Met de talrijke cyberaanvallen die Belgische ziekenhuizen de voorbije jaren hebben getroffen, wordt cyberbeveiliging altijd maar belangrijker in het beleid van ziekenhuizen en overheden. Vanaf nu moeten alle Belgische ziekenhuizen voldoen aan de NIS2-richtlijn. Bij het CHIREC is Dr. Pierre-Jean Verheyden, DPO en CISO, verantwoordelijk voor cyberbeveiliging.
De Europese richtlijn waarnaar hieronder wordt verwezen als NIS2 is van kracht sinds 16 januari 2023. Het gaat om Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 inzake maatregelen om een gemeenschappelijk hoog cyberbeveiligingsniveau in de hele Unie te waarborgen:
“In die context zijn we verplicht om te voldoen aan een hele reeks maatregelen die zijn vastgelegd door het Centrum voor Cybersecurity België (CCB). Daarvoor moeten we een zekere mate van maturiteit verwerven als het gaat om cyberbeveiliging”, aldus Dr. Verheyden.
Dit zijn de verschillende maatregelen waar het ziekenhuis momenteel aan werkt: het opstellen van een ziekenhuisbreed informatiebeveiligingsbeleid, het definiëren van rollen en functies zoals de Information Systems Security Officer (CISO), het onderzoeken van de kwetsbaarheden van het ziekenhuis op het gebied van cyberbeveiliging, het controleren van alle vormen van toegang, het bepalen van een beleid voor het beheren van wachtwoorden en identifiers enz.
Gevoelige informatie beschermen
“In een onderneming zoals een ziekenhuis zijn de gegevens die circuleren natuurlijk gevoelige informatie, die wordt beveiligd door de toegang tot IT-systemen te checken, maar ook door de fysieke toegang tot gebouwen te controleren”, merkt de DPO op.
Het zwakke punt van cyberbeveiliging is dat hackers proberen toegang te krijgen tot identifiersdoor middel van phishing. “Daarom moeten we het bewustzijn vergroten en het personeel opleiden, met name door hen tests te sturen en hen bewust te maken van verdachte e-mails”, zegt Pierre-Jean Verheyden.
Optimaal reageren op incidenten
We moeten ook in staat zijn om incidenten op IT-niveau te beheren, waarvoor in sommige gevallen het Noodplan van het ziekenhuis moet worden geactiveerd.
“We zijn meer specifiek verplicht om een beleid op te stellen waarin aan het personeel wordt uitgelegd hoe ze ons moeten waarschuwen in het geval van een incident, en ook om een plan voor voortzetting van de activiteiten te hebben in failsafe modus”, zo legt Dr. Verheyden uit.
Certificering binnen 18 maanden
Nog in het kader van de NIS2-richtlijn moeten ziekenhuizen binnen 18 maanden een CCB-certificeringsproces doorlopen. “Dus we moeten niet alleen maatregelen opstellen, maar ook aantonen dat we ze hebben genomen. We zijn dus bezig met een project om die maturiteit, die ik bij het CHIREC in goede banen leid, uit te rollen zodat het ziekenhuis voldoet aan de regelgeving.” Huisartsen kunnen er dus op vertrouwen dat het CHIREC er alles aan doet om de gezondheidsgegevens van hun patiënten te beschermen.
