Zorginstellingen zijn een doolhof van waardevolle gevoelige informatie die op alle manieren kan worden uitgewisseld en in sommige gevallen om nooit meer terug te keren. Dat maakt de zorgsector ook zo gevoelig voor datalekken: IBM's datalekken rapport uit 2021 heeft de zorgsector gekroond tot de winnaar van de industrie met de hoogste kosten van een datalek (voor de 11e keer op rij!). De gemiddelde kosten van een datalek? $9,23 miljoen.
Als je je bedenkt dat de meeste van deze datalekken het gevolg zijn van menselijke fouten, is proactief handelen de sleutel tot het voorkomen van deze datalekken. Zorg er dus voor dat je een goede Data Loss Prevention-oplossing in huis haalt!
Wat is Data Loss Prevention precies?
Ooit gehoord dat verdediging de beste vorm van aanvallen is? Dat is waar we het over hebben wanneer we Data Loss Prevention oplossingen gebruiken om datalekken te voorkomen. De beste manier om jezelf te verdedigen is om een goede verdedigingsstrategie te bouwen tegen dreigingen, inclusief de gevaren binnen de organisatie die bestaan uit menselijke fouten.
Data Loss Prevention (DLP) oplossingen zijn ontworpen om gevoelige data te beschermen tegen verlies, misbruik of dat het door de verkeerde personen wordt gelezen. Als je ooit een e-mail hebt geprobeerd door te sturen en het lukte niet, dan heb je waarschijnlijk te maken gehad met een DLP-oplossing!
Natuurlijk is een DLP-oplossing niet slechts 1 stukje software. Een goede cybersecurityoplossing waarbij je regels kunt implementeren én waarbij je goed let op welke data je bedrijf verlaat, helpen hier enorm bij.
Data bevindt zich meestal in drie fasen, wat betekent dat Data Loss Prevention oplossingen op de volgende fases moeten letten:
- Data in gebruik: Data in gebruik is data dat momenteel wordt gebruikt. Redelijk simpel, toch? Hier wil je graag de controle houden over wie er toegang tot de data heeft.
- Data in beweging: Data in beweging is data die zich verplaatst van de ene naar de andere locatie, bijvoorbeeld tussen computers zoals e-mails of binnen een netwerk. Een DLP-oplossing zorgt er dan voor dat deze berichten bijvoorbeeld versleuteld zijn.
- Data in rust: Data in rust gaat meestal om clouds, een database of backups waar data wordt opgeslagen. Hier is het handig een beleid op te stellen voor het bewaren van gegevens of ervoor zorgen dat je cloud beschermd is tegen de CLOUD ACT.
Zorginstellingen moeten voldoen aan de wet om gevoelige data te beschermen
Privégegevens uit de gezondheidszorg zijn een goudmijn van informatie wanneer deze in verkeerde handen vallen. Dat maakt de gezondheidszorg tot een van de meest gereguleerde sectoren die er zijn. Om de privacy van hun patiënten te beschermen, moeten zorginstellingen daarom rekening houden met de volgende wetten:
AVG (EU)
De Algemene Verordening Persoonsgegevens, beter bekend als de AVG, is een van de strengste privacy en veiligheidswetten wereldwijd. De AVG zorgt ervoor dat de privégegevens van burgers veilig zijn door heel Europa.
Om te voldoen aan de AVG moet je goed op deze regels letten:
1. Mag je persoonlijke gegevens verwerken?
2. Informeer je klanten over hun rechten.
3. Hou een overzicht bij van welke data je verwerkt.
4. Ga na of je een Data Protection Impact Assessment (DPIA) moet uitvoeren.
5. Als je organisatie groot genoeg is, heb je een data protection officer nodig.
6. Documenteer en meld datalekken.
7. Stel een overeenkomst over gegevensverwerking op.
8. Bepaald wie je privacy waakhond is (in Nederland is dit de DPA.)
9. Ontwerp nieuwe producten met privacy in het achterhoofd (“privacy by design”).
10. Vraag toestemming om data te verwerken.
HIPAA (VS)
De Health Insurance Portability and Accountability Act, beter bekend als HIPAA, is een Amerikaanse wet die de medische gegevens van gebruikers beschermt tegen openbaarmaking zonder hun toestemming.
Als je je bedrijf HIPAA-conform wilt maken, bijvoorbeeld wanneer je e-mails verstuurt met persoonlijke gegevens, zijn er drie regels waarmee je rekening moet houden.
- Privacy. Dit verwijst naar de normen voor wanneer beschermde gezondheidsinformatie (PHI) mag worden gebruikt en openbaar gemaakt mag worden.
- Beveiliging. Dit verwijst naar de veiligheidsmaatregelen die moeten worden genomen om de vertrouwelijkheid, de integriteit en de beschikbaarheid van elektronische beschermde gezondheidsinformatie (ePHI) te beschermen.
- Datalek melding. Wat doe je als er een datalek is?
Dataverlies in de zorg kan enorme gevolgen hebben
Niet alleen zijn datalekken duur, waarbij een gemiddeld datalek in de gezondheidszorg behoorlijk hoger is (9,23 miljoen dollar) dan het gemiddelde datalek (4,24 miljoen dollar), maar ze beschadigen ook je reputatie als bedrijf en brengen de veiligheid van je patiënten in gevaar. Hun gegevens veilig houden is niet alleen een kwestie van voldoen aan de wet, maar ook een kwestie van de patiënten net zo veilig houden als wanneer ze behandeld worden door zorgverleners.
