Heet van de naald is het Ordeadvies over een nieuwe vorm van cyberfraude en de daarmee gepaard gaande tips. Heet van de naald is ook de cyberaanval op het Sint-Pietersziekenhuis Brussel... Intussen vormt de verantwoordelijkheid van de arts bij niet-naleving van de veiligheidsvoorschriften meer en meer een belangrijk punt. Vooral dan voor verzekeringen.
Het advies van de Orde over cybercriminaliteit was nog niet koud of daar werd al gemeld dat het Sint-Pietersziekenhuis Brussel het slachtoffer was geworden van een aanval. De cyberaanval leidde zaterdagochtend tot een algemene computerstoring. Daardoor waren een reeks toepassingen, waaronder de patiëntendossiers en de telefoonlijnen, geblokkeerd. De noodlijn 112 moest omgeleid worden naar andere ziekenhuizen, maar ook dat probleem is intussen van de baan.
De patiënten ondervonden geen hinder en volgens het ziekenhuis zijn er tot nu toe geen gegevens gestolen of gelekt. De cyberaanval wordt onderzocht in samenwerking met specialisten van de federale politie.
Vindingrijk
Het voorval illustreert nogmaals de toegenomen risico's op dergelijke aanvallen. Maar daar houdt het niet mee op. De aanvallers worden steeds vindingrijker. Zo werd de nationale raad van de Orde der artsen onlangs op de hoogte gebracht van een nieuwe fraudevorm tegenover artsen met behulp van via het internet verkregen informatie.
Een persoon met slechte bedoelingen neemt de reviews door op de online beroepspagina’s van een arts om de identiteit van één van zijn patiënten te achterhalen. Vervolgens wordt de arts in kwestie opgebeld door een persoon die zich voordoet als apotheker aan wie de patiënt, geïdentificeerd via de beroepspagina, gevraagd zou hebben hem een geneesmiddel te verstrekken waarvoor een voorschrift nodig is (diazepam, zolpidem, enz.). Onder verscheidene voorwendselen (geen kleine verpakking, het eHealth-platform ligt plat, het INSZ-nummer werd verkeerd genoteerd) wordt de arts gevraagd om een grote verpakking van het geneesmiddel voor te schrijven en mondeling de voorschriftcodes en het INSZ-nummer van de patiënt mee te delen. De Specialist en MediSfeer signaleerden dit al eerder.
Tips
De nationale raad spoort de artsen ertoe aan kennis te nemen van de goede praktijkvoering inzake preventie en fraude waarvan zij het slachtoffer zijn, te melden.
Het Centrum voor Cybersecurity België (CCB) is de nationale autoriteit voor cyberveiligheid in België (opgericht bij koninklijk besluit van 10 oktober 2014). Hun website bevat heel wat nuttige informatie, onder meer in de vorm van webinars
Via de website Safeonweb.be informeert het CCB internetsurfers over online veiligheid en wat te doen in geval van een probleem.
De website van het federale Cyber Emergency Response Team ( CERT.be), de operationele dienst van het Centrum voor Cybersecurity België (CCB), verstrekt niet alleen tips maar bevat ook een pagina om incidenten te melden.
De website van de federale politie behandelt eveneens vragen over cyberpreventie.
De Orde wijst u op enkele basisregels die gevolgd dienen te worden :
- controleer de kwetsbaarheid van uw computermateriaal;
- gebruik verschillende en sterke paswoorden;
- geef uw identificatiegegevens, wachtwoorden of geheime codes niet door via telefoon of mail;
- behandel elk verzoek om vertrouwelijke informatie met argwaan en controleer de wettigheid van uw gesprekspartner;
- let op voor ongevraagde berichten, vooral als ze niet persoonlijk zijn, dringende actie vereisen, of uw nieuwsgierigheid willen wekken (“kijk wat ik over u gelezen heb”…) of een dreigende toon aannemen ;
klik niet op links in ongevraagde berichten; - klik niet op links en open geen bijlagen waarin u geen vertrouwen hebt;
- behandel officiële berichten met tikfouten of een atypische formulering met argwaan (ga naar de officiële website om de informatie te controleren of neem contact op);
- lees het adres van de afzender aandachtig, frauduleuze mails gebruiken vaak een adres dat lijkt op een betrouwbaar adres maar met een letter op een andere plaats of een verkeerde domeinnaam;
- behandel aanbiedingen 'die te mooi om waar te zijn' met argwaan;
- wees u ervan bewust dat sociale media zinvolle informatie bevatten om phishing persoonlijker te maken;
- informeer u regelmatig over cyberveiligheid.
Verantwoordelijkheid arts
Diverse artsen hebben hun twijfels bij hun eigen verantwoordelijkheid, dus vroegen we uitleg aan de Orde. Prof. Christian Melot, Franstalig vicevoorzitter van de Nationale Raad, licht toe: "De medisch directeur van het ziekenhuis is verantwoordelijk voor het medisch archief van het ziekenhuis. Samen met de DPO (Data Protection Officer) ziet hij erop toe dat de gegevens worden beschermd in overeenstemming met de GDPR. Voor cyberbeveiliging werkt hij samen met de IT-afdeling van het ziekenhuis."
Passende tools
In zijn praktijk moet de arts dagelijks werken met veilige tools: "Wanneer een arts in een ziekenhuis werkt, is het absoluut noodzakelijk dat hij werkt met de software van het ziekenhuis en dat hij de IT-beveiligingsnormen respecteert (regelmatige wijziging van het wachtwoord, enz.)."
"Soms heeft hij op afstand toegang tot de medische software van het ziekenhuis via een door het ziekenhuis ter beschikking gestelde en beveiligde computer. Meestal downloadt hij/zij op zijn/haar persoonlijke pc een beveiligde software die via een VPN-netwerk en een dubbele authenticatie met het ziekenhuis is verbonden. Vaak kunnen via de verbinding op afstand geen gegevens worden gedownload, maar alleen bekeken. Ook printen is niet mogelijk, behalve op de printer in zijn kantoor in het ziekenhuis."
Te volgen gewoonten
Sommige artsen nemen soms vrijheden bij het archiveren of hebben oude gewoonten in verband met hun praktijk behouden: "Helaas laten screen capture tools soms toe dat persoonlijke patiëntengegevens op een persoonlijke pc worden opgeslagen. Ook hier is de arts verantwoordelijk voor wat hij doet. In de arbeidsovereenkomst van de arts is een clausule opgenomen die voorziet in een ernstige fout bij niet-naleving van deze veiligheidsregels. De arts moet zich bewust zijn van deze cyberbeveiligingsproblemen en de instructies van de IT-afdeling opvolgen. Beveiliging is een zaak van alle betrokkenen en de arts is verantwoordelijk.
Verzekering bestaat
Voor Christophe Celio, Cyber Security Leader van de Procsima-Groep, is de verantwoordelijkheid van artsen inderdaad een nieuwe realiteit: "Artsen zijn verantwoordelijk voor de manier waarop ze omgaan met patiëntengegevens. Zij moeten de nodige maatregelen nemen op het gebied van IT-beveiliging. Ze kunnen financiële sancties krijgen als ze de regels niet naleven.
Op dit niveau bestaan er verzekeringen voor artsen: "Zij kunnen zowel door de bedrijven of instellingen waarvoor zij werken, als individueel worden verzekerd. Bij de meeste grote verzekeringsmaatschappijen is er een wettelijke en/of beroepsaansprakelijkheidsverzekering. Artsen moeten een nauwkeurige vragenlijst invullen over hoe zij werken, met welke apparatuur...de vragenlijst betreft zowel de werkplek in een instelling als de privé-praktijk van een arts. Hun veiligheidsniveau wordt beoordeeld en de premies worden dienovereenkomstig aangepast en de bedragen variëren naargelang van de situatie."