Securitymanagement.nl

Hét platform voor de security professional

Nieuws

weerbaarheid ziekenhuis

Is het ziekenhuis wel weerbaar genoeg?

Een ziekenhuis moet onder alle omstandigheden goede zorg leveren. Maar hoe weerbaar ofwel veerkrachtig zijn ziekenhuizen? Veerkracht is meer dan alleen verantwoorde zorg, en ook meer dan veerkrachtige processen en technologische systemen. Het betekent ook omgaan met rampen en interne verstoringen, en kunnen anticiperen op risico’s die de zorg in gevaar brengen. 

Door Betty Rombout

Security Management spreekt met Jurgen Schot, specialist continuïteitsmanagement bij Deloitte, over de weerbaarheid van ziekenhuizen. Schot heeft een achtergrond in IT, security, privacy en projectmanagement binnen verschillende sectoren. Voordat hij bij Deloitte kwam, werkte Schot bij Capgemini met de focus op cybersecurity. Het Reputation, Crisis & Resilience-team van Deloitte Nederland waar Schot werkt, bereidt bedrijven en organisaties voor op een crisis. Hoe reageren zij en hoe herstellen zij zich in geval van een crisis?
Schot: “Het zijn vaak situaties die een cyberelement in zich hebben, over security gesproken. Zelf houd ik mij specifiek bezig met bedrijfscontinuïteit en crisisbeheersing. Ik help bedrijven met vraagstukken als: hoe zorg ik ervoor dat mijn bedrijf of de zorg te allen tijde kan blijven doorgaan ondanks dat er zaken uitvallen? En hoe zorg ik ervoor dat als er een crisis is, ik onder druk met te weinig informatie toch goede beslissingen kan nemen?”

Moeilijke beslissingen

Op de vraag waar de link ligt tussen weerbaarheid en crisismanagement, zegt Schot: “Weerbaarheid of veerkracht betekent hoe je je voorbereidt op grootschalige disrupties. Hoe reageer je erop en hoe herstel je ervan? Crisismanagement is het nemen van moeilijke beslissingen in een compleet nieuwe situatie onder tijdsdruk met te veel of juist te weinig informatie. Een ander belangrijk element van weerbaarheid is continuïteitsmanagement. De focus van de soorten weerbaarheid heeft te maken met de continuïteit. Hoe houd je de zorgverlening up and running, ondanks dat een systeem is uitgevallen, een leverancier failliet is gegaan of een cyberaanval heeft plaatsgevonden? Dus weerbaarheid heeft diverse componenten, waarvan crisismanagement er een is.”

Jurgen Schot: “Het gaat in ziekenhuizen wel over mensenlevens als je je dienstverlening niet kunt leveren.”

Jurgen Schot: “Het gaat in ziekenhuizen wel over mensenlevens als je je dienstverlening niet kunt leveren.”

Geen plannen voor uitval vitale middelen

Wat betreft de weerbaarheid van Nederlandse ziekenhuizen valt het Schot op dat ze het vooral goed doen als je kijkt naar crisismanagement. Dan richten ze hun proces goed in. “Heb je het over het structureel borgen van de continuïteit van de zorg, bijvoorbeeld voorbereid zijn op de uitval van vitale middelen als elektriciteit, leveranciers of bijvoorbeeld ICT, dan ligt dat moeilijker. Dit in tegenstelling tot diverse commerciële bedrijven, zoals banken. Zij hebben plannen klaarliggen voor disrupties, om ervoor te zorgen dat de dienstverlening altijd kan blijven doorgaan. Is er een crisissituatie en moet er een besluit genomen worden over prioriteiten, dan doen ze dat goed. Ziekenhuizen hebben het hier moeilijk mee, wat eigenlijk wel vreemd is, want het gaat in ziekenhuizen wel over mensenlevens als je je dienstverlening niet kunt leveren. Aan de ene kant verbaast mij dit toch wel een beetje, maar aan de andere kant begrijp ik ook dat een ziekenhuis beperkte middelen heeft.”

> LEES OOK: “Zorg voor een goed crisisplan in geval van ransomware-aanval”

Complex

Waarom is weerbaarheid zo complex voor ziekenhuizen? Er zijn vier barrières waardoor het lastig is om de veerkracht te vergroten en de zorgcontinuïteit en patiëntveiligheid te bewaken:

  1. Beperkte middelen en capaciteit
  2. Onvoldoende bestuurlijke aandacht
  3. Gefragmenteerde verantwoordelijkheden
  4. Averechtse tendensen

Schot legt uit: “De zorgsector staat onder druk, er zijn weinig middelen. Er zijn wellicht andere prioriteiten. Voorbereiden op een mogelijke noodsituatie kost tijd, maar is wel noodzakelijk gezien de reeks aan incidenten die heeft plaatsgevonden.”

Inzicht in mogelijke verstoringen ontbreekt regelmatig

“Verder is het bij veel ziekenhuizen zo dat het bestuur veel ervaring heeft in het ziekenhuiswezen, maar minder in het beheersen van niet-financiële risico’s op het gebied van privacy, security of continuïteit. Integraal inzicht in mogelijke interne verstoringen en disbalans in de continuïteitsaanpak ontbreekt regelmatig, zodat het voor hen lastig is om de juiste keuzes te maken bij de inzet van schaarse middelen en capaciteit. Dit betekent dat zij soms ad hoc strategische keuzes moeten maken, waarbij de risico’s door zorgprofessionals als ‘erg hoog’ worden ervaren.”

Hoe kun je als securitymanager je ziekenhuis weerbaarder maken?

  • Inventariseer wat de meest kritische zorgprocessen en middelen zijn. Dit zorgt voor beter inzicht en helpt om prioriteiten te kunnen stellen tijdens crises, alsook het prioriteren van investeringen.
  • Werk met het brede perspectief dat de arts zijn werk moet kunnen doen met daarbij de focus op IT, maar bekijk ook alternatieven.
  • Zorg ervoor dat maatregelen begrijpelijk zijn voor de artsen, zodanig dat het direct patiëntgerelateerd is. Met andere woorden: hoe draagt je oplossing bij aan de patiëntveiligheid en de zorgcontinuïteit? En doe dat in de taal die artsen spreken.
  • Werk samen met andere ziekenhuizen bij het vrijmaken van middelen, bij informatiebeveiliging bijvoorbeeld. Niet alleen met Z-Cert, maar in breder verband. Z-CERT is het expertisecentrum voor cybersecurity in de zorg en helpt bij het weerbaar maken van de zorgsector.

Versnipperd

“Je ziet ook dat de verantwoordelijkheid voor de continuïteit van de zorg heel versnipperd is. Ziekenhuizen bestaan uit maatschappen, die autonoom werken maar bijvoorbeeld wel gemeenschappelijk IT-diensten afnemen. Ze gaan heel verspreid om met bijvoorbeeld continuïteits- of informatiebeveiligingsrisico’s.”
“Stel: er is een grote ransomware-aanval. Dan zijn er wel plannen voor continuïteit binnen individuele afdelingen, allemaal geënt op een klein stuk uitval. Zodra er sprake is van een grootschalige uitval, weet men niet meer hoe de zorg gecontinueerd kan worden. Ook de herstelvolgorde van de diverse systemen is vaak niet bekend, wat relevant is na een dergelijke aanval.”

“Tenslotte zijn er ook nog verscheidene andere tendensen die ziekenhuizen ervan weerhouden om veerkracht integraal te benaderen. De belangrijkste zijn: de diepgewortelde benadering van ‘de patiënt centraal’, de hoge normering- en accreditatiedruk en de reactieve opstelling van toezichthouders. Ook deze factoren maken het lastiger om te anticiperen op interne verstoringen.”

> LEES OOK: Zoeken naar balans tussen beveiligen en behandelen bij tbs-kliniek de Kijvelanden

Nieuwe wetgeving

Een en ander gaat wel veranderen. Er komt nieuwe wet- en regelgeving aan gebaseerd op de Europese NIS2- en CER-richtlijnen. De CER-richtlijn richt zich op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s.
Schot: “Dit zijn twee Europese richtlijnen die nu voor het eerst de zorg zien als een vitale sector. De wetten schrijven voor dat je een plan moet hebben hoe te handelen bij een grootschalige verstoring en dat je dat ook moet oefenen en testen. Wordt niet aan de wet voldaan, dan krijgt men een boete. Dit is een grote verandering voor de zorgsector, ik heb twijfels of de ziekenhuizen zich bewust zijn van de impact van deze wetgeving.”
De NIS2 komt als eerste uit, vertaald naar de Nederlandse wetgeving. Dat zal over een paar jaar zijn. De CER-richtlijn is eind vorig jaar in Europa goedgekeurd. De wet is vanaf 2027 van kracht in Nederland.

> LEES OOK: Waarom securityrichtlijn NIS2 bij ieder bedrijf hoog op de agenda moet staan

Wat te doen?

De wetgeving is er nog niet, hoe kan dan toch die weerbaarheid in ziekenhuizen al vergroot worden? Schot: “Elk bedrijf en iedere organisatie is tegenwoordig een IT-bedrijf. Hoe het zorgproces werkt is erg verbonden met de IT die daarvoor gebruikt wordt. Beschermen van je IT en de continuïteit ervan, betekent eigenlijk bescherming van je bedrijfsvoering, in dit geval van de zorg. Dit besef is er nog niet helemaal, zeker niet bij artsen of bijvoorbeeld bestuurders met een medische achtergrond. Professionals op het gebied van weerbaarheid en security dienen de link te maken met de gevolgen van risico’s voor de zorgcontinuïteit en de veiligheid van de patiënt.”

Ziekenhuizen kunnen doelbewust worden platgelegd

Hij vervolgt: “Wat vanuit securityperspectief ook belangrijk is te beseffen, is dat ziekenhuizen zich niet moeten wapenen tegen alleen scriptkiddies die voor hun lol wat proberen, of criminelen die toevallig of per ongeluk ziekenhuizen meenemen in hun aanval, maar tegen statelijke actoren die er doelbewust op uit zijn om de maatschappij te verstoren, bijvoorbeeld door een ziekenhuis plat te leggen.”

> LEES OOK: Hoogleraar Kees Boersma: “Deel zoveel mogelijk data bij een ramp”

Technische oplossingen

“Wat ik verder vaak hoor van securityprofessionals wanneer ik over dit onderwerp praat, is dat ziekenhuizen heel erg kijken naar technische oplossingen. Als iets uitvalt, dan moeten we de techniek beter maken en meer redundant uitvoeren, zegt men. Maar dit kost allemaal veel geld, iets wat ziekenhuizen lang niet altijd hebben. Er zijn ook alternatieven. Kijken of je op een andere manier kunt gaan werken. Hebben we het over weerbaarheid, dan moet je op een brede manier kijken hoe continuïteit en veiligheid kunnen worden geborgd.” Kortom, crisismanagement doen ziekenhuizen in het algemeen vrij goed. Schot: “Maar de zorgcontinuïteit in de breedte kan beter. Inzicht in wat de meest vitale processen zijn die je als ziekenhuis uitvoert, is cruciaal. Daarna volgt inzicht in alle relevante afhankelijkheden om deze processen uit te voeren, waarvan één van de belangrijkste IT is. Daar moet je planvorming op maken om ervoor te zorgen dat je de continuïteit van die middelen kunt borgen: mensen, middelen, IT-systemen, apparatuur, leveranciers. Daarmee moet je oefenen en dat vervolgens monitoren.”

> LEES OOK: “Voor een crisis heb je een brede basis nodig”

Zorg thuis

Tot slot zegt Schot nog over de toekomst: “Wat je ziet is dat er steeds meer zorg thuis geleverd wordt met behulp van digitale middelen. Ook op het gebied van onder andere Artificial Intelligence zijn vele ontwikkelingen gaande. Dat is iets waar een securitymanager bovenop moet zitten. Wat ik zie is dat als er een nieuw technologisch initiatief is, de securitymanager er bij aanwezig is. Dat is heel goed, maar er moet een strategie zijn vanuit security hoe je met dergelijke nieuwe initiatieven omgaat, om de weerbaarheid, continuïteit en veiligheid in de toekomst ook structureel te borgen.”

Dit artikel is eerder gepubliceerd in het Vaktijdschrift Security Management. Voor een abonnement op Security Management kunt u contact opnemen met Cora Kant: info@securitymanagement.nl
tel.: 030-4100677. 

Volg Security Management op LinkedIn


Gerelateerde berichten

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.
Cookies
Om u beter van dienst te kunnen zijn, maakt Securitymanagement gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
Instellingen