Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
BEVEILIGING VAN
MEDISCHE SOFTWARE IN
EEN NETWERK
Sofie van der Meulen
Ingeborg van der Molen
Agenda
• Medische hulpmiddelen & cyber security
• Beveiliging van persoonsgegevens
• De praktijk in de langdurige zorg
2
Medisch hulpmiddel?
Elk instrument, toestel of apparaat, elke software of stof of elk
ander artikel dat of die alleen of i...
Cyberaanvallen in de zorg?
‘Valse facturen
Een bijzondere vorm van zorg-gerelateerde cybercrime is het stelen van patiënte...
5
Regels over de bescherming van
persoonsgegevens
• Artikel 17 Richtlijn 95/46/EG
In Nederland geïmplementeerd in de Wet bes...
- Inventariseer alle software en wanneer deze end of life is.
- Zorg voor tijdige updates van de software en vervang de en...
Regels over cybersecurity?
8
Richtlijn medische hulpmiddelen -
Bijlage 1 essentiële eisen
12.1 Hulpmiddelen met programmeerbare elektronische systemen
...
EN 62304
Artikel 3.22: Definitie van ‘security’: protection of information and
data so that unauthorized people or systems...
FDA
11
• Document: ‘Content of Premarket Submissions for
Management of Cyber security in Medical Devices’
Definitie cybers...
Meer lezen?
12
Haal het nieuwe Digitalezorg.nl Magazine (nr. 4) bij standnummer
11.005
Online via: http://www.digitalezorg...
13
De praktijk in de langdurige zorg
14
Wat kunt u verwachten?
•Waarnemingen privacy en security
•Kennisniveau en ontwikkeling ICT en de
business (professional & ...
Speelveld langdurige zorg
• Wetten en regels (Wbp, Wet Big, EU regels)
• Certificering (NEN, ISO)
• (Communicatie) Standaa...
17
18
Bron: Zorg & ICT beurs
Finalist, 2014.
Urgentie
• Snelheid van kennis ontwikkeling ≠ snelheid digitalisering.
• BYOD
• Apps
• Van binnen naar buiten het systeem ...
Verschuivingen verantwoordelijkheid
• Van zorg naar ondersteuning
• Van professional naar eigen sociale netwerk
(mantelzor...
Waarnemingen toezichthouder
1) Compliance speelt een steeds belangrijkere rol
2) Kennis: binnen de organisatie (ICT/medewe...
Discussie
a)Waarom niet meer standaarden in de care?
b)Nieuwe wetgeving of zelfsturing?
c)Vinken of vonken?
d)Hoe komen we...
Ready for take-off?
23
Links
MEDDEV
http://ec.europa.eu/health/medical-
devices/documents/guidelines/index_en.htm
WP 29
http://ec.europa.eu/justi...
Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
sofie.vandermeul...
Upcoming SlideShare
Loading in …5
×

Beveiliging van medische software in een netwerk

209 views

Published on

Zorgacademie Zorg & ICT 2015

Published in: Law
  • Be the first to comment

  • Be the first to like this

Beveiliging van medische software in een netwerk

  1. 1. BEVEILIGING VAN MEDISCHE SOFTWARE IN EEN NETWERK Sofie van der Meulen Ingeborg van der Molen
  2. 2. Agenda • Medische hulpmiddelen & cyber security • Beveiliging van persoonsgegevens • De praktijk in de langdurige zorg 2
  3. 3. Medisch hulpmiddel? Elk instrument, toestel of apparaat, elke software of stof of elk ander artikel dat of die alleen of in combinatie wordt gebruikt, met inbegrip van elk hulpstuk en de software die voor de goede werking ervan benodigd is, dat of die door de fabrikant speciaal is bestemd om te worden gebruikt voor diagnostische of therapeutische doeleinden, en door de fabrikant is bestemd om bij de mens te worden aangewend voor: • diagnose, preventie, bewaking, behandeling of verlichting van ziekten • diagnose, bewaking, behandeling, verlichting of compensatie van verwondingen of een handicap • onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch proces • beheersing van de bevruchting (art. 1.2a MDD) 3
  4. 4. Cyberaanvallen in de zorg? ‘Valse facturen Een bijzondere vorm van zorg-gerelateerde cybercrime is het stelen van patiënten- en of verzekeringsdossiers. Criminelen kunnen daarmee valse facturen declareren, behandeling op kosten van het slachtoffer krijgen en medicijnen ophalen voor eigen gebruik dan wel doorverkoop. Slachtoffers kunnen hierdoor voor duizenden euro’s gedupeerd worden. Ook kan hun ziektekostendekking in het geding komen of kunnen medische dossiers vervuild raken.’ – Bron: Skipr 4
  5. 5. 5
  6. 6. Regels over de bescherming van persoonsgegevens • Artikel 17 Richtlijn 95/46/EG In Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (WBP) : • Artikel 13 van de WBP vereist: ‘Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.’ Het CBP over beveiliging van patiëntgegevens in een ziekenhuis: • Beveiligingsrisico’s (doorlopend) in kaart brengen; • Organisatorische en/of technische maatregelen treffen om de geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij bijvoorbeeld aan updates); • Het netwerk beveiligen door (technische) scheiding zoals segmentering van diverse domeinen waar het een groot netwerk betreft. 6
  7. 7. - Inventariseer alle software en wanneer deze end of life is. - Zorg voor tijdige updates van de software en vervang de end of life software. - Geen vervanging mogelijk van end of life software? Zorg voor aanvullende maatregelen zoals het systeem afkoppelen van het netwerk of op een gescheiden netwerk plaatsen met strikte toegangscontrole. - Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van gebruikers en systemen te detecteren. - Voer periodiek penetratietesten en controles uit om kwetsbaarheden in systemen en apparatuur te ontdekken en tref maatregelen. - Let op de voorwaarden van leveranciers; onder andere ten aanzien van beveiliging en het leveren van updates. Meer lezen? http://www.digitalezorg.nl/digitale/verwerking-en-beveiliging- van-persoonsgegevens/ 7 Beveiliging van patiëntgegevens
  8. 8. Regels over cybersecurity? 8
  9. 9. Richtlijn medische hulpmiddelen - Bijlage 1 essentiële eisen 12.1 Hulpmiddelen met programmeerbare elektronische systemen moeten zodanig zijn ontworpen dat herhaalbaarheid, betrouwbaarheid en prestatievermogen van deze systemen overeenkomstig het beoogde gebruik, gewaarborgd zijn. In geval van een eerste fouttoestand (in het systeem) (‘single fault condition’) moeten er passende maatregelen worden getroffen om de daaraan verbonden risico's zoveel mogelijk uit te schakelen of te verminderen. 12.1 bis In het geval van hulpmiddelen waarin software is opgenomen of die op zichzelf medische software zijn, moet de software met de meest geavanceerde methoden worden gevalideerd, rekening houdend met de beginselen van de ontwikkelingscyclus en van risicobeheer, validatie en verificatie. Compliance? Implementatie standaard EN 62304 ‘software life- cycle processes’. 9
  10. 10. EN 62304 Artikel 3.22: Definitie van ‘security’: protection of information and data so that unauthorized people or systems cannot read or modify them and so that authorized persons or systems are not denied access to them (ISO/IEC 12207:1995 definition 3.25) Verwijzing naar EN 14971:2012 standaard voor het toepassen van risicomanagement op de beveiligingseisen. Deze standaard schrijft een proces voor dat de fabrikant laat beredeneren aan welke risico’s het hulpmiddel bloot staat en hoe die in het ontwerp ervan geadresseerd zijn. 10
  11. 11. FDA 11 • Document: ‘Content of Premarket Submissions for Management of Cyber security in Medical Devices’ Definitie cybersecurity: ‘the process of preventing unauthorized access, modification, misuse or denial of use, or the unauthorized use of information that is stored, accessed, or transferred from a medical device to an external recipient.’ Fabrikanten van medische hulpmiddelen moeten maatregelen ontwikkelen om de cyber security te handhaven en functionaliteit en veiligheid van de medische hulpmiddelen te waarborgen. PRAKTIJK: cybersecurity wordt niet als taak van de fabrikant gezien.
  12. 12. Meer lezen? 12 Haal het nieuwe Digitalezorg.nl Magazine (nr. 4) bij standnummer 11.005 Online via: http://www.digitalezorg.nl/digitale/magazine/
  13. 13. 13
  14. 14. De praktijk in de langdurige zorg 14
  15. 15. Wat kunt u verwachten? •Waarnemingen privacy en security •Kennisniveau en ontwikkeling ICT en de business (professional & cliënt) 15
  16. 16. Speelveld langdurige zorg • Wetten en regels (Wbp, Wet Big, EU regels) • Certificering (NEN, ISO) • (Communicatie) Standaarden (Edifact, XDS, HL7) • Toezichtregels /-houders • Digitalisering • Transitie
  17. 17. 17
  18. 18. 18 Bron: Zorg & ICT beurs Finalist, 2014.
  19. 19. Urgentie • Snelheid van kennis ontwikkeling ≠ snelheid digitalisering. • BYOD • Apps • Van binnen naar buiten het systeem (wie is verantwoordelijk) • Integrale informatiebeveiliging (organisatorische en technische maatregelen) Meer risico’s: • Apps • BYOD • SaaS • Continuïteit : bedrijfskritieke systeem & applicaties (DDoS aanval Boston Children’s Hospital 2014) 19
  20. 20. Verschuivingen verantwoordelijkheid • Van zorg naar ondersteuning • Van professional naar eigen sociale netwerk (mantelzorger) • Van instelling naar thuis • Van voorschrijven naar zelf aangeven • Verscherpte governance regels (toezichthouder maatschappelijk verantwoordelijk)
  21. 21. Waarnemingen toezichthouder 1) Compliance speelt een steeds belangrijkere rol 2) Kennis: binnen de organisatie (ICT/medewerkers) en visieontwikkeling 3) Lessen vanuit de ECD implementatie Succesfactoren 1) Bewustwording 2) Risicoafweging - maak keuzes 3) ICT architectuur (standaarden) – informatiebeheer (welke data hebben we en hoe kunnen we die inzetten voor verbetering zorg ) 21
  22. 22. Discussie a)Waarom niet meer standaarden in de care? b)Nieuwe wetgeving of zelfsturing? c)Vinken of vonken? d)Hoe komen we van kennis naar visie? e)Wat kan de care leren van de cure?
  23. 23. Ready for take-off? 23
  24. 24. Links MEDDEV http://ec.europa.eu/health/medical- devices/documents/guidelines/index_en.htm WP 29 http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/index_en.htm CBP www.cbpweb.nl EU e-Health http://ec.europa.eu/health/ehealth/portal/index_nl.htm IGZ www.igz.nl 24
  25. 25. Sofie van der Meulen Axon Advocaten Piet Heinkade 183 1019 HC Amsterdam +31 88 650 6500 +31 6 53 44 05 67 sofie.vandermeulen@axonadvocaten.nl Ingeborg van der Molen Raad van Toezicht Groot Hoogwaak JUSTthIS juridisch & informatieadvies +31 6 23 54 72 19 ivandermolen@groothoogwaak.nl info@justthis.eu www.justthis.eu

×