Blog Erick van Veghel

Oeps!
Wat moeten
we doen?

“16 ziekenhuizen in Engeland moesten de deuren sluiten, omdat de computers besmet waren. Het VUMC kon drie dagen bijna geen gebruik maken van computers door een technische storing. Rijnstate en Erasmus MC konden niet werken door een stroomstoring. Het zijn enkele voorbeelden van incidenten in ziekenhuizen op het gebied van informatiebeveiliging. Hebben deze ziekenhuizen hun zaakjes niet op orde? Hebben ze geen antivirus, back-up of noodstroomvoorziening? Natuurlijk wel! Maar de realiteit is dat dit niet langer genoeg is.” Collega Erick van Veghel (Chief Information Security Officer en Functionaris Gegevensbescherming) neemt jullie met zijn blog mee in de wereld van informatieveiligheid.

Computersystemen zijn helaas niet 100% te beveiligen. Dat zou ook niet te betalen zijn. Ondanks alle voorzorgsmaatregelen die getroffen worden, kan het nog steeds mis gaan. Vergelijk het met het verkeer: ondanks alle verkeersregels, stoplichten, zebrapaden, airbags, gordels en reflectoren gebeuren er nog steeds ongelukken en dan hebben we hulpdiensten die voor ons klaarstaan.

“Dan doen we het toch gewoon op papier” of “In het verleden lukte het ook zonder computer, zonder kan ik een patiënt ook helpen”. Deze opmerkingen hoor ik vaak als ik spreek over het uitvallen van computersystemen. Toch blijkt dat in de praktijk tegen te vallen. Want misschien kun je de patiënt die voor je zit wel helpen, maar is door het uitvallen van de computers niet bekend wie de volgende patiënt is. De polikliniek sluiten valt ook al niet mee, want patiënten bellen kan niet, omdat de telefoonnummers niet opgezocht kunnen worden. En in sommige gevallen kunnen we patiënten ook echt niet helpen, omdat er computersystemen nodig zijn voor de behandeling.

We moeten ons dus voorbereiden op situaties waarbij deze systemen niet beschikbaar zijn. Check de noodprocedures regelmatig, want de verandering in techniek snel gaat. Denk hierbij niet alleen aan wat je moet doen om de tijd te overbruggen tot de systemen weer werken, maar ook de voorbereiding en het herstel achteraf. Neem een horrorscenario in gedachte en ga eens om tafel zitten. Wat gebeurt er als het scenario waarheid wordt? Denk dan aan de volgende stappen:

  1. Inventariseren: wat zijn de belangrijkste gegevens en middelen die je nodig hebt?
  2. Beschermen: wat kun je doen om de schade te beperken? Of heb je een uitwijkscenario? Vergeet niet dat ook andere afdelingen getroffen kunnen worden door dit scenario. Is het reëel om daarop te vertrouwen?
  3. Ontdekken: hoe kom je erachter? Wie brengt jou op de hoogte? Welke signalen krijg je?
  4. Reageren: waar liggen de noodformulieren? Wie breng jij op de hoogte? Wanneer wordt de noodprocedure opgestart en wie beslist dat?
  5. Herstellen: welke gegevens moeten alsnog ingevoerd worden? Wie gaat dat doen en hoe?

Heb je andere afdelingen nodig in de voorbereiding of tijdens het incident? Toets dan of je verwachtingen reëel zijn en of zij misschien ook voorbereidingen moeten treffen. En bedenk altijd: blijf oefenen en zie of je plannen werken. Met de goede voorbereiding kun je dan volstaan met “Oeps!” in plaats van “HELP, paniek!”

Erick van Veghel