BEVEILIGING VANMEDISCHE SOFTWARE IN

EEN NETWERK

Sofie van der MeulenIngeborg van der Molen

Agenda

• Medische hulpmiddelen & cyber security

• Beveiliging van persoonsgegevens

• De praktijk in de langdurige zorg

2

Medisch hulpmiddel?

Elk instrument, toestel of apparaat, elke software of stof of elk ander artikel dat of die alleen of in combinatie wordt gebruikt, met inbegrip van elk hulpstuk en de software die voor de goede werking ervan benodigd is, dat of die door de fabrikant speciaal is bestemd om te worden gebruikt voor diagnostische of therapeutische doeleinden, en door de fabrikant is bestemd om bij de mens te worden aangewend voor:

• diagnose, preventie, bewaking, behandeling of verlichting van ziekten

• diagnose, bewaking, behandeling, verlichting of compensatie van verwondingen of een handicap

• onderzoek naar of vervanging of wijziging van de anatomie of van een fysiologisch proces

• beheersing van de bevruchting (art. 1.2a MDD)

3

Cyberaanvallen in de zorg?

‘Valse facturenEen bijzondere vorm van zorg-gerelateerde cybercrime is het stelen van patiënten- en of verzekeringsdossiers. Criminelen kunnen daarmee valse facturen declareren, behandeling  op kosten van het slachtoffer krijgen  en medicijnen ophalen voor eigen gebruik dan wel doorverkoop.  Slachtoffers kunnen hierdoor voor duizenden euro’s gedupeerd worden. Ook kan hun ziektekostendekking in het geding komen of kunnen medische dossiers vervuild raken.’ – Bron: Skipr

4

5

Regels over de bescherming van persoonsgegevens• Artikel 17 Richtlijn 95/46/EG In Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (WBP) :

• Artikel 13 van de WBP vereist:

‘Passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.’

Het CBP over beveiliging van patiëntgegevens in een ziekenhuis:

• Beveiligingsrisico’s (doorlopend) in kaart brengen;• Organisatorische en/of technische maatregelen treffen om de

geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij bijvoorbeeld aan updates);

• Het netwerk beveiligen door (technische) scheiding zoals segmentering van diverse domeinen waar het een groot netwerk betreft.

6

- Inventariseer alle software en wanneer deze end of life is.

- Zorg voor tijdige updates van de software en vervang de end of life software.

- Geen vervanging mogelijk van end of life software? Zorg voor aanvullende maatregelen zoals het systeem afkoppelen van het netwerk of op een gescheiden netwerk plaatsen met strikte toegangscontrole.

- Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van gebruikers en systemen te detecteren.

- Voer periodiek penetratietesten en controles uit om kwetsbaarheden in systemen en apparatuur te ontdekken en tref maatregelen.

- Let op de voorwaarden van leveranciers; onder andere ten aanzien van beveiliging en het leveren van updates.

Meer lezen? http://www.digitalezorg.nl/digitale/verwerking-en-beveiliging-van-persoonsgegevens/

7

Beveiliging van patiëntgegevens

Regels over cybersecurity?

8

Richtlijn medische hulpmiddelen - Bijlage 1 essentiële eisen

12.1 Hulpmiddelen met programmeerbare elektronische systemen moeten zodanig zijn ontworpen dat herhaalbaarheid, betrouwbaarheid en prestatievermogen van deze systemen overeenkomstig het beoogde gebruik, gewaarborgd zijn. In geval van een eerste fouttoestand (in het systeem) (‘single fault condition’) moeten er passende maatregelen worden getroffen om de daaraan verbonden risico's zoveel mogelijk uit te schakelen of te verminderen. 12.1 bis In het geval van hulpmiddelen waarin software is opgenomen of die op zichzelf medische software zijn, moet de software met de meest geavanceerde methoden worden gevalideerd, rekening houdend met de beginselen van de ontwikkelingscyclus en van risicobeheer, validatie en verificatie.

Compliance? Implementatie standaard EN 62304 ‘software life-cycle processes’. 9

EN 62304

Artikel 3.22: Definitie van ‘security’: protection of information and data so that unauthorized people or systems cannot read or modify them and so that authorized persons or systems are not denied access to them (ISO/IEC 12207:1995 definition 3.25)

Verwijzing naar EN 14971:2012 standaard voor het toepassen van risicomanagement op de beveiligingseisen. Deze standaard schrijft een proces voor dat de fabrikant laat beredeneren aan welke risico’s het hulpmiddel bloot staat en hoe die in het ontwerp ervan geadresseerd zijn.

