Bewustwording van informatiebeveiliging en privacy in de gezondheidszorg
Waar liggen de risico’s én kansen rondom bewustwording (awareness)? Hoe creëer je bewustwording in de gezondheidszorg? Lees het in deze blog, inclusief valkuilen en tips voor een duurzaam en herkenbaar bewustwordingsprogramma.
Medewerkers in de gezondheidszorg komen veel in aanraking met gevoelige persoonlijke gegevens van hun patiënten en cliënten. Deze gegevens worden verwerkt in Elektronische Patiënten Dossiers en andere software. Ze worden vaker op afstand beschikbaar gesteld en met verschillende partijen gedeeld. Medewerkers dienen daarbij steeds opnieuw de juiste afwegingen te maken. De vertrouwelijkheid van de informatie moet worden beschermd en goede zorg mogelijk maken. Het maken van de goede afweging is niet altijd eenvoudig. De juiste middelen en informatie kunnen medewerkers daarbij ondersteunen. Een goed bewustwordingsprogramma helpt medewerkers om steeds de juiste keuzes te maken en verkleint risico’s.
Bewustwording: risico’s en kansen
Als voornaamste risico’s die te maken hebben met (onvoldoende) bewustwording zien wij:
- Medewerkers kijken ongeoorloofd in dossiers. Dit doen zij meestal met goede bedoelingen, maar dat maakt het niet geoorloofd;
- Vaak weet de medewerker niet precies wanneer een dossier mag worden ingezien en wat de gevolgen van onbevoegde inzage zijn (sanctiebeleid);
- Er wordt gewerkt met allerlei aantekeningen, briefjes en papieren (patiënten)lijsten;
- Het werken met veilige middelen (zoals MFA) wordt als tijdrovend gezien en leidt tot weerstand;
- Dossiers worden onbevoegd gedeeld met collega’s of andere instanties;
- Digitalisering van de zorg vergroot de voorgaande risico’s. Medewerkers zijn zich vaak niet bewust van de regels en risico’s van nieuwe technologie.
We zien gelukkig ook kansen. De belangrijkste kansen waarbij voor het creëren van bewustwording in de zorg kan worden aangesloten zijn:
- Medewerkers gaan van nature vertrouwelijk met informatie om;
- Als medewerkers niet worden gefaciliteerd, gaan zij zelf op zoek naar ‘veilige’ middelen;
- Medewerkers willen het graag goed doen, maar weten alleen niet altijd wat de juiste manier is.
Bewustwordingsprogramma: valkuilen en tips
Het vergroten van de bewustwording rondom informatiebeveiliging en privacy helpt medewerkers om de regels te kennen, te begrijpen en te interpreteren.
Een valkuil is dat bewustwording vrijblijvend of slechts incidenteel wordt vormgegeven. Een andere valkuil is dat medewerker niet wordt aangesproken door te ingewikkelde uitleg of abstracte voorbeelden. Bewustwording kan ook als overbodige activiteit worden gezien omdat er geen of weinig incidenten worden gemeld.
Bewustwording is een continu proces en behoeft blijvend aandacht. De inhoud van de trainingen moet daarbij steeds worden geactualiseerd en relevant blijven voor medewerkers. Belangrijk is dat bewustwording persoonlijk, concreet en herkenbaar moet worden gemaakt. Een medewerker onthoudt regels en tips beter als ze op zijn of haar werkomstandigheden van toepassing zijn.
Om effectief te leren kunnen het beste zes strategieën worden gecombineerd:
- Spreid leermomenten;
- Haal kennis actief op;
- Uitleggen aan de hand van gedetailleerde ervaring;
- Wissel af;
- Maak concreet wat abstract is;
- Gebruik zowel woorden als visualisaties.
Bewustwording: het programma van ZCUR
ZCUR Informatiebeveiliging en Privacy (afgeleid van secure) heeft een bewustwordingsprogramma ontwikkeld om organisaties te ondersteunen bij het creëren – en in stand houden – van bewustzijn rondom informatiebeveiliging en privacy. Dit programma is ontwikkeld om bewustwording in organisaties te borgen en te zorgen voor duurzame gedragsverandering.
Het centrale onderdeel van dit programma bestaat (idealiter) uit een e-learning voor alle medewerkers. Het voordeel van een e-learning is dat medewerkers relatief eenvoudig kunnen worden bereikt. Bovendien is met een e-learning en daar uitvloeiende rapportages goed aan te tonen hoeveel procent van het personeel is getraind en wat het kennisniveau is. De resultaten kunnen worden gebruikt voor verdere gerichte verbeteracties. De e-learning kan als spil van een bewustwordingsprogramma worden gebruikt en – naar gelang de wensen – worden aangevuld met andere activiteiten en communicatie uitingen.
Onze e-learnings worden vaak gecombineerd met phishingmailcampagnes, maar ook andere activiteiten kunnen worden ingesloten in het bewustwordingsprogramma zoals het organiseren van fysieke trainingen (three lines of defence), mystery guests of zelfs een virtuele privacy escape room. Al deze onderdelen cirkelen om de e-learning heen en bouwen op elkaar voort. Dit geeft organisaties een goede kapstok om bewustwording een continue vorm te geven.
De werkwijze van ZCUR
De organisatie waarvoor wij werken staat centraal. Wij verwerken het eigen beleid van de organisatie, de werkwijzen, de voorbeelden, de huisstijl en bestaand communicatiemateriaal in ons programma. Ons eigen materiaal vullen we in met het materiaal van de organisatie en we geven het de ‘look and feel’ van de betreffende organisatie.
Met onze ervaring en de input van de organisatie maken wij een programma dat aanvoelt als maatwerkoplossing.
Bewustwording: deel je onze aanpak?
Wij begrijpen dat informatiebeveiliging en privacy voor zorgpersoneel wellicht niet de eerste prioriteit heeft, zeker niet in deze tijd. Wij zetten ons daarom maximaal in om onze e-learning en overige bewustwordingsactiviteiten zo interessant, herkenbaar en laagdrempelig mogelijk te maken. Ons uitgangspunt is dat de medewerker ons programma als een positieve ervaring beleeft waardoor de nieuw opgedane kennis het beste blijft hangen.
Wij zijn gespecialiseerd in het creëren van bewustwording in de zorg (NEN 7510/NVZ Gedragslijn Toegangsbeveiliging) en semi-overheid. Door onze jarenlange ervaring kunnen wij de interne organisatie zoveel mogelijk ontlasten bij de uitvoering van het bewustwordingsprogramma.
Wilt u meer weten over onze aanpak? Neem gerust contact met ons op 085 – 06 08 419 of info@zcur.nl. Kijk ook eens op www.zcur.nl/bewustwording of www.bewustwording-ziekenhuizen.nl.