James' Blog

Voorkom datalekken

4 februari 2018

Vanuit James kunnen wij niet genoeg benadrukken hoe belangrijk informatiebeveiliging is. James Software voldoet aan de norm voor informatiebeveiliging in de gezondheidszorg (NEN7510) en is op dit punt gecertificeerd door een onafhankelijke auditor. Conform de NEN7510 hebben wij een een heel scala aan technische en organisatorische maatregelen getroffen om de gegevens van je praktijk en patiënten welke in onze datacenters zijn opgeslagen te beveiligen tegen datalekken.

Natuurlijk kan je als klant van James voor een groot gedeelte terugvallen op onze beveiligingsmaatregelen, maar niet helemaal. De praktijk is zelf verantwoordelijk voor het het beveiligen van apparaten zoals pc, laptop, mobiele telefoon en WIFI-netwerken. Daarnaast zul je organisatorische maatregelen moeten nemen met betrekking tot bijvoorbeeld de omgang met (gezondheids)gegevens van patiënten.

Een datalek kan verregaande consequenties hebben voor de bedrijfsvoering. De autoriteit persoonsgegevens kan boetes opleggen tot 4% van de jaaromzet en je dwingen om melding te maken van een datalek bij al je patiënten. 15% van alle datalekken betreft organisaties in de gezondheidszorg.

Wie zitten er achter deze datalekken en hoe ontstaan ze, de feiten:

Wie zitten er achter datalekken?

  • Criminelen uit op financieel gewin zijn ‘goed’ voor 75% van de gevallen
  • 25% door eigen medewerkers, waarvan 18% door fouten en 7% met opzet

Hoe ontstaan datalekken?

  • Criminelen plukken over het algemeen het laaghangende fruit. Zij doen dit onder andere door systematisch het internet af te zoeken naar slecht beveiligde computers, uiteraard niet met de hand maar volledig geautomatiseerd en veelal door gebruik te maken van vele miljoenen van consumenten ‘gegijzelde’ computers die het vuile werk opknappen, dit zijn zogenaamde ‘botnets’. Verder versturen ze op grote schaal ‘phishing’ mails en verleiden je om een bijlage of link met kwaadaardige software (‘malware’) aan te klikken. Tenslotte plaatsen ze malware op slecht beveiligde websites. Degene die op een besmette pagina komt of op een besmette advertentie klikt wordt geïnfecteerd. De malware die volgens deze 3 manieren wordt afgeleverd heeft meestal tot doel om toetsenbordaanslagen te registreren of om de bestanden op je computer te versleutelen zodat je nergens meer bij kan. In het laatste geval zal je snel daarna een voorstel krijgen om losgeld te betalen, meestal in bitcoins. Bij registratie van toetsenbordaanslagen door ‘keyloggers’ is het doel het stelen van inloggegevens. 80% van de laaghangend fruit datalekken door criminelen is het gevolg van het stelen of misbruik van inloggegevens
  • Het eigen personeel mag niet over het hoofd worden gezien. Een foutje zit in een klein hoekje. We noemen er een aantal: patiëntengegevens versturen via onbeveiligde mail of via websites voor bestandsuitwisseling zoals WeTransfer waarbij data buiten Europa opgeslagen kunnen worden; een briefje met inloggegevens op het beeldscherm, weglopen bij de computer zonder uitloggen; een computer bij het grofvuil zetten zonder de harde schijf (‘military grade’) te formatteren (is wissen); geen virusscanner actief; een laptop onderweg kwijtraken terwijl hij aan staat of als de harde schijf niet versleuteld is; etc

Introductie 2-factor authenticatie
Om misbruik van gestolen of goed geraden inloggegevens vrijwel geheel te elimineren gaat James Software 2-factor authenticatie invoeren in januari 2018. Naast ‘iets wat je weet’, namelijk inloggegevens, gaan we gebruik maken van ‘iets wat je hebt’, je mobiele telefoon. Wij hebben gekozen voor een code die wordt gegenereerd door de Google-authenticator app op je smartphone boven het versturen van een sms omdat deze laatste methode niet langer als veilig genoeg wordt beschouwd. Het gebruik van de 2e factor gaan we contractueel niet verplicht stellen maar het behoeft geen verdere toelichting dat dit sterk aanbevolen wordt.
Zodra de 2-factor authenticatie is ingesteld voldoen wij samen met de andere maatregelen die wij al getroffen hebben ook aan de nieuwe privacywet AVG.

Wat kan je zelf doen om datalekken tegen te gaan?
Allereerst het maken van organisatorische afspraken over de omgang met patiëntengegevens, computers en smartphones. Zorg bijvoorbeeld dat medewerkers phishing mails leren herkennen en verbiedt het gebruik van USB-sticks. Daarnaast neem je technische maatregelen. Wij hebben een aantal suggesties voor je op een rij gezet:

  • Update Windows (Microsoft) of OSX (Apple) zodra er een update beschikbaar komt
  • Versleutel de harde schijf van je computer
  • Gebruik een e-mail programma die het grootste deel van de phishing mails al onderschept. Wij bevelen Microsoft e-mail accounts en Gmail aan
  • Gebruik een wachtwoordmanager zoals bijvoorbeeld Lastpass
  • Gebruik naast een standaard virusscanner die virussen onderschept op basis van een database met bekende virussen ook een virusscanner zoals Malwarebytes die naar ‘gedrag’ kijkt en daarmee ook nieuwe virussen (‘zero days’) onderschept
  • Verwijder Abode Flash van je computer
  • Installeer een advertentieblocker (‘adblocker’)
  • Zet automatische updates aan voor het besturingssysteem (Windows en OSX), virusscanner en browsers (bijvoorbeeld Firefox en Chrome)
  • Gebruik alleen beveiligde WIFI-netwerken (lees netwerken waar je alleen op kan komen met een wachtwoord)
  • Als er geen beveiligde WIFI-verbinding beschikbaar is, maar bijvoorbeeld een publieke hotspot, maak dan een verbinding met VPN software (‘virtual private network’), hiermee zet je een beveiligde tunnel op
  • Beveilig de website van je praktijk met een SSL-certificaat (het ‘slotje’ in de browser). Indien patiënten persoonsgegevens op je website achterlaten is dit echt een must

Het periodiek controleren op naleving van organisatorische en technische maatregelen is een belangrijk onderdeel van het beveiligingsbeleid. Een checklist per medewerker in Excel is hier een handig hulpmiddel bij.

Wat gaat James nog doen op dit vlak?
In februari 2018 migreert James naar een totaal vernieuwde cloud. Naast de modernste hardware biedt dit ook de mogelijkheid om aanvullende technische beveiligingsmaatregelen te treffen.

Delen:
Sanne HeemskerkVoorkom datalekken