10

FDA

11

• Document: ‘Content of Premarket Submissions for Management of Cyber security in Medical Devices’

Definitie cybersecurity: ‘the process of preventing unauthorized access, modification, misuse or denial of use, or the unauthorized use of information that is stored, accessed, or transferred from a medical device to an external recipient.’

Fabrikanten van medische hulpmiddelen moeten maatregelen ontwikkelen om de cyber security te handhaven en functionaliteit en veiligheid van de medische hulpmiddelen te waarborgen.

PRAKTIJK: cybersecurity wordt niet als taak van de fabrikant gezien.

Meer lezen?

12

Haal het nieuwe Digitalezorg.nl Magazine bij standnummer 11.005Online via: www.digitalezorg.nl

De praktijk in de langdurige zorg

13

Wat kunt u verwachten?

•Waarnemingen privacy en security

•Kennisniveau en ontwikkeling ICT en de business (professional & cliënt)

14

Speelveld langdurige zorg

• Wetten en regels (Wbp, Wet Big, EU regels)• Certificering (NEN, ISO)• (Communicatie) Standaarden (Edifact, XDS, HL7)• Toezichtregels /-houders

• Digitalisering• Transitie

Vragen

• Werkt u in een zorgorganisatie (care/cure) Ja/nee• Heeft uw organisatie een protocol over hoe om te gaan met privacy bij wijzigingen van wet- en

regelgeving? (Ja/nee/weet niet)• Heeft u in het protocol nieuwe ontwikkelingen (zoals het gebruik van apps/byod )

geïntegreerd? (ja/nee/weet niet)• Zijn uw medewerkers op de hoogte van dit protocol? (ja/nee/weet niet)• Verbind u gevolgen aan het niet volgen van het protocol? (ja/nee/weet niet)

16

17

18

Bron: Zorg & ICT beurs

Finalist, 2014.

Urgentie

• Snelheid van kennis ontwikkeling ≠ snelheid digitalisering.• Van binnen naar buiten het systeem (wie is verantwoordelijk)• Integrale informatiebeveiliging (organisatorische en technische

maatregelen)

Meer risico’s:• Apps• BYOD• SaaS• Continuïteit : bedrijfskritieke systeem & applicaties (DDoS aanval

Boston Children’s Hospital 2014)

19

Verschuivingen verantwoordelijkheid

• Van zorg naar ondersteuning• Van professional naar eigen sociale netwerk (mantelzorger)

• Van instelling naar thuis• Van vóórschrijven naar zelf aangeven

• Verscherpte governance regels (toezichthouder maatschappelijk verantwoordelijk)

Waarnemingen toezichthouder

1) Compliance speelt een steeds belangrijkere rol2) Kennis: binnen de organisatie (ICT/medewerkers) en

visieontwikkeling3) Lessen vanuit de ECD implementatie

Succesfactoren

4) Bewustwording5) Risicoafweging - maak keuzes6) ICT architectuur (standaarden) – informatiebeheer

(welke data hebben we en hoe kunnen we die inzetten voor verbetering zorg ) 21

Discussie

a)Waarom niet meer standaarden in de care?

b)Nieuwe wetgeving of zelfsturing?

c)Vinken of vonken?

d)Hoe komen we van kennis naar visie?

e)Wat kan de care leren van de cure?

Ready for take-off

23

Links

MEDDEVhttp://ec.europa.eu/health/medical-devices/documents/guidelines/index_en.htm

WP 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

CBPwww.cbpweb.nl

EU e-Healthhttp://ec.europa.eu/health/ehealth/portal/index_nl.htm

IGZwww.igz.nl 24

Sofie van der MeulenAxon AdvocatenPiet Heinkade 1831019 HC Amsterdam

+31 88 650 6500+31 6 53 44 05 67sofie.vandermeulen@axonadvocaten.nl

Ingeborg van der MolenRaad van Toezicht Groot HoogwaakJUSTthIS juridisch & informatieadvies

+31 6 23 54 72 19ivandermolen@groothoogwaak.nlinfo@justthis.euwww.justthis.eu