LeadingAge 2025: Een kwetsbare sector beveiligen te midden van opkomende bedreigingen
Veel cyberaanvallen en datalekken die in het nieuws komen, benadrukken de impact op traditionele zorgaanbieders. Maar ook ouderenzorgorganisaties kunnen doelwit zijn.
In 2024 meldde een organisatie voor ouderenzorg in New York dat ongeautoriseerde toegang tot systemen mogelijk de gegevens van meer dan 104.000 mensen in gevaar had gebracht. En volgens een rapport van de Wall Street Journal duurde het maanden voordat een organisatie voor ouderenzorg in Zuid-Californië meer dan 26.000 mensen op de hoogte stelde van een datalek in 2023.
Daarom stonden gegevensbeveiliging en naleving hoog op de agenda bij de sprekers op de jaarlijkse LeadingAge-bijeenkomst van 2025 in Boston, en met name bij de leiders van de in Ohio gevestigde organisatie voor ouderenzorg, Eliza Jennings , die deze onderwerpen regelmatig bespreken op de jaarlijkse conferentie.
Klik op de onderstaande banner om het recente CDW Cybersecurity Research Report te lezen.
Vicepresident en Chief Legal Officer Jennifer Griveas benadrukte het belang van een bijgewerkte risicoanalyse voor de HIPAA-beveiligingsregels . Organisaties negeren deze essentiële basis voor de bescherming van gevoelige gegevens vaak.
"Stap één: als u nog geen risicoanalyse voor de HIPAA-beveiligingsregels hebt uitgevoerd, moet u dat nu doen", aldus Griveas.
Ze zei dat veel van de boetes die het Office for Civil Rights van het Amerikaanse ministerie van Volksgezondheid en Sociale Zaken oplegde aan zorgverleners die te maken kregen met een overtreding, vaak te wijten waren aan een gebrek aan die specifieke risicoanalyse.
Kleinere organisaties kunnen er zelf een uitvoeren met behulp van gratis beschikbare middelen, maar een partnerschap kan nuttig zijn voor organisaties die geen eigen IT-beveiligingspersoneel hebben of voor afdelingen die het al druk hebben met andere prioriteiten.
Het is ook iets dat regelmatig moet worden onderhouden, want in dit beveiligingslandschap is een cyberincident een kwestie van 'wanneer, niet of'. Tel daar de groei van tools en processen op die worden aangestuurd door kunstmatige intelligentie bij op, en organisaties voor ouderenzorg moeten meer overwegen als het gaat om de bescherming van persoonlijke gezondheidsinformatie .
"Als je in die situatie zit, en dan is er die inbreuk, en de OCR wil je risicobeoordeling van de beveiligingsregels bekijken, en je zegt: 'Hier is het uit 2019', dan ben je absoluut niet up-to-date in het beoordelen van je risico, vooral niet vóór de pandemie en nu, na de introductie van AI. Alles wat we hebben gedaan, verandert", aldus Griveas.
Deze risicoanalyse is iets wat leidinggevenden binnen organisaties niet mogen negeren en dient als een nuttige basis wanneer opkomende technologieën aan een omgeving worden toegevoegd. Het kan teamleden helpen begrijpen wat er deel uitmaakt van hun IT-omgeving en wie er toegang toe heeft.
"Mensen denken soms dat HIPAA-beveiligingsregels heel technisch zijn, maar dat is het niet. Het gaat om structuren", voegde ze eraan toe.
Klik op de onderstaande banner om u aan te melden voor de wekelijkse nieuwsbrief van HealthTech.
Vice President IT en Chief Compliance Officer Michael Gray benadrukte ook het belang van het up-to-date houden van kennis over verschillende cyberaanvallen. Vijf of zes jaar geleden, merkte hij op, gingen er maar weinig handen omhoog toen deelnemers werd gevraagd of ze wisten wat een ransomware-aanval was. Tegenwoordig zijn ze in de hele branche zeer bekend.
"Als we ons niet bewust zijn van die risico's en onze medewerkers niet weten wat die risico's inhouden, kunnen we ons er niet echt tegen verdedigen", zei hij.
Kwaadwillende actoren proberen nu zo lang mogelijk in de omgeving van een doelwitorganisatie te blijven en kunnen zelfs meerdere aanvallen uitvoeren . Er zijn ook zogenaamde 'initial access brokers' die de toegang vervolgens aan anderen verkopen zodra ze de toegang tot het netwerk van een organisatie hebben gekraakt. En nu social engineering steeds geavanceerder wordt, ontwikkelt multifactorauthenticatie zich steeds meer tot phishing-resistente technologie .
Zelfs als een ouderenzorgorganisatie denkt klaar te zijn voor een cyberaanval, zei Gray, zijn lange hersteltijden onvermijdelijk. Dit betekent dat teams van verschillende afdelingen moeten weten hoe ze de bedrijfsvoering draaiende kunnen houden wanneer systemen offline zijn. Tijdens een workshop die hij bijwoonde, zei hij, was een van de zorgen of jongere medewerkers wel wisten hoe ze op papier moesten werken. Er moest dus worden nagedacht over wie er snel getraind kon worden in het bijhouden van papieren dossiers.
"Zelfs als je extreem goed voorbereid bent, duurt het lang om je systemen weer online te krijgen. Je cyberverzekeraar en het forensisch bedrijf dat ze gebruiken, moeten er 100% zeker van zijn dat je omgeving schoon is voordat ze je systemen weer online brengen", aldus Gray.
Het gaat niet alleen om het hebben van de beste beveiligingstoolstack ; de mensen die een organisatie vormen, moeten goed op de hoogte zijn van de beveiligingsstrategie en regelmatig worden getraind .
"Wij zijn er grote voorstanders van om de mensen met de juiste kennis aan tafel te hebben, die een leiderschapsrol vervullen of samenwerken met de raad van bestuur, de directie adviseren of zelf in de directie zitten, zodat ze volledig kunnen beoordelen of we doen wat nodig is om de bescherming te krijgen die we nodig hebben", aldus Griveas.
Houd deze pagina in uw favorieten voor onze berichtgeving over de jaarlijkse bijeenkomst en expo van LeadingAge in 2025. Volg ons op X op @HealthTechMag en praat mee via #LeadingAge25 .
healthtechmagazine
