Cyber security in de praktijk (FAQ)

Na onze webinar 'Cyber security in de praktijk' ontvingen we een aantal vragen van onze klanten rond dit thema en ook specifieke vragen over hoe Corilus omgaat met security. In dit blogartikel komen we met de antwoorden en kan je de webinar ook (her)bekijken.

Van digitale patiëntendossiers naar eHealth-functionaliteiten tot online agenda's...de zorgverlening gebeurt meer en meer digitaal. Met deze digitale tools kan je jouw praktijk of apotheek sneller, efficiënter en nauwkeuriger laten draaien. Onvermijdelijk betekent dat ook voldoende cyber security inbouwen.

Want de zwakste schakel in het verdedigen van jouw praktijk of apotheek tegen cyberdreigingen is vaak de menselijk factor, jijzelf dus of één van je collega's. Daarom is het zeer belangrijk bewust te zijn van waar cyberdreigingen zich kunnen verschuilen. Om dit bewustzijn bij zorgverleners te vergroten organiseerden we de webinar 'Cyber security in de praktijk' met gastspreker Thomas Van Gremberghe (Agoria).

Dat de interesse in en nood aan meer informatie rond cyber security groot is bij zorgverleners, merkten we aan de massale opkomst. Niet minder dan 850 zorgverleners volgden de webinar.

Bekijk of herbekijk deze webinar waarin Thomas je, aan de hand van 10 (pijn)punten, vertelt hoe je eenvoudig cyberaanvallen kunt voorkomen en hoe jouw praktijk of apotheek kunt bewapenen tegen cybercriminelen.

 

Vragen rond cyber security

Na de webinar was er ruimte om vragen te stellen via de chat. We hebben ondertussen al jullie vragen verwerkt. Hieronder volgen de antwoorden opgesplits per thema.

 

Security van en door Corilus

Is Corilus beveiligd?

Het beveiligen van onze applicaties is een continue inspanning. We hebben hiervoor intern de nodige procedures opgesteld om er voor te zorgen dat onze applicaties voldoen aan de nodige veiligheidsmaatregelen.

Daarnaast hebben we Quality & Compliance-medewerkers die waken over de veiligheid van onze software en de bescherming van jouw gegevens. Het team houdt ook de vinger aan de pols wat nieuwe wet- en regelgeving betreft.

Sinds 2019 zijn we bovendien ISO 27001-gecertificeerd voor een aantal van onze producten en diensten. Deze wereldwijd erkende norm helpt ons de vertrouwelijkheid, beschikbaarheid en integriteit van onze én jouw data te beschermen. We hebben ook de gezonde ambitie om op termijn helemaal ISO-27001 conform te werken.

 

Welke mechanismen zijn in de software ingebouwd zodat klanten veilig kunnen werken?

We hebben heel wat technische en organisatorische maatregelen doorgevoerd om onze applicaties, en dus jullie data, zo goed mogelijk te beschermen. Deze staan beschreven in onze ISO 27001 documentatie, en worden jaarlijks geauditeerd door een externe partij.

De maatregelen omvatten onder andere intrusion detection & prevention, actieve monitoring en alerting, netwerk segmentatie, encryptie, vulnerability scanning en backups.

Je kan hierover meer info bekomen via ons Security & Privacy center op onze Corilus website. Je vindt daar onder andere ook een overzicht van onze maatregelen.

 

De back-ups naar de cloud gebeuren automatisch. Zijn die gegevens dan via jullie beschermd?

Inderdaad, mits alle data van de eigen Mac of PC met onze cloud
gesynchroniseerd is. Controleer dus of jouw CareConnect client meestal online is.

Eenmaal dat de gegevens op de Corilus private cloud staan, worden er automatisch backups van gemaakt. Het is dus niet meer nodig om backups te nemen van de CareConnect client software, omdat deze alle gegevens automatisch synchroniseert met de Corilus private cloud.

De backups zelf worden ook maandelijks getest door ons team, zodat we zeker weten dat we ze kunnen gebruiken wanneer het noodlot toeslaat.

 

Hoe beveiligd zijn de mails die vanuit de Corilus software naar de patiënt gestuurd worden?

