Cybersecurity in de gezondheidszorg versterken

Door Danny Bradbury • 13 maart 2025

De UnitedHealth Group mammoet hack vorig jaar heeft meer gedaan dan alleen het Congres stimuleren om kritisch te kijken; het heeft ook geleid tot een voorgestelde update van de federale regels voor cyberbeveiliging in de gezondheidszorg. Nu de publieke consultatie daarover is afgesloten, zijn alle ogen gericht op de uitvoerende macht om te zien wat ze nu gaat doen.

Afgelopen vrijdag, 7 maart 2025, was de deadline voor publieke commentaren op een voorgestelde grote upgrade van de Health Insurance Portability and Accountability Act van 1996 (HIPAA) security rule. Dit zou strengere cybersecurity-eisen opleggen aan het brede scala aan organisaties die al onder HIPAA vallen.

Een verouderde wet in een snel moderniserende sector

Toen HIPAA werd aangenomen, was de Palm Pilot de state of the art in handheld-technologie, was Hotmail nieuw, was Google nog niet gelanceerd en gebruikten slechts 36 miljoen mensen het web. De wet is sinds 2013 op geen enkele substantiële manier bijgewerkt.

Ondertussen is de manier waarop het zorgsysteem informatie verwerkt substantieel veranderd. De HITECH Act en de 21st Century Cures Act stimuleerden investeringen in technologie en het delen van data, wat een periode van snelle modernisering inluidde.

Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) vond dat de regels moesten worden bijgewerkt om aan de tijdsgeest te voldoen. In december stelde de nieuwe cybersecurityregel voor als een manier om de gezondheidszorgsector te versterken tegen wat het ziet als een groeiende spervuur van cyberaanvallen. Het is een directe reactie op de groeiende cyberaanvallen op de sector.

Een stijgende golf van inbreuken op de gezondheidszorg

HHS houdt zijn eigen datalekcijfers bij via zijn Office of Civil Rights (OCR). Het ontdekte dat grote inbreuken verdubbelden tussen 2018-2023, terwijl het aantal getroffen personen vertienvoudigde - wat aangeeft dat individuele inbreuken steeds impactvoller worden. Dit is niet verrassend gezien de groei van ransomware, waar HHS specifiek naar verwijst. Het noemde ook de inbreuk bij de dochteronderneming Change Healthcare van UnitedHealth Group, die met 190 miljoen slachtoffers meer dan de helft van de Amerikaanse bevolking trof. Dat zal de inbreukcijfers van 2024 zeker aanzienlijk opdrijven, waarschuwde HHS.

Andere cijfers uit de sector bevestigen dit. 2024 Ponemon Cybersecurity in Healthcare-rapport zei dat 92% van de ondervraagde zorginstellingen het afgelopen jaar minstens één cyberaanval had gehad. Gemiddeld kostte de duurste aanval die elk slachtoffer meemaakte hen $ 4.7 miljoen, en 79% meldde dat de aanvallen de patiëntenactiviteiten hadden verstoord.

Druk vanuit het Congres

Wetgevers hebben ook opgeroepen tot strengere regulering van cybersecurity in de gezondheidszorg. Drie maanden eerder hadden voorzitter Ron Wyden van de Senaatscommissie Financiën en senator Mark Warner, beiden Democraten, geïntroduceerd de Health Infrastructure Security and Accountability Act (HISA), die HHS opriep om strengere cybersecurityregels te implementeren en tegelijkertijd de civiele boeteplafonds voor gedekte entiteiten die de regel overtreden, te verwijderen. Na de hack was Wyden een bijzonder agressieve criticus van UnitedHealth Group en riep hij op tot een federaal onderzoek naar de cybersecuritypraktijken van het bedrijf.

Strikte nieuwe maatregelen

De voorgestelde HHS-updateregel verwijdert het idee van 'adresseerbare' beveiligingsmaatregelen die niet vereist zijn, en maakt in plaats daarvan alle beschreven maatregelen vereist. Het voegt specifieke deadlines toe voor veel van de bestaande vereisten. Alle beveiligingsbeleid moet schriftelijk worden vastgelegd.

Risico analyse: Organisaties moeten schriftelijke beoordelingen van een jaarlijks herziene inventaris van activa en netwerkkaart opnemen die de beweging van elektronische persoonlijke gezondheidsinformatie (ePHI) door hun systemen volgt. Ze moeten alle bedreigingen voor deze informatie en systemen identificeren en hun risiconiveaus classificeren.

Reactie op incidenten en openbaarmaking: De voorgestelde regel vraagt ook om strengere maatregelen voor de respons van de industrie, waaronder schriftelijke plannen om beveiligingsincidenten te melden en systemen en gegevenstoegang binnen 72 uur te herstellen, geprioriteerd op basis van hun criticaliteit. Zakelijke partners moeten organisaties ook binnenin laten weten of ze hun noodplannen activeren.

