Organisaties evolueren volop en door middel van technologie zijn zij constant aan verandering onderhevig. Dat geldt ook voor organisaties in de gezondheidszorg. Enkele uitdagingen waar u als sector nu mee te maken heeft, zijn de krapte op de arbeidsmarkt en het leveren van optimale ketenzorg. Zijn uw patiëntgegevens goed beschermd en de veilige uitwisseling daarvan? Bent u al toekomstbestendig? Wij werken samen met organisaties in de gezondheidszorg om uitdagingen als gevolg van digitalisering het hoofd te bieden. Ons uitgangspunt is dat wij helpen om betere kwaliteit gezondheidszorg te leveren tegen maatschappelijk lagere kosten.
Goede gezondheidszorg in een digitaal tijdperk betekent dat IT-systemen op orde en betrouwbaar zijn en patiëntgegevens op een goede en betrouwbare manier uitgewisseld kunnen worden. De digitale transformatie van veel zorginstellingen loopt vast omdat de beveiliging van data en zorgsystemen onvoldoende kan worden gegarandeerd en veel onduidelijkheid bestaat over de (juridische) voorwaarden waaronder gegevens mogen worden gedeeld. Medische gegevens moeten worden verzameld, veiliggesteld en gedeeld op een (gestandaardiseerde) manier die past bij de zorgplicht van hulpverleners en voldoet aan de daaraan gestelde wettelijke eisen op grond van de AVG en zorgspecifieke wetgeving zoals de WGBO. Is dit niet het geval, dan handelt de zorgorganisatie niet in overeenstemming met de wet en/of ontstaat een datarisico voor de zorgomgeving.
Als securityspecialisten brengen we de veiligheidsrisico’s van gebruikte en nieuwe technologieën in kaart. We helpen u met het ontwerpen ‘good practices’ voor uw gehele IT-landschap, inclusief data, infrastructuur en applicaties. Onze juristen zijn bekend met relevante wet- en regelgeving, voorschriften en standaarden op het gebied van privacy, gezondheidsrecht en databescherming. Met AI en Machine Learning houden we de compliance beheersbaar. Op deze manier helpen wij u met uw digitale transformatie en uw digitale integriteit.
In de gezondheidszorg, biedt security die de mens centraal stelt, de beste bescherming tegen digitale bedreigingen. Zelfs de meest geavanceerde technologische security-voorzieningen schieten te kort als uw medewerkers niet alert zijn op (digitale) bedreigingen. Daarom moet het veiligheids-gen in uw organisatie-DNA worden gekoesterd en gedeeld.
Wij trainen uw medewerkers om security bedreigingen te herkennen en ‘safe practices’ in te passen in de dagelijkse routines. Met behulp van Social Engineering experimenten wordt het bewustzijn van risico’s vergroot onder medewerkers. Voor leidinggevenden organiseren we crisisleiderschapssimulaties en awareness trainingen. Met onze speciaal ontwikkelde metrieken maken we gedragsveranderingen meetbaar.
De maatschappij wordt steeds meer afhankelijk van technologie, dit vergroot de kans op cyberincidenten aanzienlijk. Uw zorgorganisatie moet erop voorbereid zijn om snel, doelmatig en op de juiste manier te reageren op een cyberincident of het uitlekken van gevoelige informatie. Samen met uw organisatie beantwoorden wij de vraag, hoe te handelen in het geval van een cyberincident. Voorbereid zijn op een incident helpt uw organisatie om sneller en beter te reageren wanneer een incident plaatsvindt. Dit beperkt de schade op financieel gebied en zorgt ervoor dat u sneller terug kunt naar de normale situatie.
Wij helpen u voorbereid te zijn op een cyberincident. Dit kan door het oefenen van uw procedures op het gebied van Incident Response of het simuleren van een cyberaanval. Mocht het echter toch misgaan staan wij 24/7 paraat om u te helpen in het geval van een cyberincident. Onze forensische experts helpen u met het verzamelen en veiligstellen van het benodigde bewijs op een manier die juridisch standhoudt. Wij hebben jarenlange ervaring met het voorbereiden van organisaties en het onderzoeken van cyberincidenten. Dit maakt het mogelijk om u te helpen voordat het te laat is.
Ook in de gezondheidszorg is het een illusie om te denken dat uw organisatie volledig op een crisis voorbereid is. Er zijn te veel noodsituaties waarop u zich niet kunt voorbereiden. Een goed crisismanagement helpt leidinggevenden om op het goede moment de juiste maatregelen te nemen en niet van hun koers af te wijken. En door te leren van uw reactie op deze crisis bent u beter voorbereid op een volgende.
Wij trainen leidinggevenden aan de hand van maatwerk-crisissimulaties om onder druk uit te kunnen voeren wat het crisisplan voorschrijft. We ontwikkelen crisis oefenscenario’s voor alle managementlagen en actualiseren uw recovery-plannen.
Zorginstellingen werken met complexe netwerken en gevoelige data. Zonder zorgvuldige procedures voor het vaststellen van de identiteit en toegangsrechten van iedereen die toegang wil en een intelligent en risico gebaseerd access management, kan uw zorgorganisatie niet veilig deelnemen aan het dataverkeer. Zeker niet nu de privacyregels op dit punt zijn aangescherpt. Een professioneel Identity & Access Management (IAM) systeem is de betrouwbare poortwachter voor uw bedrijfskritische en privacygevoelige informatie.
Onze IAM-experts zorgen ervoor dat de juiste personen om de juiste redenen toegang krijgen tot de juiste informatiebronnen, en dat hierover eenvoudig gerapporteerd kan worden naar verschillende belanghebbenden. Op de goede manier ingezet verhoogt IAM de operationele efficiency, verlaagt kosten en vereenvoudigt de verantwoordingscyclus.
Als u zorgapplicaties in de cloud plaatst vindt een verschuiving van de securityvoorzieningen plaats. Naast dat u voor nieuwe vraagstukken komt te staan ten aanzien van integratie van uw cloudomgeving met uw eigen on-premise omgeving, krijgt u ook nieuwe beheerprocedures, configuraties en managementsystemen specifiek voor de cloud. Mocht u zelf daarnaast nog actief software ontwikkelen, moet u rekening houden met security en privacy by design. Hierbij worden informatiebeveiliging en compliance-voorschriften al in de ontwerpfase ingebouwd. Ze worden zoveel mogelijk automatisch meegenomen in volgende ontwikkelcycli en maken het mogelijk om vroegtijdig te anticiperen op veranderingen in het risicoprofiel van uw zorgomgeving (DevSecOps).
Als cloud-engineers werken wij bij het ontwerp van end-to-end oplossingen samen met security- en governance-deskundigen. We helpen met het installeren van een platform om cyberrisico’s te kunnen identificeren in uw ontwikkelde software en koppelen dit aan impact op uw bedrijfsvoering.
Indien gewenst ondersteunen we u met assessment en certificering, en coachen en trainen we gebruikers en management.
Nu cyberinbraken allang geen incidenten meer zijn, is preventie steeds belangrijker. Dit geldt met name voor zorgorganisaties, waar de continuïteit en veiligheid van het zorgproces voorop staat. Met Security Monitoring detecteert u proactief bedreigingen en risico’s in uw digitale omgeving en meet u de effectiviteit van genomen security- en compliance-maatregelen. Het is daarom een onmisbare schakel in uw wettelijk verplichte Incident Response-strategie.
Wij helpen u om uw security-strategie af te stemmen op de continuïteitsvereisten van uw organisatie. Dat doen we door een Information Security Management System te implementeren en business impact analyses uit te voeren. We ondersteunen bij het ontwerp, de implementatie, de technische ondersteuning, het certificeringsproces en het trainen van gebruikers. We staan uw Chief Information Security Officer proactief bij en geven een second opinion bij applicatie-audits.
Ook in de gezondheidszorg is de beveiliging van operationele technologieën (zoals bijvoorbeeld MRI scanners, vergruizers en pacemakers) een onderschat probleem. Apparaten en machines communiceren met elkaar en met systemen en platformen. OT- en IT-werelden smelten zo steeds meer samen. Maar de integratie verloopt zelden vlekkeloos. De meeste door zorginstellingen gebruikte OT-systemen zijn ontworpen voor gebruik in een geïsoleerde omgeving en indien niet goed èn veilig in IT-netwerken opgenomen, kunnen de systemen kwetsbaar zijn voor hackers. Ook de wetgever vraagt om extra maatregelen: de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) verplicht uw zorgorganisatie om OT-systemen cyberveilig te maken.
Wij helpen u met het verbeteren van de beveiliging van uw OT omgeving. Na een quick scan stellen we een dreigings- en volwassenheidsanalyse op en maken aanbevelingen om uw beveiliging te verbeteren. De uitkomsten nemen we mee in een OT Security Strategie. Verder kunnen we u ook begeleiden in transformatie trajecten noodzakelijk om de beveiliging in uw OT omgeving te verbeteren.
Voor een optimale cyberveiligheid in de gezondheidszorg is het nodig de vaak overbelaste en onderbezette securityteams zoveel mogelijk te ontzorgen. Dat kan als ze de beschikking hebben over de modernste middelen om cyberdreigingen preventief te spotten en aanwijzingen te filteren uit kritieke systemen. Het opzetten van een Security Operations Center (SOC) helpt om alle bedreigingen in het IT-landschap centraal te kunnen monitoren en managen.
Wij kunnen terugvallen op ervaring met Incident Response activiteiten die we doen in 40 landen. Deze kennis nemen we mee bij het opzetten van een SOC. We zorgen ervoor dat alle securitymaatregelen van hieruit automatisch worden gecoördineerd. Daarnaast biedt Managed Detection & Response (MDR) zichtbaarheid van wat er op alle endpoints gebeurt en middels prevention, detection, response en threat hunting kunnen we in real time reageren op nieuwe bedreigingen. Deze extra laag van security integreert volledig in de al aanwezige cybersecurity componenten om optimaal gebruik te maken van de beschikbare informatie, zodat een betere bescherming geboden kan worden tegen cyberaanvallen.
Het kunnen garanderen van de veiligheid van persoonsgegevens is een belangrijke, zo niet het belangrijkste, asset van datarijke zorginstellingen. Cure en care organisaties moeten kunnen voldoen aan wat de aangescherpte privacyregels van ze vragen bij het beheer en uitwisselen van medische gegevens en kunnen verantwoorden dat de organisatie overeenkomstig de overige nationale en internationale medische wets- en gedragsregels en standaarden handelt. Een data-framework is hierbij een onontbeerlijke steun.
Wij helpen u bij het opzetten van een organisatie, raamwerk, processen, procedures en technologie voor het handelen bij het verzamelen, beheren, verrijken, beveiligen en uitwisselen van data. We analyseren processtandaarden en best practices, adviseren over de juridische verplichtingen en consequenties van sectorspecifieke privacy- en gezondheidswetgeving in de EU en daarbuiten, en introduceren analysetechnieken en instrumenten. We trainen uw management en medewerkers in awareness en bijvoorbeeld de rol van Data Protection Officer.
Om gelijke tred te kunnen houden met de hoge ontwikkelsnelheid van cybersecurity dreigingen in uw zorgomgeving, moeten de genomen veiligheidsvoorzieningen continu worden getest op hun weerbaarheid tegen nieuwe dreigingen. Aanval-scenario’s dienen te worden gesimuleerd om uw weerbaarheid te optimaliseren. Onze ethical hackers kunnen ongeziene risico’s zichtbaar maken en onze cyberdefense specialisten kunnen u helpen om uw preventieve en detectieve controlemaatregelen te optimaliseren. In combinatie met een adequate Threat & Vulnerability Management zorgt u ervoor dat alle kwetsbaarheden op een gestructureerde wijze aan het licht komen en dat security tests aansluiten bij de praktijk van nu en morgen.
Onze specialisten voeren op maat gemaakte simulaties uit om uw verdediging te optimaliseren. Onder supervisie dringen onze specialisten binnen in uw netwerken en proberen daarbij hun hackaanval zo lang mogelijk verborgen te houden. Wij koppelen de uitvoering van deze zogeheten redteaming tests terug aan uw organisatie en kunnen helpen om uw detectie- en respons mogelijkheden kosteneffectief te optimaliseren.
Partner, Consulting Lead, Ministerie van Volksgezondheid, Welzijn en Sport, PwC Netherlands
Tel: +31 (0)61 089 31 82