Het zal geen verrassing zijn dat e-mail het voornaamste middel is voor hackers om toegang te krijgen tot gevoelige (patiënt)gegevens. Met name de kleinere zorgorganisatie, zoals de huisarts, apotheek of fysiotherapeut, lopen een verhoogd risico en de gevolgen van een aanval zijn aanzienlijk. Op 26 mei 2015 is de wet Meldplicht Datalekken aangenomen in de eerste kamer, dit betekend dat er nog meer druk op de zorgverlener komt te staan als het gaat om beveiliging van gegevens. Veilige e-mail in de zorg is daarmee een steeds belangrijker thema. Floating Byte helpt u hierbij. In deze blog beschrijven we wat u vandaag kunt doen aan het beter beveiligen van uw veilige e-mail in de zorg (omgeving). Het is van belang u te realiseren dat veilige e-mail in de zorg gaat om proactieve instelling van elementen die het risico verkleinen.

Een datalek via de e-mail kan iedereen overkomen. De grote e-mail hack bij Sony in 2014 laat duidelijk zien dat ook grote ondernemingen vatbaar zijn voor een aanval, alleen hoe kan je het voorkomen? Zo’n groot bedrijf met zo veel lagen van beveiliging, dan is er helemaal geen hoop voor de kleine zorgverlener, toch? Juist wel! Er zijn een groot aantal mogelijkheden om de zorgverlening te voorzien van een veilige e-mail oplossing. Maar de beveiliging is natuurlijk zo sterk als de zwakste schakel. Hier alvast 7 tips om direct mee te beginnen voor een veilige e-mail in de zorg.

5 tips voor veilige e-mail in de zorg

  1. Neem de beveiliging serieus en zorg voor een zorgvuldige NEN7510 risico analyse. Laat deze bij voorkeur toetsen met uw ICT-partner. Natuurlijk is dit meer dan alleen de vraag hoe te zorgen voor veilige e-mail in de zorg oplossing, ook moet deze analyse strategieën omvatten voor het beschikbaar houden van het EPD, apparatuur ter ondersteuning van de zorgverlening en andere diensten zoals de cloud omgeving. De beveiliging van de e-mail in de zorg en hoe met deze data om te gaan moet hier zeker een onderdeel van uitmaken.
  2. Overweeg e-mail encryptie. E-mail encryptie helpt u om persoonlijke informatie te beschermen door slechts bepaalde gebruikers toegang te geven tot het lezen van uw e-mails. Er zijn verschillende methoden van e-mail encryptie, afhankelijk van het niveau van beveiliging, en gemak, u vereist. Bijvoorbeeld, zo kunt u extra software installeren als plug-in in Microsoft Outlook. Of kunt u een certificaat installeren met bijvoorbeeld PGP (Pretty Good Privacy), die maakt het mogelijk om een ​​publieke sleutel met iedereen die een e-mail te verzenden en gebruik maken van een privé-sleutel tot een e-mails die zij ontvangen te decoderen delen installeren. Een andere eenvoudige oplossing is om een ​​derde partij versleutelde e-mail service te gebruiken. Office 365 biedt encryptie-opties zoals S/MIME en Office 365 Message Encryption deze diensten helpen u snel en eenvoudig zonder veel extra werk.
  3. Zorg dat de wachtwoorden veilig zijn. Alle medewerkers moeten hun eigen wachtwoord hebben voor hun werk computer, mobiele devices en e-mail systeem. Deze wachtwoorden moeten minimaal elke drie maanden opnieuw worden ingesteld; Overweeg ook multifactor authenticatie (MFA) in te stellen als medewerkers hun wachtwoord aanpassen. De sterkste wachtwoorden bestaan ​​uit ten minste 12 tekens en een combinatie van cijfers, symbolen, kleine letters en hoofdletters. Wachtwoorden moeten ook niet iets zijn dat voor de hand ligt (bijvoorbeeld, verjaardagen, namen van kinderen, enz.), maar moeten wel te onthouden zijn. Met andere woorden, zorgverleners moeten zeker niet de meest en slechtste wachtwoorden gebruiken als, “wachtwoord” en “123456.” Ook raden wij aan niet hetzelfde wachtwoord voor meerdere accounts of websites te gebruiken. U kunt overwegen om een wachtwoord manager te gebruiken of volledig over te stappen op een Single Sing-On oplossing zoals onze ZorgAnywhere oplossing. Er zijn een aantal goede oplossingen voor kleine bedrijven en zorgverleners zoals CommonKey, LastPass en Password Genie. Hoe weet u of uw wachtwoord is achterhaald? Meld je aan voor bewakingsdiensten zoals PwnedList of Breach Alarm, deze monitoren gelekte wachtwoorden en rapporteren automatisch aan u. ZorgAnywhere wordt binnenkort eveneens uitgebreid met een geavanceerde rapportage over het inlog gedrag van uw medewerkers, automatische MFA wordt ingeschakeld bij een afwijking in het gedrag.
  4. E-mail retentiebeleid. Vraag medewerkers om e-mails die niet bijdragen aan de dagelijkse werkzaamheden te archiveren. Vaak wordt een archiveringbeleid ingericht waarbij standaard e-mail na 60 tot 90 dagen wordt gearchiveerd en eventueel, volgens de gestelde regels, zelfs verwijderd wordt. Een minder rigoureuze oplossing is om zorgverleners en andere medewerkers er aan te herinneren dat de mailbox opgeruimd moet worden.
  5. Train medewerkers in e-mailbeveiliging. Medewerkers spelen een cruciale rol in het veilig houden van e-mail gegevens. Ze moeten worden geïnformeerd over de juiste gedragsregels en welke e-mail berichten niet geopend moeten worden. Helaas wordt hiervoor door organisaties nauwelijks budget voor uitgetrokken, maar in 64% van de gevallen een zekere mate van financiële schade als gevolg van hacken en zelfs 85% als het gaat om virussen en malware. En dan hebben we de eventuele boete van de nieuwe wetgeving nog niet eens meegenomen. De lagere kosten van gebruikerstraining wegen toch op tegen de hoge kosten van herstel bij een hack of virus?

