Informatieveiligheid vraagt aandacht en actie: Malware? Phishing? Ransomware?

Johan Arends, directeur bij Van Ree Accountants, ondersteunt vijftig praktijkhouders onder wie huisartsen, tandartsen en psychologen. ‘Van al mijn zorgklanten stellen er maar weinig de vraag: in hoeverre heb ik mijn internetveiligheid goed geregeld? De meesten realiseren zich niet welke risico’s zij lopen.’  

Malware? Phishing? Ransomware? – een korte uitleg   

• Malware komt van het Engels malicious software: kwaadaardige software.  
• Phishing is online criminaliteit waarbij onwetende slachtoffers criminelen toegang geven tot hun bankrekening of persoonlijke informatie.  
• Ransomware is malware die databestanden van gebruikers versleutelt, met als doel deze later te ontsleutelen in ruil voor losgeld de ‘ransom’.  

Cyber crime: voorkomen is beter dan genezen 

Johan vervolgt zijn uitleg: “Als accountants zijn wij altijd op zoek naar de risico's en de kansen. Wij zien hoe vaak cyber crime zorgpraktijken met medische informatie treft. Dat is voor ons reden om cyber security te agenderen. Voor iedere praktijk bestaat een reëel risico gehackt te worden. Dat kan hoge kosten met zich meebrengen. Zie het als een kans op het moment dat je cyber crime voorkomt. Ook hier geldt: voorkomen is beter dan genezen.” 

Helaas blijkt dat hackers vaak toeslaan. “De schade kan verschillen. Een hacker kan geld eisen om de data weer vrij te geven. Een andere kant is dat online criminaliteit je zorgpraktijk geld kost omdat je niet kunt werken. Toegang tot patiëntinformatie is geblokkeerd, de agenda zit op slot. Dat leidt direct tot kosten en niet in de laatste plaats tot mogelijk onveilige zorgsituaties. Ook kunnen binnen teams frustraties ontstaan. Die zijn minder hard in geld uit te drukken. Gezien de krapte op de arbeidsmarkt, moet je als praktijkhouder of praktijkmanager er alles aan doen om dit soort werkervaringen te voorkomen.” 

Factuur uit naam van de huisarts 

“Een voorbeeld: iemand stuurt op naam van de huisarts een e-mail naar de praktijk met het verzoek een geldbedrag over te maken. Dan blijkt dat de huisarts dat bericht helemaal niet gestuurd heeft. Als accountants bespreken wij, hoe dit soort processen horen te lopen en hoe je die veilig regelt. Wij denken mee over hoe je kunt waarborgen dat fake facturen buiten de bedrijfsvoering blijven.” 

Maar het begint bij mensen. “De processen zijn belangrijk om hack-situaties te voorkomen. Maar ook de mensen zelf, hun alertheid en hun gedrag. Een professionele IT-omgeving maakt het geheel af. Er komt veel op zorgpraktijken af. Zorg die van de tweede lijn naar de eerste lijn verschuift, krapte op de arbeidsmarkt, een ouder wordende bevolking. Dat maakt het soms lastig voldoende aandacht te besteden aan informatiebeveiliging of cyber security. Wij vragen klanten hiernaar. Ons advies is om in zee te gaan met een goede partij die een zorgpraktijk hierin helemaal kan ontlasten.” 

Belangrijk: bewustwording rond cyber crime 

Mathias Weststrate, directeur Fancit: “Bewustwording rond cyber crime in de zorgpraktijk is zo belangrijk. Want hoe optimaal je je praktijk technisch beveiligt, waterdicht is het nooit. Daarom is het zaak dat je medewerkers alert handelen. Techniek en bewustwording gaan hand in hand.” 

“Digitale veiligheid vraagt sinds enkele jaren meer aandacht. Voor criminelen blijkt cyber crime namelijk een lucratieve activiteit. Een voorbeeld: een crimineel benadert via LinkedIn een praktijkmedewerker om voor een aantrekkelijk geldbedrag software op de computer te installeren. Als die installatie slaagt gaat het mis.” 

Wat maakt cyber crime zo lucratief? Weststrate: “Enerzijds de digitale gijzeling: hackers zetten gegevens vast en geven die weer vrij voor geld. Anderzijds zijn gegevens op de digitale marktplaats geld waard. Zo kan een crimineel een Burgerservicenummer (BSN) verkopen. Diverse gegevens hebben verschillende (crypto-)waarden.” 

Tips voor omgaan met cyber crime 

1. Maak cyber security bespreekbaar. 
2. Geef informatiebeveiliging aandacht via een externe professional. 
3. Richt je processen zo in, dat er een plan ligt voor het geval cyber crime jouw praktijk treft. 

Je kunt maatregelen treffen 

“Vaak horen wij: cyber crime overkomt ons niet, want wij zijn niet interessant. Maar dat is de discussie niet. Op websites van zorgpraktijken staan allerlei e-mailadressen. Er bestaan speciale zoekmachines die hele dagen het internet scannen. Daar verzamelen zij alle beschikbare e-mailadressen en sturen vervolgens automatische e-mails naar die adressen. Zo’n zoekmachine selecteert niet maar stuurt willekeurig. Dat houd je niet tegen. Een andere tactiek is doelgericht benaderen. Tegen beide werkwijzen kun je maatregelen treffen.” 

“Om praktijkmedewerkers bewust te maken nemen wij hen mee in de manier waarop een hacker kan werken. Vóór een praktijksessie over informatieveiligheid screenen wij de deelnemers online. Op social media zoals Instagram en LinkedIn vinden wij vaak hun interesses. Daarmee verleiden wij hen bijvoorbeeld via een e-mail. In de sessie tonen wij welke informatie wij hebben gevonden, hoe wij hen hebben benaderd en wat de gevolgen voor de praktijk waren geweest als zij de e-mail hadden geopend of de link hadden aangeklikt. Onze boodschap: denk na voordat je klikt en bij alles wat je online deelt, ook privé.” 

“Als een slimme hacker gegevens versleutelt, ligt de onderneming stil totdat alle zaken zijn hersteld. Daarnaast geven het slecht bereikbaar zijn en het niet of onvoldoende patiënten kunnen helpen ontevredenheid.” 

Aandacht voor techniek en mensen 

Mathias Weststrate: “Alerte medewerkers zijn net zo belangrijk als een praktijk die wat betreft informatiebeveiliging op orde is. Fancit schenkt aandacht aan beide. Daarnaast kunnen Fancit-medewerkers complexe IT-onderwerpen helder verwoorden, daarop selecteren wij hen. Het is namelijk niet vanzelfsprekend dat zorg en IT elkaar verstaan. Dat is vallen en opstaan en veel in gesprek blijven.” 

Als het misgaat 

“Wij bespreken met een praktijk het scenario als het misgaat. Stap 1 is altijd deskundigen inschakelen. Verder bespreken wij een communicatieplan: wat berichten wij patiënten, welke partijen sturen we aan? Wie neemt de algemene regie? Wie staat eventueel de pers te woord? Het is belangrijk paniek te voorkomen. Vaak krijgen wij de regie. Ons crisisteam volgt dan het met onze relatie overeengekomen draaiboek.” 

Rob Boelens, Sectorspecialist Medisch bij ABN AMRO: “Als bank hebben wij ruime ervaring met databeveiliging. Daarnaast lopen wij voorop wat betreft digitalisering. Waarom zou je wat je zelf in huis hebt, niet delen? Tientallen jaren al heeft ABN AMRO een aparte afdeling voor zorgondernemers. Voor een bank is dat uniek. De euro is overal hetzelfde; het verschil kun je maken door kennis te delen. Wij zijn bijvoorbeeld tientallen keren per jaar als adviseur en financier betrokken bij een praktijkovername, terwijl een zorgverlener meestal eenmaal een praktijk overneemt.” 

“Van Ree Accountants is ook op zorg gericht en daarin komen wij elkaar tegen. De accountant, de bank en de klant noem ik een gouden driehoek. Als ik een zorgverlener gepassioneerd hoor vertellen over nog beter zorg verlenen, kan ik aangeven hoe dat te financieren is. De accountant vertaalt dat weer naar de cijfers. Fancit vult ons aan omdat zij sterk zijn in werk digitaal veilig maken.” 

Trend: informatie minder veilig 

“Wij zien dat medische klanten steeds vaker te maken krijgen met cyber crime. Wij treffen meer situaties waarin gegevens ‘op straat komen te liggen’ of niet veilig zijn. Voorbeelden zijn de Universiteit Maastricht, die eind 2019 werd gegijzeld. Maar ook een tandartspraktijk die losgeld betaalde om te voorkomen dat patiëntgegevens zouden verdwijnen.” 

“Behalve een cyberaanval kan ook onwetendheid bij een assistent of een arts schade berokkenen. Bankmedewerkers worden bijna dagelijks getraind alert te zijn op e-mails en bestanden die je wel of niet opent. Mijn laptop is zwaar beveiligd. Maar als ik er niet goed mee omga, betekent dat niets. De menselijke factor speelt een grote rol in informatieveiligheid.” 

“ABN AMRO helpt zorgondernemers bewust te worden van de risico’s. Verder geven wij hun toegang tot ons netwerk van betrouwbare partners die helpen bij cyber security. De risico’s betreffen behalve patiëntgegevens ook financiën: als cybercrime je overkomt bedraagt de schade gemiddeld € 60.000 tot € 70.000. Minder goed in geld uit te drukken zijn je relatie met de patiënt en je reputatie: een vergeten patiënt kan enorme gevolgen hebben.” 

“Wij hebben mensen in dienst die je praktijk scannen op risico’s wat betreft internetveiligheid. Signaleren zij mogelijke gevaren, dan geven zij aan hoe je die al dan niet kunt oplossen of verkleinen. De oplossingen verzorgt Fancit. Het begint met bewustwording creëren want daar is winst te halen. Als ik artsen spreek en aangeef dat de relatie met de patiënt gevaar kan lopen door cyber crime, maakt dat indruk. Een arts is een baken van vertrouwen, laten wij dat vooral zo houden.” 

Over Fancit 

Fancit zorgt sinds 2013 voor een vernieuwend geluid in de ICT-wereld: ICT is als ademen, je wilt er niet over nadenken. Oprichters Henk Jansen en Mathias Weststrate luisterden naar de wensen van ondernemend Nederland en ontwikkelden een dienstverlening die inmiddels honderden bedrijven en zorgpraktijken ICT-zekerheid biedt. 75% van de klanten levert huisartsenzorg. Maandelijks kiezen enkele praktijkhouders voor deze partij, die zorgt dat de randvoorwaarden voor digitaal werken in orde zijn.  Behalve digitale veiligheid biedt Fancit: ICT-ondersteuning en helpdesk; telefonie; internet en netwerken; email en documentoplossingen; IT-inrichting van medische centra of praktijken. 

Meer weten?

• Johan Arends, accountant | belastingadviseur | directeur bij Van Ree Accountants, Barneveld, jarends@vanreeacc.nl, tel.nr. 0342 40 85 08. 
• Mathias Weststrate, commercieel directeur Fancit® B.V., Apeldoorn, mweststrate@fancit.nl, tel.nr. 06 312 475 23 of 0342 745 020. 
• Rob Boelens, Sectorspecialist Medisch bij ABN AMRO Bank N.V., rob.boelens@nl.abnamro.com, tel.nr. 06-109 486 61. 

Auteur: Nicole van Wetten, info@niccommunicatie.nl