Begin december 2022 was het ziekenhuiscentrum van Versailles slachtoffer van een grootschalige cyberaanval, die het informatiesysteem op non-actief stelde. Door deze aanval kreeg het beveiligen van gezondheidsgegevens weer de volle aandacht, omdat deze gevoelige gegevens bijzonder in trek zijn bij cybercriminelen, die deze verkopen op het Dark Web. Zorginstellingen zijn namelijk de organisaties die het meest worden getroffen door hacking: in 2021 werden er alleen al in de zorgsector meer dan 730 incidenten geregistreerd, wat meer dan het dubbele is van het voorgaande jaar (bron). Gelukkig bestaan er oplossingen waarmee deze gegevens kunnen worden beschermd en die patiënten optimale veiligheid bieden, dankzij HDS-gecertificeerde dienstverleners, zoals Oodrive Work die wordt gebruikt door de Vrije Universiteit Brussel (VUB).
Zijn gezondheidsgegevens bijzonder slecht beschermd in Frankrijk?
De computeraanval op de ziekenhuizen van Versailles was verre van uitzonderlijk. Enkele maanden eerder werd het ziekenhuiscentrum van Corbeil-Essonnes getroffen door een catastrofale inbraak in zijn informatiesysteem. Talrijke gezondheidsgegevens werden gestolen en de werking van het centrum werd blijvend verstoord.
Moeten we hieruit concluderen dat gezondheidsgegevens bijzonder slecht beschermd zijn in Frankrijk? Hoewel deze vraag niet moeilijk te beantwoorden is blijft het een feit dat Franse ziekenhuizen over te weinig middelen beschikken in de strijd tegen cyberaanvallen die steeds agressiever en geraffineerder worden. Gelet op de dagelijkse problemen van openbare ziekenhuizen (personeelsgebrek, minder begroting, sluiting van bedden enz.), komen vragen over cyberbeveiliging en gegevenssoevereiniteit maar al te vaak op de tweede plaats.
Een schoolvoorbeeld is de controverse rond de Health Data Hub
De situatie wordt verder gecompliceerd door het uitwisselen van gezondheidsgegevens. Uit de polemiek die volgde op de invoer van de Health Data Hub in 2019 kwamen de beperkingen van de overheidsinitiatieven duidelijk naar voren. De HDH verzamelt de gegevens uit het Nationaal Gezondheidssysteem om de kwaliteit van de zorg en begeleiding van de patiënten te verbeteren en onderzoek te bevorderen.
Het probleem is dat de gegevens worden gehost door Microsoft, een bedrijf dat onder de Amerikaanse wet valt en dus onder de Cloud Act. Op grond van deze wet kan de Amerikaanse overheid alle gegevens in beslag nemen die worden gehost door een bedrijf waarvan het hoofdkantoor zich op Amerikaans grondgebied bevindt. Als de gegevens echter worden gemigreerd naar een soevereine Franse of Europese oplossing, dan zou dit niet vóór 2025 kunnen plaatsvinden… Tenzij academische ziekenhuizen kunnen worden overtuigd van de voordelen van deze migratie. En dit hoewel zij hiervoor beschikken over bijna gratis door Microsoft geleverde tools!
Gegevensbescherming gaat daarom gepaard met de kwestie van de technologische afhankelijkheid van buitenlandse oplossingen. Het Franse ecosysteem beschikt echter over aanbieders van Clouddiensten die de gezondheidsgegevens op volledig veilige wijze zouden kunnen hosten. Zij zijn voortaan eenvoudig te identificeren dankzij de HDS certificering.
Wat is de regelgeving inzake gezondheidsgegevens?
In het kader van Cloudhosting en de verwerking van gezondheidsgegevens in Frankrijk en Europa krijgen gezondheidsgegevens een steeds scherper juridisch kader. Omdat zij als “gevoelige” informatie worden beschouwd, vallen zij onder het regelgevend kader dat in Europa door de GDPR is vastgesteld, die op zijn beurt in het Frans recht is omgezet, en onder het strenge toezicht staat van de CNIL. Dit kader verplicht verwerkingsverantwoordelijken om de persoonsgegevens van de gebruikers, met name de gezondheidsgegevens, optimaal te beschermen.
Alle (openbare of particuliere) instellingen die dit soort gevoelige gegevens hosten of gebruiken, moeten daarom gecertificeerd zijn als Hostbedrijven van gezondheidsgegevens (HDS). Deze certificering heeft als doel de kwaliteit te garanderen van de dienstverlening van aanbieders van hosting van gezondheidsgegevens aan de hand van versterkte veiligheidsmaatregelen. Feitelijk is het een overlay die wordt toegepast op de norm ISO 27001 inzake de beveiliging van informatiesystemen. De certificering wordt uitgegeven door een door het Cofrac erkende instelling en veronderstelt dat de instelling audits ondergaat met betrekking tot de ISO-norm en de HDS-norm.
De Oodrive Work oplossing voor het beveiligen van gezondheidsgegevens: het voorbeeld van de VUB
Het voorbeeld van het Centrum voor neonatale screening van de Vrije Universiteit Brussel (VUB), dat sinds oktober 2022 de oplossing Oodrive Work gebruikt, laat de voordelen zien van een tool voor gegevensbescherming die wordt geleverd door een HDS-gecertificeerde aanbieder.
Het screeningscentrum analyseert de resultaten van bloedtests die op bijna 50.000 pasgeborenen zijn uitgevoerd. Dankzij deze systematische screening onzichtbare aandoeningen bij de geboorte worden ontdekt en is er een vroegtijdige behandeling mogelijk.
Zodra de resultaten bekend zijn, deelt de VUB ze met de betrokken kraamafdelingen buiten de universiteitscampus.
“De overdracht van de resultaten is een belangrijk onderdeel van de screening.” “De communicatie tussen het screeningscentrum en de kraamafdelingen is daarom essentieel voor onze activiteiten.” benadrukt Lionel Marcelis, laboratoriummanager.
Het gaat hier om uiterst gevoelige gegevens waarvan de vertrouwelijkheid moet worden gegarandeerd. Het centrum zocht daarom naar een HDS-gecertificeerde Clouddienst “omdat eerder gebruikte oplossingen niet voldeden, omdat ze te zwaar, te traag en te onveilig waren”.
De voordelen verbonden aan Oodrive Work
Vandaar het gebruik van Oodrive Work, het door Oodriveontworpen platform voor samenwerking en het delen van gevoelige documenten. De oplossing, die de VUB al jaren kende omdat deze door een partnerziekenhuis wordt gebruikt, voorziet in alle behoeften van het screeningscentrum. Zij is snel en intuïtief, biedt een hoge mate van veiligheid maar blijft voortdurend beschikbaar. Dit is essentieel want ” de resultaten zijn mogelijk van levensbelang voor pasgeborenen en moeten zo snel mogelijk toegankelijk zijn voor de kraamafdelingen “, aldus Lionel Marcelis.
Zo heeft elke kraamafdeling dankzij Oodrive Work toegang tot een beveiligde ruimte waarin alle informatie wordt gecentraliseerd. De HDS-certificering van Oodrive was essentieel voor de VUB, met name omdat de gezondheidsgegevens worden gehost in Franse datacentra. Naast dit voorbeeld van de VUB laat de relevantie van een oplossing als Oodrive Work zien dat men in Frankrijk kan beschikken over degelijke tools van kwaliteit die de veiligheid en soevereiniteit van de gegevens, en dus ook hun vertrouwelijkheid, garanderen. Dit moet geleidelijk uitgroeien tot een absolute prioriteit voor zorginstellingen.