Compliance-audits: Zorginstellingen moeten jaarlijks een nalevingsaudit ondergaan tegen de beveiligingsregel en een schriftelijke bevestiging krijgen van een expert dat al hun zakenpartners zich aan de regel houden. Op dezelfde manier moeten zakenpartners hetzelfde krijgen van hun contractanten.

Technische controles: Alle ePHI moet worden versleuteld in rust en tijdens het transport, en zowel multi-factor authenticatie als anti-malware bescherming zijn verplicht. Overbodige software moet worden verwijderd van relevante systemen, en geschikte netwerkpoorten moeten worden uitgeschakeld. Netwerken moeten worden gesegmenteerd. Er moeten aparte, speciale controles zijn voor back-up en herstel, en systemen moeten elke zes maanden worden gescand op kwetsbaarheden en jaarlijks worden onderworpen aan een penetratietest.

Sponsoren van het groepsabonnement: De voorgestelde regelupdate heeft ook gevolgen voor organisaties zoals werkgevers die collectieve zorgverzekeringen afsluiten. Hun plandocumenten moeten vereisten bevatten om te voldoen aan de voorgestelde beveiligingsregel, en ze moeten ervoor zorgen dat de ziektekostenverzekeringsagent die hun ePHI afneemt hetzelfde doet. Als ze hun incidentresponsplan moeten activeren, moeten ze hun planleden binnen 24 uur op de hoogte stellen.

Wat het betekent voor bedrijven in de gezondheidszorg

De nieuwe verplichte maatregelen contrasteren met een grotendeels vrijwillige benadering van zinvolle cybersecurity-normen. In januari 2024 publiceerde HHS zijn 405(d)-programma – een reeks vrijwillige beveiligingsbenaderingen voor organisaties in de gezondheidszorg. Deze maakten echter deel uit van een breder plan om de industrie meer verantwoording te laten afleggen over cybersecurity.

Net als HIPAA is de voorgestelde update van toepassing op downstream zorgaanbieders zoals ziekenhuizen, samen met upstream organisaties zoals zorgplannen, verzekeringsaanbieders en de zorgverrekenkantoren die ePHI tussen al deze organisaties doorsluizen. Zakelijke partners – die bedrijven die PHI voor die gedekte entiteiten verwerken – vallen ook binnen het bereik.

Lezers die vinden dat de veranderingen simpelweg een weerspiegeling zijn van basale cyberhygiëne, zijn niet de enigen. De voorgestelde update is een substantiële upgrade van de bestaande regels van HIPAA, zeggen juridische experts, maar het vult ook een lacune in de regelgeving door de sector meer in lijn te brengen met de momenteel geaccepteerde cybersecurityaanbevelingen, zoals het Cybersecurity Framework van NIST.

“Voor organisaties die deze ‘best practices’ al hebben overgenomen, zullen veel van de nieuwe voorgestelde regelvereisten bekend zijn en in veel gevallen al zijn geïmplementeerd,” argumenteren Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah van Epstein Becker & Green in de National Law Review. In dat geval zal het leeuwendeel van het werk waarschijnlijk bestaan uit het haastig schuiven van papier en het invullen van formulieren om te voldoen aan de administratieve vereisten.

Voor gedekte organisaties die laks zijn geweest in hun cybersecuritymaatregelen, zal er echter nog wat zwaar werk te doen zijn. HISA, dat zich nog in de commissiefase bevindt, had een aantal belangrijke toevoegingen. In het bijzonder werd i$800m aan financiering vrijgemaakt voor landelijke en stedelijke vangnetziekenhuizen om naleving te bereiken, met nog eens $500m na die periode voor alle andere ziekenhuizen.

De update van de HHS-regelgeving lijkt niet te voorzien in dergelijke financiering. Dat zou een heikel punt kunnen zijn.

“Aangezien de standaard van ‘redelijke en passende’ waarborgen van de Security Rule rekening moet houden met kosten, omvang, complexiteit en mogelijkheden, vormen de meer prescriptieve voorstellen in de NPRM [kennisgeving van voorgestelde regelgeving] en het ontbreken van adresseerbare vereisten een zware last – vooral voor kleinere aanbieders,” schrijven Amy S. Leopard, partner bij Bradley Arant Boult Cummings LLP en haar partner Adriante Carter.

Wat gebeurt er nu

Na afloop van de openbare consultatieperiode zal HHS waarschijnlijk opmerkingen verzamelen en beantwoorden. Normaal gesproken zou de regel worden aangepast om tegemoet te komen aan een aantal van die opmerkingen, en de industrie zou verplicht zijn om zich eraan te houden 180 dagen nadat het ministerie deze heeft afgerond.

Of de NPRM in zijn huidige vorm doorgaat, of in welke vorm dan ook, is echter onzeker. De recente bestuurlijke verandering in de VS heeft ongekende beleidswijzigingen met duizelingwekkende snelheid aangekondigd. Nu Robert F. Kennedy Jr. het roer van het ministerie bemant en de huidige president een al lang bestaande deregulerende aanpak handhaaft en zo veel mogelijk federale overheidsactiviteiten lijkt te defunderen, is het politieke landschap voor de rest van 2025 ieders gok.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury