Zorgacademie Zorg & ICT 2015

1. BEVEILIGING VAN
MEDISCHE SOFTWARE IN
EEN NETWERK
Sofie van der Meulen
Ingeborg van der Molen

2. Agenda
• Medische hulpmiddelen & cyber security
• Beveiliging van persoonsgegevens
• De praktijk in de langdurige zorg
2

3. Medisch hulpmiddel?
Elk instrument, toestel of apparaat, elke software of stof of elk
ander artikel dat of die alleen of in combinatie wordt gebruikt, met
inbegrip van elk hulpstuk en de software die voor de goede werking
ervan benodigd is, dat of die door de fabrikant speciaal is bestemd
om te worden gebruikt voor diagnostische of therapeutische
doeleinden, en door de fabrikant is bestemd om bij de mens te
worden aangewend voor:
• diagnose, preventie, bewaking, behandeling of verlichting van
ziekten
• diagnose, bewaking, behandeling, verlichting of compensatie van
verwondingen of een handicap
• onderzoek naar of vervanging of wijziging van de anatomie of
van een fysiologisch proces
• beheersing van de bevruchting (art. 1.2a MDD)
3

4. Cyberaanvallen in de zorg?
‘Valse facturen
Een bijzondere vorm van zorg-gerelateerde cybercrime is het stelen van patiënten-
en of verzekeringsdossiers. Criminelen kunnen daarmee valse facturen declareren,
behandeling op kosten van het slachtoffer krijgen en medicijnen ophalen voor eigen
gebruik dan wel doorverkoop. Slachtoffers kunnen hierdoor voor duizenden euro’s
gedupeerd worden. Ook kan hun ziektekostendekking in het geding komen of
kunnen medische dossiers vervuild raken.’ – Bron: Skipr
4

5. 5

6. Regels over de bescherming van
persoonsgegevens
• Artikel 17 Richtlijn 95/46/EG
In Nederland geïmplementeerd in de Wet bescherming persoonsgegevens
(WBP) :
• Artikel 13 van de WBP vereist:
‘Passende technische en organisatorische maatregelen om
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van
onrechtmatige verwerking.’
Het CBP over beveiliging van patiëntgegevens in een ziekenhuis:
• Beveiligingsrisico’s (doorlopend) in kaart brengen;
• Organisatorische en/of technische maatregelen treffen om de
geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij
bijvoorbeeld aan updates);
• Het netwerk beveiligen door (technische) scheiding zoals segmentering
van diverse domeinen waar het een groot netwerk betreft.
6

7. - Inventariseer alle software en wanneer deze end of life is.
- Zorg voor tijdige updates van de software en vervang de end of life
software.
- Geen vervanging mogelijk van end of life software? Zorg voor
aanvullende maatregelen zoals het systeem afkoppelen van het netwerk
of op een gescheiden netwerk plaatsen met strikte toegangscontrole.
- Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van
gebruikers en systemen te detecteren.
- Voer periodiek penetratietesten en controles uit om kwetsbaarheden in
systemen en apparatuur te ontdekken en tref maatregelen.
- Let op de voorwaarden van leveranciers; onder andere ten aanzien van
beveiliging en het leveren van updates.
Meer lezen? http://www.digitalezorg.nl/digitale/verwerking-en-beveiliging-
van-persoonsgegevens/
7
Beveiliging van patiëntgegevens

8. Regels over cybersecurity?
8

9. Richtlijn medische hulpmiddelen -
Bijlage 1 essentiële eisen
12.1 Hulpmiddelen met programmeerbare elektronische systemen
moeten zodanig zijn ontworpen dat herhaalbaarheid,
betrouwbaarheid en prestatievermogen van deze systemen
overeenkomstig het beoogde gebruik, gewaarborgd zijn. In geval
van een eerste fouttoestand (in het systeem) (‘single fault condition’)
moeten er passende maatregelen worden getroffen om de daaraan
verbonden risico's zoveel mogelijk uit te schakelen of te
verminderen.
12.1 bis In het geval van hulpmiddelen waarin software is
opgenomen of die op zichzelf medische software zijn, moet de
software met de meest geavanceerde methoden worden
gevalideerd, rekening houdend met de beginselen van de
ontwikkelingscyclus en van risicobeheer, validatie en verificatie.
Compliance? Implementatie standaard EN 62304 ‘software life-
cycle processes’. 9

10. EN 62304
Artikel 3.22: Definitie van ‘security’: protection of information and
data so that unauthorized people or systems cannot read or modify
them and so that authorized persons or systems are not denied
access to them (ISO/IEC 12207:1995 definition 3.25)
Verwijzing naar EN 14971:2012 standaard voor het toepassen van
risicomanagement op de beveiligingseisen. Deze standaard schrijft
een proces voor dat de fabrikant laat beredeneren aan welke
risico’s het hulpmiddel bloot staat en hoe die in het ontwerp ervan
geadresseerd zijn.
10

11. FDA
11
• Document: ‘Content of Premarket Submissions for
Management of Cyber security in Medical Devices’
Definitie cybersecurity: ‘the process of preventing unauthorized
access, modification, misuse or denial of use, or the unauthorized
use of information that is stored, accessed, or transferred from a
medical device to an external recipient.’
Fabrikanten van medische hulpmiddelen moeten maatregelen
ontwikkelen om de cyber security te handhaven en functionaliteit
en veiligheid van de medische hulpmiddelen te waarborgen.
PRAKTIJK: cybersecurity wordt niet als taak van de fabrikant
gezien.

12. Meer lezen?
12
Haal het nieuwe Digitalezorg.nl Magazine (nr. 4) bij standnummer
11.005
Online via: http://www.digitalezorg.nl/digitale/magazine/

13. 13

14. De praktijk in de langdurige zorg
14

15. Wat kunt u verwachten?
•Waarnemingen privacy en security
•Kennisniveau en ontwikkeling ICT en de
business (professional & cliënt)
15

16. Speelveld langdurige zorg
• Wetten en regels (Wbp, Wet Big, EU regels)
• Certificering (NEN, ISO)
• (Communicatie) Standaarden (Edifact, XDS, HL7)
• Toezichtregels /-houders
• Digitalisering
• Transitie

17. 17

18. 18
Bron: Zorg & ICT beurs
Finalist, 2014.

19. Urgentie
• Snelheid van kennis ontwikkeling ≠ snelheid digitalisering.
• BYOD
• Apps
• Van binnen naar buiten het systeem (wie is verantwoordelijk)
• Integrale informatiebeveiliging (organisatorische en technische
maatregelen)
Meer risico’s:
• Apps
• BYOD
• SaaS
• Continuïteit : bedrijfskritieke systeem & applicaties (DDoS aanval
Boston Children’s Hospital 2014)
19

20. Verschuivingen verantwoordelijkheid
• Van zorg naar ondersteuning
• Van professional naar eigen sociale netwerk
(mantelzorger)
• Van instelling naar thuis
• Van voorschrijven naar zelf aangeven
• Verscherpte governance regels (toezichthouder
maatschappelijk verantwoordelijk)

21. Waarnemingen toezichthouder
1) Compliance speelt een steeds belangrijkere rol
2) Kennis: binnen de organisatie (ICT/medewerkers) en
visieontwikkeling
3) Lessen vanuit de ECD implementatie
Succesfactoren
1) Bewustwording
2) Risicoafweging - maak keuzes
3) ICT architectuur (standaarden) – informatiebeheer
(welke data hebben we en hoe kunnen we die
inzetten voor verbetering zorg )
21

22. Discussie
a)Waarom niet meer standaarden in de care?
b)Nieuwe wetgeving of zelfsturing?
c)Vinken of vonken?
d)Hoe komen we van kennis naar visie?
e)Wat kan de care leren van de cure?

23. Ready for take-off?
23

24. Links
MEDDEV
http://ec.europa.eu/health/medical-
devices/documents/guidelines/index_en.htm
WP 29
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/index_en.htm
CBP
www.cbpweb.nl
EU e-Health
http://ec.europa.eu/health/ehealth/portal/index_nl.htm
IGZ
www.igz.nl
24

25. Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
sofie.vandermeulen@axonadvocaten.nl
Ingeborg van der Molen
Raad van Toezicht Groot Hoogwaak
JUSTthIS juridisch & informatieadvies
+31 6 23 54 72 19
ivandermolen@groothoogwaak.nl
info@justthis.eu
www.justthis.eu