Gebruik verouderde software in strijd met wet

Gebruik verouderde software in strijd met wet

DearBytesBlogGebruik verouderde software in strijd met wet

Het College Bescherming Persoonsgegevens (CBP) heeft het Groene Hart Ziekenhuis (GHZ) flink op de vingers getikt op basis van een onderzoek naar de informatiebeveiliging in het ziekenhuis. Reden: gebruik van verouderde software in relatie tot medische gegevens en het ontbreken van passende, risicomijdende maatregelen. Goed dat het CBP haar controletaak uitoefent, sneu voor GHZ dat zij nu (weer) het haasje zijn, want ik weet: zij zijn geen uitzondering. Bovendien blijkt uit het rapport (PDF) van het CBP, dat inmiddels die beveiliging binnen het ziekenhuis op orde is. Dit ter nuance van de toon van eerdergenoemd nieuwsbericht.

“Het gebruik van end of life (besturings)software vormt een ernstig
beveiligingsrisico. Indien geen aanvullende maatregelen worden getroffen waardoor
dit risico wordt beperkt of weggenomen, is het gebruik van end of life
(besturings)software in strijd met artikel 13 Wpb.”

Het in kaart brengen van risico’s is één van de grondbeginselen van informatiebeveiliging. Zonder dit basis inzicht kan er hooguit reactief gehandeld worden: reagerend op incidenten. Vanuit het inzicht in risico’s moeten volgens de Wbp in ieder geval de medische gegevens voorzien worden van “passende beveiligingsmaatregelen”. Jammer dat de wet niet voorschrijft dat maatregel XYZ je vrijpleit, maar zo werkt het nu eenmaal.

Om toch richting te geven aan die passende beveiligingsmaatregelen, heeft het CBP vorig jaar de “Richtsnoeren Beveiliging van Persoonsgegevens” gepubliceerd. Op het vlak van beveiliging van software en netwerksegmentatie zijn de richtsnoeren ontleend aan de NEN/ISO27002 en NEN7510(2011). Zonder daarmee garanties te geven, maakt het CBP met deze publicatie transparant naar welke maatregelen zij kijken als ze een onderzoek naar de stand van informatiebeveiliging doen.

De conclusie die het CBP nu trekt, is dat het gebruik van End-Of-Life (verouderde) software ten eerste onvoldoende in beeld was. Maar dat vooral onvoldoende aanvullende maatregelen zijn getroffen om de risico’s van die EOL software te mitigeren. Dit is volgens het CBP in strijd met artikel 13 Wpb en in hun ogen dus een wetsovertreding.

Volgens mij is dit de eerste keer dat in een ziekenhuis het CBP zo nadrukkelijk een, voor de leek, vrij technische maatregel (of het gebrek daaraan) beoordeelt in het kader van de wet. Mijn idee vanuit praktijkervaring is dat het CBP bij onderzoeken in andere ziekenhuizen hoogstwaarschijnlijk dezelfde conclusie zou trekken. Nu zo duidelijk is wat daar de consequentie van zou zijn, hoop ik dat op het juiste niveau in die ziekenhuizen de alarmbellen gaan rinkelen en men uit de reactieve modus komt.

Bij DearBytes bieden wij al jaren diensten aan om het gebruik van verouderde software in kaart te brengen EN de aanvullende maatregelen (netwerksegmentatie en bescherming van verouderde computers) om risico’s te voorkomen. Vanwege besparingen in de zorg zien we dat de extra investeringen die nodig zijn in ziekenhuizen om het huidig niveau te ontstijgen, uitblijven of onder druk staan. Men weet wel dat het beter moet en ook hoe dat kan, maar de return-on-investment is te vaag. Nu is die in elk geval wat helderder geworden.

Update 1-dec-2014 10:35. Even rechtzetten. Mijn intentie met deze blogpost is om aandacht te vragen voor de duidelijke zienswijze die het CBP hanteert in het houden van toezicht op de Wbp. In die Wbp wordt gesproken van ‘passende maatregelen’ die getroffen moeten worden in het beschermen van persoonsgegevens. Dit geeft in praktijk nauwelijks handvatten want wat is nu ‘passend’? In deze zaak wordt op zeldzaam concrete wijze antwoord gegeven op die vraag, waardoor het CBP rapport wat mij betreft voor een ieder die zich dient te houden aan de Wbp (iedereen dus, maar hier betreft het met name de zorg) verplicht leesvoer is.

Het was dus nadrukkelijk NIET mijn bedoeling om de manier waarop het artikel op NU.nl hier verslag van doet, te resoneren of te onderstrepen. In mijn ervaring investeert het GHZ op bovengemiddelde wijze in informatiebeveiliging, wat volgens mij ook blijkt uit het rapport en uit de publicatie van het NVZ waarin de constateringen breder worden getrokken en genuanceerd. Ik ben wel van mening dat informatiebeveiliging in de zorg sector in het algemeen op niveau van beleidsmakers onvoldoende in beeld is. Ik hoop dan ook dat publicaties zoals deze van het CBP het onderwerp in de sector nog hoger op de agenda helpen. Aldus mijn intentie 🙂