Bewustwording is belangrijk, in de zorg en elders - Informatiebeveiliging en Privacy

Waarom bewustwording in de zorg, maar ook elders belangrijk is

Medewerkers zijn in iedere organisatie de belangrijkste schakel op het gebied van informatiebeveiliging en privacy. Er wordt veel tijd besteed aan technische beveiliging en werkprocessen, maar de meest incidenten ontstaan door menselijk handelen. Het is daarom belangrijk dat je collega’s weten hoe ze veilig moeten handelen. Hiervoor zul je in de kennis en kunde van je collega’s moeten investeren. Een goed bewustwordingsprogramma besteedt continue aandacht aan veilig werken. Met een goed bewustwordingsprogramma kunnen de belangrijke risico’s worden voorkomen. Hieronder een overzicht van de belangrijkste onderwerpen en risico’s – waar medewerkers zich vaak niet bewust van zijn.

Wat zijn de belangrijkste risico’s als je niet aan bewustwording doet?

Met een goed bewustwordingsprogramma kunnen de belangrijke risico’s worden voorkomen. Hieronder een overzicht van de zes belangrijkste onderwerpen en risico’s waar medewerkers zich vaak niet bewust van zijn.

Het delen van cliënt- of patiëntgegevens

Het delen van cliënt- of patiëntgegevens is vaak nodig om goede zorg te kunnen leveren. In de zorg wordt daarom veel informatie gedeeld. Er wordt gedeeld met collega’s, huisartsen, specialisten, apotheken, paramedici en andere zorginstellingen. Het gaat hierbij niet alleen om medische professionals, maar ook om andere professionals zoals zorgverzekeraars, gemeenten of het CIZ. Daarnaast worden ook cliënt- of patiëntgegevens gedeeld met familieleden, ouders en kinderen.

Je mag op grond van de AVG, WGBO en andere medische wetgeving niet zomaar gegevens delen. Het is daarom essentieel dat je collega’s weten welke gegevens gedeeld mogen worden en met welke partij.

Het delen gegevens met collega’s zal over het algemeen geen probleem zijn. Kan een zorgplan zomaar met de gemeente gedeeld worden? Of medische informatie met de politie? Allemaal stuk voor stuk belangrijke vraagstukken waar collega’s het antwoord op moeten weten en daar overeenkomstig naar handelen.

De regels van dossierinzage

Het is belangrijk dat medewerkers weten waar de behandelrelatie begint en eindigt. Medewerkers mogen het dossier van cliënt of patiënt inkijken als dat voor de behandeling noodzakelijk is. Maar weten medewerkers dat ze niet in een dossier mogen kijken als er geen ‘behandelrelatie’ is? Ook niet als dat goed bedoeld is?

Er zullen hierdoor verschillende vragen ontstaan. Bijvoorbeeld wat doe je als een cliënt of patiënt op een andere locatie is opgenomen, mag je dan wel kijken? En wat doe je als je een collega van een andere afdeling wilt laten meelezen voor advies?

Medewerkers moeten weten dat dossierinzage wordt bijgehouden en dat er sancties staan op onbevoegde inzage. Hiermee worden incidenten (zoals wellicht gelezen over de situatie met ‘Barbie’) zoveel mogelijk voorkomen.

Veilig versturen en communiceren van documentatie

Behandelplannen, patiëntbrieven en röntgenfoto’s, maar ook interne beleidsplannen en persoonlijke gegevens van leerlingen zijn voorbeelden van documenten die veel worden uitgewisseld. Het is belangrijk dat medewerkers weten hoe ze deze documenten dienen te versturen.

Als het ECD/EPD mogelijkheden biedt om documenten veilig te versturen, is het belangrijk om medewerkers daar steeds op te wijzen. Als er veilige e-mail beschikbaar is moeten medewerkers daar bekend mee zijn. Zij moeten ook weten hoe ze het kunnen gebruiken. Het is belangrijk om medewerkers daarin te trainen. Dat hoeft niet ingewikkeld te zijn, maar het moet wel continue onder de aandacht worden gehouden.

Het gebruiken van groepsaccounts

Veel zorg-, overheid-, en onderwijsinstellingen werken met groepsaccounts voor een bepaalde afdeling of locatie. Er wordt vaak gebruik gemaakt van een gezamenlijke mailbox. Deze mailboxen bevatten regelmatig gevoelige informatie van cliënten, leerlingen of patiënten. Zelfs de informatie over hun familieleden wordt daar gedeeld. Je kan je indenken dat met de grote hoeveelheid collega’s, en soms zelfs oud-collega’s, die toegang hebben tot deze mailbox, er veel risico’s ontstaan. De sociale media zoals een veel voorkomende Whatsappgroep, is een ander voorbeeld. Als groepsaccounts worden toegestaan is het belangrijk om hier op de juiste wijze mee om te gaan

Overzichtslijsten en aantekeningen

Veel medewerkers in de zorg, het onderwijs en bij overheidsinstellingen, werken nog met afgedrukte (patiënt)lijsten of aantekeningenbriefjes. Helaas belanden deze ‘briefjes’ regelmatig per ongeluk in gangpaden, winkelwagentjes of andere plekken waar ze niet thuishoren, met alle gevolgen van dien. Het is gevaarlijk en bovendien onnodig, want alle moderne ECD’s/EPD’s bieden overzichtslijsten of ruimte voor aantekeningen. Ook hier geldt dat medewerkers bekend moeten zijn met deze functies en ermee dienen te leren werken.

Phishing en social engineering als risico

Medewerkers in de zorg en in het onderwijs zijn op de eerste plaats behulpzaam. Ze willen cliënten, leerlingen en patiënten graag de beste zorg en ondersteuning bieden. Een veel voorkomende risico is social engineering en phishing.

Bij social engineering proberen cybercriminelen vertrouwelijke informatie ontfutselen van medewerkers om zo toegang te krijgen tot systemen om zo data, geld en meer te stelen. Bijvoorbeeld door zich voor te doen als collega en inlognamen en wachtwoorden te vragen.

Phishing gaat om valse e-mails. De e-mail lijkt heel echt. De e-mail spoort de ontvanger bijvoorbeeld aan om op een link te klikken, of een bijlage te downloaden. Zodoende wordt de ontvanger misleid, omdat de link of bijlage direct het apparaat met malware infecteert.

Het risico bestaat dus dat ze de verkeerde personen willen helpen en informatie delen die niet gedeeld mag worden. Ze staan er niet bij stil dat kwaadwillenden bewust misbruik maken van hun hulpbehoevende cliënten of patiënten. Toch is dat helaas wel het geval en is het voor medewerkers belangrijk dat ze behulpzaam, maar niet naïef zijn.

“Een goed bewustwordingsprogramma beperkt bovenstaande risico’s en voorkomt datalekken en schade.”

Specialisatie in het creëren van bewustwording

ZCUR biedt diensten aan rondom het creëren van bewustwording in de zorg. Maar wij ondersteunen ook onderwijsinstellingen en overheden. Door onze jarenlange ervaring zijn wij in staat om een passend bewustwordingsprogramma te ontwikkelen en te ondersteunen bij de uitvoering.

Wil je meer weten over onze aanpak? Neem gerust contact met ons op 085 – 0608419 of info@zcur.nl. Kijk ook eens op www.zcur.nl.

Cookie	Duur	Omschrijving
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.