Mails die vanuit de software verstuurd worden zijn maar beperkt beveiligd: de mailservice in de Corilus private cloud zal proberen een geëncrypteerde verbinding te maken met de mailservice van de ontvanger (bijv. Gmail, Office365, Hotmail, Telenet, etc.). Voor de meeste ontvangende mailservices lukt dit, maar dit kan helaas nooit 100% gegarandeerd
worden.

De ontvangende mailservice zal de email vervolgens wel decrypteren, en op eigen schijf opslaan (al dan niet met een nieuwe encryptie). Opgelet: de ontvangende mailservice kan de inhoud van de emails dus lezen!

Vervolgens kan de ontvanger inloggen op de eigen mailservice om zijn of haar mails af te halen. Dit gebeurt doorgaans weer via een
geëncrypteerde verbinding, maar ook hier kan dit niet 100% gegarandeerd worden.

Omdat het email kanaal dus niet waterdicht is qua vertrouwelijkheid, mogen er geen persoonlijke medische data langs verstuurd worden. Let dus op de inhoud van jouw mailings!

Er zijn beveiligde communicatie kanalen die hiervoor kunnen gebruikt worden zoals Helena.

 

Is Helena het enige platform waarop met de patiënt mag gecommuniceerd worden en documenten uitgewisseld worden? En kan ik dan uitwisselen ook als ik niet de GMD houder ben?

Helena is niet het enige platform waarop medische data met een patiënt mag worden gecommuniceerd, maar het is wel een platform dat door Corilus als veilig wordt gegarandeerd.

Elke zorgverlener mag via Helena gegevens versturen naar patiënten, maar enkel het “zorgteam” van een patiënt mag ook gegevens op Helena inzien. Dit zorgteam omvat alle zorgverleners waarvoor de patiënt expliciet toestemming heeft verleend, en het zorgteam wordt dus ook beheerd door de patiënt zelf. Meestal zit tenminste de GMD-houder in dit zorgteam.

 

Hoe sturen we best volledige patiëntendossiers door aan collega zorgverleners?

Dit doe je het best via eHealthbox. Als je bijvoorbeeld al CareConnect General Practitioner gebruikt om je patiëntendossier te beheren, kun je dit best direct vanuit CareConnect General Practitioner over eHealthBox versturen.

Je kan deze informatie ook versturen via Helena Pro.

 

Corilus werkt in de cloud , is het niet meer updaten door Apple dan een risico ?

Ja, omdat jouw eigen Mac of PC toegang heeft tot de data in de cloud via de client software of web browser, en deze data kan beschadigen wanneer de Mac of PC gecompromitteerd is door malware.

Het is steeds van belang om zowel applicaties als het besturingssysteem (vb Apple IOS, Windows 11,…) up to date te houden. Indien je nog werkt op verouderde systemen die niet meer onderhouden worden door de fabrikant raden we je aan zo snel mogelijk over te gaan naar de nieuwste versies.

 

Security algemeen

Wat is het beste anti-virus programma?

Dat evolueert continu, maar er worden regelmatig testen gedaan. Zie
onderstaande webpagina's voor een aantal van deze tests: 

De grootste schade wordt tegenwoordig gedaan door zgn. ransomware, waarbij je ineens de toegang tot al je bestanden kwijt bent. Ter vergelijking: bij reguliere virussen raakt meestal maar een beperkt aantal bestanden beschadigd.

 

Welke cloud back-up partners zijn veilig?

De meeste public cloud backup partners zijn vaak wel beveiligd tegen hackers, maar meestal niet tegen gerechtelijke bevelen van buitenlandse overheden, en zijn daarmee vaak problematisch voor de GDPR.

Er kunnen maatregelen genomen worden om risico’s af te dekken m.b.t. toegang tot data (zoals encryptie, Logging). Deze moeten natuurlijk in lijn zijn met de risico’s.

 

Kan MS Teams gebruikt worden als intern communicatie- en informatiesysteem?

Dit hangt af van jouw intern beleid en maatregelen die je hebt genomen. We raden je dan ook aan om dit te analyseren vanuit een risico perspectief en rekening te houden met wetgevingen zoals de GDPR. 

Specifiek voor Microsoft kan je dit steeds zelf nagaan waar je data is gehost via jullie administratie portaal.

 

Zijn de wachtwoord kluizen een goed oplossing voor de zwakke
wachtwoorden? Kan je deze gebruiken voor al je accounts of hou je werk accouts en privé accounts ook hier best gescheiden?

Wachtwoordkluizen zijn een goede oplossing voor het onthouden van jouw
wachtwoorden, omdat je niet langer beperkt bent in het aantal wachtwoorden dat je uit het hoofd kan onthouden en de lengte en complexiteit van deze wachtwoorden.

Dit neemt natuurlijk niet weg dat je alle zwakke wachtwoorden moet vervangen door sterke wachtwoorden, en dat je wachtwoorden niet mag hergebruiken voor verschillende toepassingen of websites.

Werk- en privéaccounts hou je best gescheiden in aparte wachtwoord-kluizen, mits je ook een andere PC gebruikt voor werk en privé. Zo beperkt je de schade wanneer er op de privé-PC iets misgaat.

 

Quality and compliance

Corilus heeft door de overheid geaccrediteerd programma's : biedt dit dan de garantie op GDPR werken?

Accreditatie programma’s kunnen heel divers en sector specifiek zijn. Afhankelijk van de scope van de accreditatie kan je er vanuit gaan dat de geaccrediteerde software dan voldoet aan de functionele en technische vereisten binnen dat specifieke kader en de vereisten m.b.t. betrouwbaarheid en veiligheid. 

Het opzetten van back-ups is vaak een individuele keuze en hangt samen met de keuze van bepaalde abonnementen of contracten. We raden aan om dit met je Corilus contactpersoon na te kijken of dit alles correct is opgezet.

 

Gaat de combinatie van NIS-2, EHDS en GDPR niet een groot deel de kwetsbaarheid van de eindgebruiker beperken?

Deze wetgevingen en verordeningen hebben het doel om de nationale cyberweerbaarheid (resilience) te verhogen en tegelijkertijd er voor te zorgen dat jouw (medische) gegevens op een correcte wijze verwerkt en beschikbaar worden gesteld.

Kwetsbaarheden in software zijn jammer genoeg nooit uit te sluiten en zullen steeds blijven bestaan. Vanuit Corilus doen we er alles aan om onze applicaties zo goed mogelijk te beveiligen. Als bedrijf zijn we hier op voorzien en hebben we de nodige procedures om snel en accuraat op te reageren om jouw data zo goed mogelijk te beschermen.

 

Mag je een vraag om medische toelichting door patiënt via mail niet beantwoorden per mail? De patiënt vertelt bijvoorbeeld even zijn medische klacht en vraagt een advies.

Medische data moeten steeds gepast worden beschermd. Standaard email biedt over het algemeen geen afdoende bescherming voor gevoelige / medische data te versturen.

We raden dan ook ten sterkste aan om jullie patiënten hiervan op de hoogte te brengen en te vragen om medische informatie niet via een “normale” email te versturen. Er zijn beveiligde communicatie kanalen die hiervoor kunnen gebruikt worden zoals Helena.

 

Kan je een medische secretaresse in de praktijk hebben met toegang tot de dossiers in CareConnect en in hoeverre moet/kan je hun toegang beperken?

Toegang tot medische data moet steeds voorbehouden zijn aan zorgverleners die een therapeutische relatie hebben met de patiënt. Binnen onze applicaties kunnen rollen voldoende opgesplitst worden zodat iedereen de nodige rechten heeft om hun taken te vervullen. Het is aan onze klanten om dit op een correcte wijze in te richten volgens de werking van jullie praktijk/kabinet. 

Meer details kan je vinden Kwaliteitswet afdeling 12 – Art. 36 – 40.

 

Wil je meer weten over je GDPR-verplichtingen?

Bezoek de website van de Gegevensbeschermingsautoriteit. Ook je Corilus-expert adviseert je graag.

 

Meer artikels over Security