Praktische tips voor informatiebeveiliging in de praktijk

Praktisch tips voor informatiebeveiliging in de praktijk

In mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in, waarmee de regels rond de bescherming van persoonsgegevens worden aangescherpt. De verordening eist dat praktijken organisatorische en technische maatregelen moeten hebben genomen om aan deze regels te voldoen. In de praktijk blijkt dat informatiebeveiliging voor 80% te maken heeft met mensen en organisatie: bewustwording binnen het team om veilig te werken. Juist daarom worden in dit artikel vooral praktische, laagdrempelige tips gegeven voor meer bewustwording waarmee elke praktijk direct aan de slag kan gaan.

Voorkomen is beter dan genezen

Uit ervaring blijkt, dat de praktijken die eerder schade hebben opgelopen hun ICT maatregelen het beste hebben doorgevoerd. De schade van een crash, van het verlies van data of ‘ransom ware’ kunnen namelijk grote vormen aannemen. Als men dit een keer heeft meegemaakt, dan is de bewustwording groot om vervolgens vergevorderde en adequate maatregelen te nemen. Echter, praktijken die een dergelijke schade nooit hebben ervaren, zien lang niet altijd de noodzaak om maatregelen rondom informatiebeveiliging te nemen. Laat staan, dat zij er de financiële middelen voor willen vrijmaken. Maar ook hier geldt – net als voor het verlenen van tandheelkundige zorg: ‘voorkomen is beter dan genezen’.

Je weet niet wat je niet weet!

De reden voor een lage bewustwording op dit onderwerp is, dat praktijkhouders vaak denken dat alles goed geregeld is zolang er niks mis gaat. Iedere persoon en elke organisatie loopt echter continu een risico. Bijvoorbeeld misbruik of diefstal van persoonsgegevens, hacking of ‘ransom ware’. Zolang het gevaar of de crimineel niet bij jezelf toeslaat, lijkt het alsof alles veilig is. Je weet alleen niet, dat de risico’s soms heel dichtbij zijn.

5 Praktische tips om risico’s te verminderen

  1. Risico: Systemen zijn niet up-to-date

    Computer systemen worden permanent verder beveiligd door de leveranciers. Echter, zij lopen altijd achter de feiten. Een gat in de computer beveiliging kan namelijk pas ‘gedicht’ worden, nadat deze ontdekt is. Vervolgens worden updates aangeboden aan alle gebruikers, zodat de beveiliging van alle systemen kan worden bijgewerkt. Daarom is het belangrijk, dat frequent updates worden uitgevoerd op de systemen. Advies is met een vaste frequentie (bijvoorbeeld maandelijks) de updates door te voeren.

  1. Risico: Diefstal of misbruik van de UZI-pas

    De UZI-pas is een elektronisch paspoort. Als houder van een UZI-pas is de praktijk verplicht de pas te beschermen tegen beschadiging, verlies of diefstal. Criminelen kunnen met de UZI pas eenvoudig diverse vormen van fraude plegen. De praktijk dient de volgende tips in acht te nemen:

    • Laat de UZI-pas niet onbeheerd in de kaartlezer zitten (of plaats de kaartlezer in een afgesloten kast).
    • Bewaar de UZI-pas op een veilige plek (door deze in ieder geval einde dag uit de kaartlezer te halen).
    • Houd de pincode geheim (en laat deze dus niet bij de balie of bij de pas liggen). Of wijzig de pincode in een voor u makkelijk te onthouden combinatie.Aangezien in bovenstaande tips veel menselijke handelingen worden gevraagd, is een mogelijke verbetering de toegang en het gebruik van de UZI-pas te automatiseren. Deze geautomatiseerde oplossing is erop gericht de kaartlezer in het computersysteem beschikbaar te stellen, waarbij de toegang tot de pas einde dag automatisch wordt geblokkeerd.
  1. Risico: Vecozo certificaat wordt gestolen

    Ook het Vecozo certificaat – wat een software bestand is – stelt criminelen in staat om diverse vormen van fraude te plegen. In veel praktijken is dit certificaat echter eenvoudig te vinden. Bijvoorbeeld omdat deze nog is opgeslagen op het bureaublad van de balie computer of in de map ‘downloads’. Zodra criminelen toegang hebben tot het netwerk van de praktijk, hebben zij in dat geval ook direct de beschikking over het certificaat. Een mogelijkheid is het certificaat altijd extern op een veilige plek te bewaren.

  2. Risico: Wachtwoorden komen in verkeerde handen

    Toegang tot de computersystemen is veelal afgegrendeld met een wachtwoord. De sterkte van het wachtwoord bepaalt de sterkte van de beveiliging. Echter, een wachtwoord onthouden en invoeren levert altijd veel ongemak, waardoor snel voor eenvoudige wachtwoorden wordt gekozen. Een mogelijk verbetering is gebruik te gaan maken van een wachtwoord manager. Dit is een (veelal gratis) online dienst, die alle wachtwoorden bijhoudt van de sites die worden gebruikt in de praktijk. Deze wachtwoorden worden bewaard in een digitale kluis. U hoeft alleen het ene wachtwoord van de kluis te onthouden en kunt zodoende alle websites afschermen met een sterk gekozen wachtwoord. Voorbeelden zijn ‘Lastpass’, ‘Onepassword’ of ‘Keepass’.

  3. Risico: ID’s worden gestolen

    Het stelen van iemands ID kan resulteren in identiteitsfraude. In sommige praktijken wordt bij inschrijving van nieuwe patiënten het ID gekopieerd en in het patiëntendossier opgeslagen. Dit is echter niet toegestaan. Ook de ID’s van medewerkers worden vaak gekopieerd en opgeslagen in het netwerk van de praktijk. Een optie is om het kopie ID onbruikbaar te maken voor criminele activiteiten. Bijvoorbeeld door er met pen de volgende tekst overheen te schrijven ”Dit kopie is alleen bedoeld voor identificatie van de medewerkers van praktijk X”.

Tot slot

Doel is het vergroten van de bewustwording door de risico’s in kaart te brengen – je weet niet wat je niet weet – en direct praktische tips hieraan toe te voegen, zodat praktijkhouders en hun team hier direct mee aan de slag kunnen gaan. Uiteindelijk staan deze risico’s en bijbehorende maatregelen bijna nooit op zich, maar zal een praktijk moeten streven naar een veilige omgeving. Net als dat je thuis ook niet de voordeur met drie zware sloten vergrendeld, terwijl je het raam laat openstaan met de laptop zichtbaar op de keukentafel.

Auteurs

Dit artikel is ontstaan uit een samenwerking tussen Karel Keers – Keers Applied Electronics – en Sjoerd Kuiken – Kuiken Praktijkmanagement.

 

Lees meer over: E-health, ICT, Kennis/