Uw dokterspraktijk is kwetsbaar voor hackers, maar het congres kan dat veranderen

Kleine zorginstellingen zoals dokterspraktijken zijn bijzonder kwetsbaar voor cyberaanvallen vanwege de gevoelige informatie op hun netwerken en omdat velen niet over de middelen beschikken om zichzelf te verdedigen. Het Congres zou daar verandering in kunnen brengen door twee wetten aan te passen die bedoeld zijn om ongepaste zakelijke afspraken tussen artsen en ziekenhuizen te voorkomen.





Dat is volgens een nieuw rapport door de Health Care Industry Cybersecurity Task Force, een groep van 21 cybersecurity-experts en beheerders uit de particuliere sector en de overheid, bijeengeroepen door het Congres als onderdeel van de baanbrekende Cybersecurity Act van 2015.

Het rapport beveelt onder andere aan dat het Congres wijzigingen in de zogenaamde Physician Referral Law en het Anti-Sickback-statuut onderzoekt, die voorkomen dat artsen enige vorm van betaling ontvangen van een ziekenhuis of kliniek in ruil voor verwijzingen van patiënten of andere zaken, zoals laboratoriumwerk, dat wordt vergoed door federale gezondheidszorgprogramma's, waaronder Medicare en Medicaid. Volgens de taskforce zouden veel ziekenhuizen kleinere zakenpartners willen helpen bij het aanschaffen van cyberbeveiligingstools, zodat ze geen verplichting worden, maar zijn ze bang dat ze deze wetten overtreden.

Hackers richten zich vaak op zorginstellingen, dankzij de waardevolle informatie op hun netwerken en hun historisch lakse beveiligingspraktijken. Faciliteiten over de hele wereld zijn kwetsbaar voor aanvallen zoals de WannaCry ransomware-aanval die vorige maand plaatsvond. Vorig jaar schakelde een ransomware-aanval het medische dossiersysteem van een ziekenhuis in Los Angeles uit en dwong het om patiënten naar elders over te brengen (zie Met ziekenhuisransomware-infecties lopen de patiënten risico).



Een van de redenen voor het probleem is volgens de taskforce dat veel kleinere faciliteiten het zich simpelweg niet kunnen veroorloven om in-house cybersecurity-expertise te behouden en de benodigde technologische infrastructuur te onderhouden. De groep beveelt ten zeerste aan dat het Congres de zelfverwijzingswet voor artsen en het anti-smeergeldstatuut wijzigt om hiermee rekening te houden door meer cyberbeveiligingstechnologie te delen tussen ziekenhuizen en hun kleinere partners.

Als het Congres niet handelt, zou het ministerie van Volksgezondheid en Human Services nieuwe regelgeving kunnen nastreven die uitzonderingen op deze wetten zou maken. Hiervoor bestaat zelfs al een model. Uitzonderingen op regelgeving en veilige havenbepalingen maken het voor ziekenhuizen en klinieken legaal om technologie voor elektronische medische dossiers te doneren aan dokterspraktijken en andere zakenpartners.

Deze uitzonderingen bestaan, want toen ziekenhuizen halverwege de jaren 2000 begonnen met het invoeren van elektronische dossiers, konden veel artsen die patiënten naar die ziekenhuizen stuurden het zich niet veroorloven om interoperabele technologie voor hun kantoren aan te schaffen. Net als vandaag met cybersecurity wilden ziekenhuizen deze technologie voor hen kunnen kopen, zegt Bernadette Broccoli , een advocaat in de gezondheidszorg bij het advocatenkantoor McDermott Will & Emery.



De weg vrijmaken voor ziekenhuizen om cyberbeveiligingstechnologie voor dokterspraktijken te kopen zonder de dreiging van juridische problemen zou het algehele risico helpen verminderen, maar het is slechts een stukje van een gecompliceerde puzzel die beleidsmakers moeten oplossen om de cyberbeveiligingsproblemen in de gezondheidszorg echt op te lossen. Hoewel veel van de regels voor cyberbeveiliging in de gezondheidszorg goedbedoeld en individueel effectief zijn, schrijven de auteurs van het rapport, kunnen ze samen een aanzienlijke juridische en technische last opleggen aan zorgorganisaties.

zich verstoppen