Deze wetten zijn er namelijk niet voor niets! De zorg stond ook in 2021 met stipt bovenaan het lijstje van datalekken, aldus het AP. In totaal zijn er 7 miljoen mensen geraakt door een datalek, waardoor een datalek niet een kwestie van ‘als’ is, maar ‘wanneer'.
Best practices om Data Loss Prevention toe te passen in de zorg
Met deze wetten in het achterhoofd is het ongelooflijk belangrijk voor zorginstellingen om hun gegevens zorgvuldig bij te houden. Hebben we niet allemaal wel eens een email naar ons Gmail adres doogestuurd? Of een e-mail gestuurd naar de verkeerde persoon... Met Data Loss Prevention-oplossingen zal dat niet meer gebeuren!
Er zijn verschillende strategieën om een DLP-oplossing te implementeren:
- Een DLP-oplossing gericht op je netwerk. Deze oplossingen beveiligen netwerkcommunicatie en controleren e-mails, chats en zelfs social media.
- Een DLP-oplossing gericht op het datacenter. Hier controleer je de servers en gegevensbanken waar gegevens zijn opgeslagen.
- Een DLP-oplossing gericht op eindpuntbeveiliging. Het eindpunt betekent in feite de laptop of werkstations die een gebruiker gebruikt. Hier kun je voorkomen dat bepaalde bestanden worden gekopieerd of ervoor zorgen dat USB's niet door laptops geaccepteerd worden.
- Beschermen van data in beweging. Hier hebben we het over e-mails, chats en zelfs het netwerk! Door bijvoorbeeld e-mails te versleutelen, zorg je ervoor dat de gegevens beschermd zijn terwijl ze in beweging zijn.
- Beschermen van data in rust. Het gaat erom ervoor te zorgen dat je laptops, mobiele telefoons en databases beschermd zijn.
- Beschermen van data in gebruik. Alle data die gebruikt wordt is misschien een beetje vaag, maar hoe zit het met bestanden die je uploadt? Gegevens die je kopieert? Of zelfs de cloud zelf die beschermd moet worden.
- Signaleren van datalekken. Dit controleert alles wat een potentieel datalek zou kunnen detecteren, meestal op basis van verdachte activiteiten.
Nadat als je je strategie hebt gekozen, moet je de volgend stappen doorlopen zodat jouw Data Loss Prevention strategie waterdicht is!
- Identificeer je data. Voordat je ook maar iets doet, moet je weten waar jouw data wordt heen gestuurd en ligt opgeslagen. Bepaal eerst de meest kritieke gevoelige gegevems en werk vanaf daar verder.
Met Smartlockr weet je precies welke gegevens je organisatie verlaten. Via ons beheerdersportaal kun je alle gezondheidsinformatie monitoren en loggen die via je organisatie loopt. Zodra je iets verdachts ziet, kun je de e-mails, ontvangers en bijlagen blokkeren.
- Bepaal je contentbeleid. Zodra je weet welke gegevens belangrijk zijn voor je bedrijf, moet je enkele content regels opstellen. Welke gegevens kunnen openbaar worden verzonden, welke gegevens moeten worden versleuteld en wat zijn enkele van de triggerwoorden die ervoor kunnen zorgen dat jouw DLP-oplossing in actie komt?
Smartlockr maakt het mogelijk om een contentfilter in te stellen voor gevoelige informatie. Denk bijvoorbeeld aan geestelijke gezondheidsdiagnoses, patiëntendossiers en BSN-nummers. Wanneer je medewerkers gevoelige informatie versturen, krijgen ze direct een melding dat ze de informatie moeten versturen via zero knowledge end-to-end encryptie. Simpel, toch?
- Toegang beheren. Niet iedereen mag zomaar toegang hebben tot gevoelige gezondheidsgegevens. Bepaal wie er toegang toe krijgt op basis van diens rol en zorg ervoor dat niemand anders er aan kan komen. Minder ruimte voor menselijke fouten, minder inbreuken op gegevens.
- Bewaar informatie waar nodig. Volgens zowel de AVG als de HIPAA hebben gebruikers het recht om hun persoonlijke gegevens in te zien óf wat jij met die gegevens gedaan hebt. Het is daarom belangrijk om bepaalde gegevens te kunnen bewaren! In andere gevallen kan het weer echter handig zijn om een kortere bewaartermijn in te stellen om de kans op datalekken te verkleinen.
Smartlockr laat je daarom beperkingen instellen die bepalen hoe vaak een bestand met gevoelige informatie mag worden gedownload.
- Blokkeren of beperken. Natuurlijk kan het nog steeds gebeuren dat een werknemer gevoelige informatie doorgeeft aan de verkeerde persoon. In dat geval moet u in staat zijn om het bestand te blokkeren of te voorkomen dat een onbevoegde ontvanger het bestand kan bekijken.
Zodra je een e-mail hebt verstuurd met Smartlockr, is het niet alleen mogelijk om te bekijken wanneer deze is gelezen of wanneer een bestand is gedownload, maar kun je ook de toegang tot het bestand blokkeren. Pfoeh, crisis vermeden.
Ontdek hoe we jou kunnen helpen om een Data Loss Prevention oplossing te implementeren!