Medische gegevens slecht beveiligen is best gek

Bestuurders die zwijgend links en rechts naar hun medebestuurders kijken. Wie gaat deze vraag beantwoorden? Het gebeurt mij nog beangstigend vaak als ik naar de stand van cybersecurity vraag bij organisaties in de farmacie, de lifesciences en de medische technologie. Terwijl er nogal wat op het spel staat bij dit type bedrijven.

Door Peter Paul Hoek - binnen PwC verantwoordelijk voor de sector farma, lifesciences en medische technologie

Denk aan waardevol intellectueel eigendom zoals formuleringen voor medicijnen of patiëntgegevens. Lijken me interessante gegevens voor hackers. Ook data gegenereerd door medische apparaten en uitkomsten van klinische testen zijn vertrouwelijke en gevoelige informatie. Diefstal leidt mogelijk tot verlies van concurrentiekracht, reputatieschade en claims van klanten en businesspartners.

Medische gegevens slecht beveiligen is best gek

Grote kans op reputatieschade

Nu en dan duikt er een voorval op in de media dat bedrijven wakker schudt. Eerder dit jaar bleek dat implanteerbare hartapparatuur van een bepaalde fabrikant kwetsbaar is voor hacks. Eenmaal binnen kan de hacker de batterij uitputten of onjuiste pacing en schokken toedienen. Het risico op een hack was volgens het bedrijf zelf ‘extreem laag’ en er was geen voorval bekend was. Toch kwam er een update van de firmware die door medisch personeel moest worden toegepast bij een half miljoen geïmplanteerde pacemakers. Naast de praktische herstelschade is de reputatieschade van zo’n melding groot.

Aan de slag met cybersecurity

Termen zoals hacks, ransomware en spearfishing attacks zullen ook in de farmaciesector bij iedereen een belletje doen rinkelen. Maar de beveiligingstoestand van de menige onderneming is blijkbaar niet altijd op orde. En ook als dat wel zo is, zijn de verantwoordelijkheden op bestuursniveau vaak onduidelijk. Ter verdediging van bestuurders kunnen we stellen dat digitale bedreigingen relatief recent in opkomst zijn en de snelheid van digitale veranderingen hoog is. Maar op zichzelf is dat al reden genoeg om onmiddellijk met cybersecurity aan de slag te gaan.

Aantrekkelijk doelwit

Zelf zie ik dat er bij start-ups die bijvoorbeeld ontstaan als afsplitsing van een academisch ziekenhuis, nogal wat gaten zitten in de beveiliging. Op de spreekwoordelijke zolderkamer heeft het onderwerp natuurlijk niet de hoogste prioriteit. Maar je zou verwachten dat met de toestroom van investeringen ook de eisen aan cybersecurity toenemen. Bij de grotere ondernemingen schort het vaak aan permanente aandacht op bestuursniveau, omdat de verantwoordelijkheid voor beveiliging meestal ergens netjes is weggestopt op een IT-afdeling. Terwijl juist de zichtbare, grote partijen een aantrekkelijk doelwit zijn. Er is namelijk veel te halen.

Kop in het zand

Natuurlijk kan men op bestuursniveau besluiten de kop in het zand te steken en hopen dat er niks misgaat. Die kans is aanwezig. Het is als met de beveiliging van uw huis. Alle sloten en camera’s zijn overbodig zolang er niemand probeert in te breken. En daarbij is elke euro bespaard op cybersecurity er een die in bijvoorbeeld R&D kan. Denk dan ook eens aan het belang van de patiënten die van medische technologie afhankelijk zijn. Het is wat mij betreft niet minder dan een morele plicht om data van een afhankelijke groep mensen zorgvuldig te beschermen. Hoe kritisch durft u naar uw organisatie te kijken?

Contact

Peter Paul Hoek
Director
Tel: +31 (0)88 792 59 14
E-mailadres

Volg ons