Steeds meer ziekenhuizen verzekerd tegen cyberpiraten
De zorgsector wordt – net als een aantal andere sectoren – hard getroffen door cybercriminaliteit. De Belgische zorginstellingen beschermen zich tegen hacking met preventieve maatregelen maar gaan zich ook steeds vaker tegen dat risico verzekeren. Dat bericht HealthCare Magazine.
De voorbije jaren hebben heel wat ziekenhuisdirecteurs beseft dat ze zich moeten verzekeren tegen hacking en afpersing. ‘De nood is hoog want de databanken met medische gegevens van patiënten in zorginstellingen zijn kwestbaar. En de invoering van elektronische patiëntendossiers maakt ziekenhuizen nog kwestbaarder dan voordien’, zegt Wim Opdebeeck, Business Unit Manager, expert bij Vanbreda Risk & Benefits.
Naast kwaadwillig opzet (hacking, afpersing) dekt een verzekering tegen cybercriminaliteit ook fouten door de IT-mensen van het ziekenhuis die ongewild gegevens van de instelling, en dus van patiënten, wereldkundig zouden maken. ‘Informatica vergroot het risico. Als je vroeger een medisch dossier kwijtspeelde, was alleen dat ene document verloren. Nu kan je met een muisklik duizenden gegevens openbaar maken. De verbinding tussen ziekenhuizen binnen netwerken en via platformen als eHealth, RSW, Abrumet,… vergroot het potentiële risico op indringing in de systemen.’
Vergeleken met de buurlanden zit België in de middenmoot voor wat de verzekeringsdekking tegen het risico op cybercriminaliteit betreft.
‘Tot voor enkele jaren moesten wij de ziekenhuizen nog proberen te overtuigen om zich tegen hacking te verzekeren. Vandaag de dag komen ze ons zelf vragen naar oplossingen omdat ze zich bewust zijn geworden van de gevaren’, gaat Wim Opdebeeck verder.
De oplossingen voor de Belgische klanten zijn meer bepaald afkomstig van internationale verzekeraars, meestal van Angelsaksische origine. ‘Wij zijn makelaars’, preciseert Opdebeeck. ‘Onze rol is om polissen op maat op te stellen voor onze cliënten. Wij worden gecontacteerd door individuele ziekenhuizen en door ziekenhuisnetwerken. In België zijn zo’n 25 ziekenhuizen bij ons verzekerd tegen cybercriminaliteit. Het gaat om algemene, universitaire en gespecialiseerde (psychiatrische,…) instellingen.’
Welke dekkingen?
Traditioneel beschermen bedrijfsverzekeringen drie domeinen: personen (werknemers), eigen schade (goederen ,gebouwen, computers, bedrijfsschade…) en de aansprakelijkheid tegenover derden. Elke verzekering behoort tot een van die drie domeinen. In het geval van hacking zijn het vooral de eigen schade en de aansprakelijkheid tegenover derden die gedekt moeten worden.
‘Na lang overleg tussen verzekeraars hebben we besloten om polissen op te stellen die alle risico’s van cybercriminaliteit transversaal groeperen: zowel de eigen schade als de aansprakelijkheid tegenover derden. Gemeenschappelijk punt is dat het risico zich enkel kan voordoen in de context van het gebruik van een IT-systeem.’
Een typische dekking tegen cybercriminaliteit bestaat uit drie luiken, samen te vatten in essentiële vragen.
– Wat doe ik als ik het slachtoffer werd van een cyberaanval ? (event management)
De verzekeraar voorziet de bijstand van een expert om, bijvoorbeeld, een informaticavirus op te sporen en de uitwerking ervan te stoppen. Via een telefoonnummer dat in de polis vermeld is kan de verzekeringsnemer een expert contacteren. Die is op de hoogte van de meest recente virussen en van mogelijk oplossingen om het virus te blokkeren.
– Hoe vermijd ik productiviteitsverlies – en dus geldverlies ? (business interruption)
De kosten voor het voortzetten van de activiteit (delen van medische dossiers, catering,…) ondanks de ‘panne’ van het informaticasysteem worden gedekt. De verzekering dekt ook de kost van experts die worden ingezet om de gegevens opnieuw beschikbaar, volledig en integer te maken.
– Wat is mijn aansprakelijkheid tegenover derden ? (liability)
De verzekering dekt de schade aan derden door het verspreiden van een virus. Ook het verspreiden van persoonsgebonden gegevens is gedekt. Die dekking kadert in de algemene (Europese) richtlijn over de bescherming van gegevens die in België van toepassing wordt op 25 mei 2018. In geval van een hacking moet de beheerder van de aangevallen databank, in casu het ziekenhuis, de overheden inlichten over wat er gebeurd is en een grondig onderzoek voeren naar de ‘databreach’, met uitleg over de preventieve en corrigerende maatregelen die de instelling heeft genomen. In bepaalde gevallen zal het ziekenhuis individueel elke persoon moeten inlichten over wie de gegevens konden ingekeken worden. Het oppoetsen van de e-reputatie van het ziekenhuis wordt eveneens door de verzekering gedekt. Denk bijvoorbeeld aan het organiseren van een persconferentie of van een vergadering voor de patiënten wiens gegevens publiek kenbaar gemaakt werden.
Strikte vereisten
De ziekenhuizen moeten uiteraard een aantal preventieve en beveiligingsmaatregelen treffen om een verzekering tegen cybercriminaliteit te kunnen afsluiten. “De eisen van de verzekeraars op dat vlak zijn erg professioneel”, legt Wim Opdebeeck uit. “Vergelijk het met een brandverzekering. Als een bedrijf zijn gebouw wil verzekeren, moet het branddeuren voorzien, rookmelders, brandblussers, bewaking,… Er gelden dus een reeks technische criteria waaraan moet worden voldaan. Dat is ook zo in de sector van de cybercriminaliteit. Het ziekenhuis moet een vragenlijst invullen. Vervolgens laat een technische vergadering met de klant de verzekeraar toe meer informatie te verzamelen alvorens een offerte uit te brengen. Die voorbereiding maakt de klant ook bewuster van de kwetsbaarheid van zijn systemen.”
Ook rusthuizen zijn overigens bij deze problematiek betrokken, maar het besef van de gevaren is groter in de ziekenhuizen.
Hoog losgeld
Hoe zit het met losgeld? Over welke bedragen hebben we het? “Er is daarover weinig informatie voorhanden. Er zijn in België al aanzienlijke bedragen opgeëist als losgeld. In zo’n geval onderhandelt een expert tussen de getroffen instelling en de afperser. De verzekeraar of de makelaar komen daar niet in tussen. We kennen het resultaat van die onderhandelingen niet. Wie het slachtoffer is geweest van een cyberafpersing maakt nooit kenbaar welk bedrag betaald werd.”
Hoeveel kost een verzekering tegen cybercriminaliteit? Tussen 10.000 en 40.000 euro. “Voor een middelgroot ziekenhuis gaat het om 30.000 tot 35.000 euro. Daarmee wordt een verzekerde som van zo’n 20 miljoen euro gedekt. We hebben zelfs een programma dat een ziekenhuisnetwerk dekt tot 40 miljoen euro. Hoe meer bedrijven dit soort verzekering afsluiten, hoe groter de verzekeringscapaciteit wordt. Die bedragen zullen dus nog sterk evolueren.”
Ook de artsen die in het ziekenhuis werken, zijn verzekerd. “We focussen niet op de individuele artsen, die uitsluitend thuis werken, maar we dekken wel de ziekenhuisartsen, ook wanneer ze bijvoorbeeld thuis het informaticasysteem van het ziekenhuis gebruiken. Artsen kunnen zich ook bijkomend verzekeren voor het geheel van hun informatica-activiteiten om zich in te dekken tegen het verlies van gegevens of van de integriteit ervan.”
Vincent Claes
Fout opgemerkt of meer nieuws? Meld het hier
