De voorbije jaren hebben heel wat ziekenhuisdirecteurs beseft dat ze zich moeten verzekeren tegen hacking en afpersing. 'De nood is hoog want de databanken met medische gegevens van patiënten in zorginstellingen zijn kwestbaar. En de invoering van elektronische patiëntendossiers maakt ziekenhuizen nog kwestbaarder dan voordien', zegt Wim Opdebeeck, Business Unit Manager, expert bij Vanbreda Risk & Benefits.
...

De voorbije jaren hebben heel wat ziekenhuisdirecteurs beseft dat ze zich moeten verzekeren tegen hacking en afpersing. 'De nood is hoog want de databanken met medische gegevens van patiënten in zorginstellingen zijn kwestbaar. En de invoering van elektronische patiëntendossiers maakt ziekenhuizen nog kwestbaarder dan voordien', zegt Wim Opdebeeck, Business Unit Manager, expert bij Vanbreda Risk & Benefits. Naast kwaadwillig opzet (hacking, afpersing) dekt een verzekering tegen cybercriminaliteit ook fouten door de IT-mensen van het ziekenhuis die ongewild gegevens van de instelling, en dus van patiënten, wereldkundig zouden maken. 'Informatica vergroot het risico. Als je vroeger een medisch dossier kwijtspeelde, was alleen dat ene document verloren. Nu kan je met een muisklik duizenden gegevens openbaar maken. De verbinding tussen ziekenhuizen binnen netwerken en via platformen als eHealth, RSW, Abrumet,... vergroot het potentiële risico op indringing in de systemen.'Vergeleken met de buurlanden zit België in de middenmoot voor wat de verzekeringsdekking tegen het risico op cybercriminaliteit betreft.'Tot voor enkele jaren moesten wij de ziekenhuizen nog proberen te overtuigen om zich tegen hacking te verzekeren. Vandaag de dag komen ze ons zelf vragen naar oplossingen omdat ze zich bewust zijn geworden van de gevaren', gaat Wim Opdebeeck verder.De oplossingen voor de Belgische klanten zijn meer bepaald afkomstig van internationale verzekeraars, meestal van Angelsaksische origine. 'Wij zijn makelaars', preciseert Opdebeeck. 'Onze rol is om polissen op maat op te stellen voor onze cliënten. Wij worden gecontacteerd door individuele ziekenhuizen en door ziekenhuisnetwerken. In België zijn zo'n 25 ziekenhuizen bij ons verzekerd tegen cybercriminaliteit. Het gaat om algemene, universitaire en gespecialiseerde (psychiatrische,...) instellingen.'Traditioneel beschermen bedrijfsverzekeringen drie domeinen: personen (werknemers), eigen schade (goederen ,gebouwen, computers, bedrijfsschade...) en de aansprakelijkheid tegenover derden. Elke verzekering behoort tot een van die drie domeinen. In het geval van hacking zijn het vooral de eigen schade en de aansprakelijkheid tegenover derden die gedekt moeten worden. 'Na lang overleg tussen verzekeraars hebben we besloten om polissen op te stellen die alle risico's van cybercriminaliteit transversaal groeperen: zowel de eigen schade als de aansprakelijkheid tegenover derden. Gemeenschappelijk punt is dat het risico zich enkel kan voordoen in de context van het gebruik van een IT-systeem.'De ziekenhuizen moeten uiteraard een aantal preventieve en beveiligingsmaatregelen treffen om een verzekering tegen cybercriminaliteit te kunnen afsluiten. "De eisen van de verzekeraars op dat vlak zijn erg professioneel", legt Wim Opdebeeck uit. "Vergelijk het met een brandverzekering. Als een bedrijf zijn gebouw wil verzekeren, moet het branddeuren voorzien, rookmelders, brandblussers, bewaking,... Er gelden dus een reeks technische criteria waaraan moet worden voldaan. Dat is ook zo in de sector van de cybercriminaliteit. Het ziekenhuis moet een vragenlijst invullen. Vervolgens laat een technische vergadering met de klant de verzekeraar toe meer informatie te verzamelen alvorens een offerte uit te brengen. Die voorbereiding maakt de klant ook bewuster van de kwetsbaarheid van zijn systemen."Ook rusthuizen zijn overigens bij deze problematiek betrokken, maar het besef van de gevaren is groter in de ziekenhuizen.Hoe zit het met losgeld? Over welke bedragen hebben we het? "Er is daarover weinig informatie voorhanden. Er zijn in België al aanzienlijke bedragen opgeëist als losgeld. In zo'n geval onderhandelt een expert tussen de getroffen instelling en de afperser. De verzekeraar of de makelaar komen daar niet in tussen. We kennen het resultaat van die onderhandelingen niet. Wie het slachtoffer is geweest van een cyberafpersing maakt nooit kenbaar welk bedrag betaald werd."Hoeveel kost een verzekering tegen cybercriminaliteit? Tussen 10.000 en 40.000 euro. "Voor een middelgroot ziekenhuis gaat het om 30.000 tot 35.000 euro. Daarmee wordt een verzekerde som van zo'n 20 miljoen euro gedekt. We hebben zelfs een programma dat een ziekenhuisnetwerk dekt tot 40 miljoen euro. Hoe meer bedrijven dit soort verzekering afsluiten, hoe groter de verzekeringscapaciteit wordt. Die bedragen zullen dus nog sterk evolueren." Ook de artsen die in het ziekenhuis werken, zijn verzekerd. "We focussen niet op de individuele artsen, die uitsluitend thuis werken, maar we dekken wel de ziekenhuisartsen, ook wanneer ze bijvoorbeeld thuis het informaticasysteem van het ziekenhuis gebruiken. Artsen kunnen zich ook bijkomend verzekeren voor het geheel van hun informatica-activiteiten om zich in te dekken tegen het verlies van gegevens of van de integriteit ervan."Vincent Claes