7 handige tips voor de (zorg)medewerker e-mailgebruik

Specifiek, medewerkers moeten worden opgeleid om te volgende regels te volgen:

  • Open nooit koppelingen of bijlagen van onbekende personen.
  • Niet reageren op e-mails die een wachtwoord verandering eisen en vragen om persoonlijke informatie in te vullen of te corrigeren, hoe officieel de e-mail er ook uit ziet.
  • Zorg ervoor dat u altijd de laatste bijgewerkte antivirus en anti-spyware software heeft.
  • Versleutel alle e-mails met gevoelige gegevens voordat u ze verzend.
  • Gebruik uw bedrijf e-mailadres voor het verzenden en ontvangen van persoonlijke e-mails.
  • Gebruik nooit een gratis e-mail adres voor het versturen van e-mails met patiënt gerelateerde gegevens.
  • Gebruik nooit een automatische forward in geval van afwezigheid naar een systeem van derden.

Het is mogelijk om uw organisatie te testen of en hoe goed de medewerker omgaat met dubieuze e-mail. Dit wordt gedaan met campagnes die testen of de medewerker zich houdt aan de bovenstaande regels, de medewerker wordt vervolgens beloond als deze de test goed doorstaat. Office 365 biedt mogelijkheden om gebruikers te helpen en ze uit de problemen te houden en productief te blijven. Zo is Office 365 standaard voorzien van Data Loss Prevention Policy Tips om gebruikers te informeren als zij data proberen te delen op een onveilige manier. Bovendien is Exchange Online voorzien van Advanced Threat Protection die de medewerker beveiligd tegen specifieke geavanceerde aanvallen

Verder kunnen raden we aan om strenge regels aan het gebruik van mobiele devices te stellen als deze van de organisatie zijn. Bij gebruik van een, door de zorgorganisatie, uitgegeven mobiel apparaat, of een persoonlijke mobiele apparaat waarop u het verzenden en ontvangen van zakelijke e-mails toestaat, moeten de medewerkers de gegevens te coderen, het apparaat beveiligen met een wachtwoord, en alleen goedgekeurde security apps installeren zodat hackers niet via gedeelde WiFi-netwerken toegang krijgen. Met Floating Byte organiseert dit voor u en zorgt voor een begeleiding in uw ICT-beleid en NEN7510 risico analyse. Dit geeft u de mogelijkheid om snel en eenvoudig mobile devices in te zetten voor de zorgverlening en de data en applicaties veilig te houden zonder in te leveren op de productiviteit van uw medewerkers.

Bij Bring Your Own Device oplossingen is beveiliging van applicaties en data een must! Ons advies: begin hier alleen al als u dit geregeld heeft.

6 best practices om gelijk mee te beginnen voor veilige e-mail in de zorg!

Als laatste; voorkom veel gemaakte fouten en hanteer de best practice. Voor ons bijna vanzelfsprekend maar naast alles wat we hiervoor besproken hebben essentieel:

  • Zorg voor goed beheer van de werkplek of mobiel device;
  • Installeer de laatste (security) updates;
  • Laat een werkplek nooit onbeheerd achter;
  • Zorg voor een goed ICT-beleid en voer deze door in de systemen;
  • Verander de wachtwoorden elke 90 dagen en stel een policy in voor de complexiteit;
  • Gebruik Single Sign-On waar mogelijk;

De laatste tip: ga doelgericht te werk en begin met de invoering van een eenvoudig beleid en blijf hier aan werken, zo bent u de grote problemen altijd voor en maakt het u en uw organisatie gemakkelijk met de invoering. Werk samen aan de invoering van een ICT-beleid met collega’s en zorg voor een werkomgeving waar vertrouwelijke gegevens op een juiste manier behandeld worden.

 

 

Bij vragen over dit artikel over veilige e-mail in de zorg: bel of mail ons gerust! Ook als u hulp nodig heeft bij implementatie van de tips voor veilige e-mail in de zorg helpen we u graag.