beveiliging van medische software in een netwerk
TRANSCRIPT
Agenda
• Medische hulpmiddelen & cyber security
• Beveiliging van persoonsgegevens
• De praktijk in de langdurige zorg
2
Medisch hulpmiddel?
Elk instrument, toestel of apparaat, elke software of stof of elk ander artikel dat of die alleen of in combinatie wordt gebruikt, met inbegrip van elk hulpstuk en de software die voor de goede werking ervan benodigd is, dat of die door de fabrikant speciaal is bestemd om te worden gebruikt voor diagnostische of therapeutische doeleinden, en door de fabrikant is bestemd om bij de mens te worden aangewend voor:
• diagnose, preventie, bewaking, behandeling of verlichting van ziekten
• diagnose, bewaking, behandeling, verlichting of compensatie van verwondingen of een handicap
• onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch proces
• beheersing van de bevruchting (art. 1.2a MDD)
3
Cyberaanvallen in de zorg?
‘Valse facturenEen bijzondere vorm van zorg-gerelateerde cybercrime is het stelen van patiënten- en of verzekeringsdossiers. Criminelen kunnen daarmee valse facturen declareren, behandeling op kosten van het slachtoffer krijgen en medicijnen ophalen voor eigen gebruik dan wel doorverkoop. Slachtoffers kunnen hierdoor voor duizenden euro’s gedupeerd worden. Ook kan hun ziektekostendekking in het geding komen of kunnen medische dossiers vervuild raken.’ – Bron: Skipr
4
Regels over de bescherming van persoonsgegevens• Artikel 17 Richtlijn 95/46/EG In Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (WBP) :
• Artikel 13 van de WBP vereist:
‘Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.’
Het CBP over beveiliging van patiëntgegevens in een ziekenhuis:
• Beveiligingsrisico’s (doorlopend) in kaart brengen;• Organisatorische en/of technische maatregelen treffen om de
geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij bijvoorbeeld aan updates);
• Het netwerk beveiligen door (technische) scheiding zoals segmentering van diverse domeinen waar het een groot netwerk betreft.
6
- Inventariseer alle software en wanneer deze end of life is.
- Zorg voor tijdige updates van de software en vervang de end of life software.
- Geen vervanging mogelijk van end of life software? Zorg voor aanvullende maatregelen zoals het systeem afkoppelen van het netwerk of op een gescheiden netwerk plaatsen met strikte toegangscontrole.
- Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van gebruikers en systemen te detecteren.
- Voer periodiek penetratietesten en controles uit om kwetsbaarheden in systemen en apparatuur te ontdekken en tref maatregelen.
- Let op de voorwaarden van leveranciers; onder andere ten aanzien van beveiliging en het leveren van updates.
Meer lezen? http://www.digitalezorg.nl/digitale/verwerking-en-beveiliging-van-persoonsgegevens/
7
Beveiliging van patiëntgegevens
Richtlijn medische hulpmiddelen - Bijlage 1 essentiële eisen
12.1 Hulpmiddelen met programmeerbare elektronische systemen moeten zodanig zijn ontworpen dat herhaalbaarheid, betrouwbaarheid en prestatievermogen van deze systemen overeenkomstig het beoogde gebruik, gewaarborgd zijn. In geval van een eerste fouttoestand (in het systeem) (‘single fault condition’) moeten er passende maatregelen worden getroffen om de daaraan verbonden risico's zoveel mogelijk uit te schakelen of te verminderen. 12.1 bis In het geval van hulpmiddelen waarin software is opgenomen of die op zichzelf medische software zijn, moet de software met de meest geavanceerde methoden worden gevalideerd, rekening houdend met de beginselen van de ontwikkelingscyclus en van risicobeheer, validatie en verificatie.
Compliance? Implementatie standaard EN 62304 ‘software life-cycle processes’. 9
EN 62304
Artikel 3.22: Definitie van ‘security’: protection of information and data so that unauthorized people or systems cannot read or modify them and so that authorized persons or systems are not denied access to them (ISO/IEC 12207:1995 definition 3.25)
Verwijzing naar EN 14971:2012 standaard voor het toepassen van risicomanagement op de beveiligingseisen. Deze standaard schrijft een proces voor dat de fabrikant laat beredeneren aan welke risico’s het hulpmiddel bloot staat en hoe die in het ontwerp ervan geadresseerd zijn.
10
FDA
11
• Document: ‘Content of Premarket Submissions for Management of Cyber security in Medical Devices’
Definitie cybersecurity: ‘the process of preventing unauthorized access, modification, misuse or denial of use, or the unauthorized use of information that is stored, accessed, or transferred from a medical device to an external recipient.’
Fabrikanten van medische hulpmiddelen moeten maatregelen ontwikkelen om de cyber security te handhaven en functionaliteit en veiligheid van de medische hulpmiddelen te waarborgen.
PRAKTIJK: cybersecurity wordt niet als taak van de fabrikant gezien.
Meer lezen?
12
Haal het nieuwe Digitalezorg.nl Magazine (nr. 4) bij standnummer 11.005Online via: http://www.digitalezorg.nl/digitale/magazine/
Wat kunt u verwachten?
•Waarnemingen privacy en security
•Kennisniveau en ontwikkeling ICT en de business (professional & cliënt)
15
Speelveld langdurige zorg
• Wetten en regels (Wbp, Wet Big, EU regels)• Certificering (NEN, ISO)• (Communicatie) Standaarden (Edifact, XDS, HL7)• Toezichtregels /-houders
• Digitalisering• Transitie
Urgentie
• Snelheid van kennis ontwikkeling ≠ snelheid digitalisering.• BYOD• Apps• Van binnen naar buiten het systeem (wie is verantwoordelijk)• Integrale informatiebeveiliging (organisatorische en technische
maatregelen)
Meer risico’s:• Apps• BYOD• SaaS• Continuïteit : bedrijfskritieke systeem & applicaties (DDoS aanval
Boston Children’s Hospital 2014)
19
Verschuivingen verantwoordelijkheid
• Van zorg naar ondersteuning• Van professional naar eigen sociale netwerk (mantelzorger)
• Van instelling naar thuis• Van voorschrijven naar zelf aangeven
• Verscherpte governance regels (toezichthouder maatschappelijk verantwoordelijk)
Waarnemingen toezichthouder
1) Compliance speelt een steeds belangrijkere rol2) Kennis: binnen de organisatie (ICT/medewerkers) en
visieontwikkeling3) Lessen vanuit de ECD implementatie
Succesfactoren
4) Bewustwording5) Risicoafweging - maak keuzes6) ICT architectuur (standaarden) – informatiebeheer
(welke data hebben we en hoe kunnen we die inzetten voor verbetering zorg ) 21
Discussie
a)Waarom niet meer standaarden in de care?
b)Nieuwe wetgeving of zelfsturing?
c)Vinken of vonken?
d)Hoe komen we van kennis naar visie?
e)Wat kan de care leren van de cure?
Links
MEDDEVhttp://ec.europa.eu/health/medical-devices/documents/guidelines/index_en.htm
WP 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm
CBPwww.cbpweb.nl
EU e-Healthhttp://ec.europa.eu/health/ehealth/portal/index_nl.htm
IGZwww.igz.nl
24
Sofie van der MeulenAxon AdvocatenPiet Heinkade 1831019 HC Amsterdam
+31 88 650 6500+31 6 53 44 05 [email protected]
Ingeborg van der MolenRaad van Toezicht Groot HoogwaakJUSTthIS juridisch & informatieadvies
+31 6 23 54 72 [email protected]@justthis.euwww.justthis.eu