Nieuws

Ho! Stop! Niet direct (be)handelen!

Ook bij informatieveiligheid maakt een goede diagnose het verschil. Want wat doe je als organisatie wanneer er een risico uit menselijk gedrag is rondom informatieveiligheid en privacy? Precies! Je stroopt de mouwen op en gaat direct aan de slag. Maar wat als je dit nu juist niet moet doen? Wat als je eerst de tijd moet nemen om samen met de werkvloer te kijken wat er echt aan de hand is? Vier organisaties deden dit en ontdekten de meerwaarde van een gestructureerde aanpak met effectmeting als vast onderdeel. De aanpak is nu gepubliceerd als praktische wegwijzer en om organisaties extra te ondersteunen, is er ook een open spreekuur ingericht.

Stopbord

Naast de bekende risico’s rondom informatieveiligheid en privacy door bijvoorbeeld datalekken, groeit jaarlijks het aantal gevallen van cybercriminaliteit met ransomware via onder meer phishing. Veel zorgorganisaties wapenen zich hiertegen door actief te werken aan het voldoen aan de NEN 7510 en de AVG. Naast het “technisch” dichttimmeren van de processen en systemen is het belangrijk ook oog te hebben voor medewerkers. Die spelen namelijk een cruciale rol in het veilig houden van gegevens. Dat is dan ook de reden waarom organisaties vaak investeren in bewustwordingsprogramma’s en communicatiecampagnes. Daar wringt alleen de schoen, want bewustwording alleen is niet voldoende. Weten is namelijk nog geen doen. Kijk maar naar een gezonde leefstijl. Veel mensen weten dat snoepen niet goed is, maar kopen toch die reep bij de kassa als ze trek hebben of een rotdag. Om de risico’s rondom informatieveiligheid te verkleinen, is het nodig om per situatie in te zoomen op het gedrag. Eigenlijk net als bij patiënten: dan stel je ook eerst een diagnose, voordat je gaat behandelen.

De werkvloer op

Ondersteund door deskundigen vanuit ICTU ging in vier organisaties een multidisciplinair kernteam aan de slag met een andere aanpak. Dit gebeurde vanuit het project Informatieveilig gedrag in de Zorg*. De teamleden kozen een urgent vraagstuk rondom informatieveiligheid en achterhaalden eerst wat de oorzaak ervan was. Dit deden ze niet door vanachter een bureau een analyse te maken. Ze gingen de werkvloer op, spraken met collega’s over de reden van bepaald onveilig gedrag en formuleerden samen welk gedrag ze wél wilden zien. Daarna checkten ze of aan alle randvoorwaarden op technisch vlak was voldaan en kozen ze met welke acties ze het gewenste gedrag konden stimuleren. Daarbij deden zij ook metingen naar de effectiviteit door een nulmeting vóór en vervolgmetingen na de acties te doen.

Dartpijl

Schot in de roos

Bij alle vier de organisaties werd de meerwaarde van de gestructureerde aanpak en de effectmeting duidelijk. Niet alleen werd het probleem daadwerkelijk aangepakt, maar er kwamen ook quick wins in beeld voor processen of systemen. En tot slot verbeterde ook de samenwerking doordat de gesprekken zorgden voor meer onderling begrip. De aanpak kostte de projectteams weliswaar meer voorbereidingstijd, maar leverde uiteindelijk heel gerichte acties op met een meetbaar resultaat. De organisaties behaalden dus meer effect met minder geld zonder de zorgmedewerkers onnodig te belasten. Eigenlijk vergelijkbaar met een gericht schot in de roos door goed te mikken, in plaats van meerdere keren blind schieten met hagel. De meerwaarde van een goede diagnose.

Zelf aan de slag met de innovatieve wegwijzer

Op basis van de inzichten uit de praktijk van de vier organisaties en de theoretische kennis uit de gedragswetenschap ontwikkelde het project Informatieveilig gedrag in de Zorg een nieuwe aanpak. Deze aanpak is nu te vinden in de wegwijzer ‘Aan de slag met informatieveilig gedrag’. De Wegwijzer is een innovatieve, projectmatige aanpak specifiek voor de zorg die je in zes stappen door het proces leidt en voorziet in tips, voorbeelden en handige formats om tot maatwerk oplossingen te komen. Zo heb je een handvat om de opgaven rondom informatieveiligheid en privacy voor jouw organisatie vorm te geven.

Open spreekuur informatieveilig gedrag

Open spreekuur informatieveilig gedrag in de zorg

Mocht je vragen hebben over de Wegwijzer of meer in het algemeen over informatieveilig gedrag in de zorg? Dan kun je voortaan terecht bij het wekelijkse open spreekuur voor je persoonlijke Eerste Hulp Bij Informatieveiligheid (EHBI). Vooraf aanmelden is niet nodig. Wil je zeker zijn dat jouw vraag aan bod komt, stuur deze dan vooraf naar informatieveiligheidzorg@ictu.nl. Vanaf dinsdag 25 mei 2021 zijn tijdens het spreekuur om de week op een dinsdag of een donderdag een uur lang twee experts beschikbaar in een online bijeenkomst via Teams om al je vragen te beantwoorden en de EHBI-vraag van de week te beantwoorden.

Kijk op de LinkedIn-pagina van Informatieveilig gedrag in de Zorg voor de actuele dagen en tijdstippen van de komende spreekuren en voor de vraag van de week.

Deze pagina is een onderdeel van: