelfde technologie inzetten – met heel andere intenties.

Mogelijk kan blockchain voor een belangrijke doorbraak zorgen in de beveiliging van persoonsgebonden data. Het grote voordeel van een blockchain is dat je de vastgelegde data niet kunt verwijderen of aanpassen.”

De juiste afweging

Blockchain heeft inderdaad mogelijk potentieel voor de sector, maar blijft voorlopig toekomstmuziek. Wat kan een organisatie uit de gezondheidszorg, bijvoorbeeld een ziekenhuis, vandaag wel al concreet ondernemen om haar kroonjuwelen veilig te stellen?

Andy Deprez: “Er is nood aan meer bewustzijn over de transformatie die de sector doormaakt. Het ziekenhuis moet beseffen dat het tot een ecosysteem behoort. Het moet weten dat de patiënt de eigenaar is van de data. Wanneer dat inzicht er is, kun je veel makkelijker vaststellen wat de kroonjuwelen zijn en welke risico’s er bestaan.”

Lucien De Busscher: “Cybersecurity blijft in wezen een oefening in risicobeheer. Je moet altijd de afweging maken: welk risico wil je uitschakelen, wat mag dat kosten en wat brengt dat op? Diefstal van persoongebonden data is een onaangename inbreuk, maar – cru gesteld – het is niet levensbedreigend.

Het grootste cyberrisico voor een ziekenhuis is vandaag dat een patiënt sterft als gevolg van een hacking. Idem voor de producent van het gehackte medische toestel. Na zo’n incident mag die wellicht de deuren sluiten. En neen, een compleet nulrisico bestaat niet. Maar je kunt er wel alles aan doen om dat zwaarste risico te vermijden.”

Andy Deprez: “En als je dat kunt bewijzen in de markt, dan is dat niet alleen goed nieuws voor de patiënt, maar haal je er nog eens een belangrijk concurrentieel voordeel uit ook.”

Lees hier het originele artikel

2018-08-13T09:00:48+00:00 13 augustus 2018|Categories: Informaticarecht - Medisch recht - Privacy recht|Tags: , |