Informatieveiligheid in de zorg staat hoog op de agenda, maar op de werkvloer blijkt het vaak lastig om regels te vertalen naar concreet en gewenst gedrag. Wat is privacygevoelige informatie precies? Wanneer meld je een datalek? Hoe zorg je ervoor dat medewerkers hier niet alleen van op de hoogte zijn, maar er ook daadwerkelijk naar handelen? De Masterclass Informatieveilig gedrag in de zorg van IVGZ biedt zorgprofessionals een gestructureerde aanpak om informatieveilig gedrag te verbeteren. De masterclass valt onder het gelijknamige programma - geïnitieerd en gefinancierd door VWS om zorgorganisaties te helpen informatieveilig gedrag te stimuleren. Drie deelnemers vertellen over hun ervaringen.
Boris van Moorsel werkt als informatieadviseur bij Mesdag, een forensisch psychiatrische zorgorganisatie. Hij merkt dat het onderwerp ‘informatieveiligheid’ niet erg tot de verbeelding spreekt van collega’s die zich bezighouden met het behandelen van patiënten. “Sommigen lijken bijvoorbeeld niet goed te weten wat privacygevoelige informatie precies is. En met wie je wat wel of niet deelt.”
Patrick Reijnders, CISO bij Liberein (een VVT-organisatie in Enschede) en Clara Billert, junior privacy officer bij Haaglanden Medisch Centrum (Den Haag), liepen ertegenaan dat collega’s niet altijd weten wat er van hen verwacht wordt als het gaat om informatieveiligheid. “Zo beseffen ze meestal wel dat ze datalekken moeten melden,” geeft Billert als voorbeeld. “Maar we hebben de indruk dat ze niet altijd precies weten wát ze moeten melden. En hóé zij dat moeten doen.”
Wegwijzer voor gedragsverandering
Billert, Reijnders en Van Moorsel zochten handvatten om het bewustzijn op de werkvloer over informatieveiligheid en privacy te vergroten. En vooral ook om informatieveilig gedrag van collega’s te bevorderen. Ze kwamen terecht bij de Masterclass Informatieveilig gedrag in de zorg van IVGZ. Hierin krijgen deelnemers kennis en vaardigheden aangereikt om te leren werken met de Wegwijzer voor informatieveilig gedrag, vertelt trainer Lourens Dijkstra (die ook medeauteur is van de Wegwijzer). “Zij leren hoe ze de 6 stappen van de Wegwijzer kunnen uitvoeren. En zij ontdekken samen met andere deelnemers wat kansen en valkuilen zijn als het gaat om informatieveilig gedrag.”
‘Cadeautje aan de zorg’
IVGZ organiseert al vijf jaar masterclasses. In 2026 zullen er weer diverse worden georganiseerd. Ze bestaan uit twee fysieke en drie online bijeenkomsten over een tijdsperiode van drie maanden. Per Masterclass kunnen zich maximaal 25 mensen inschrijven. “Deelname is gratis, de Masterclass is een cadeautje aan de zorg”, zegt Dijkstra. “Maar meedoen is zeker niet vrijblijvend! We verwachten van deelnemers dat zij op hun eigen werkplek met een praktijkcasus aan de slag gaan.”
Het is verder belangrijk dat die casus een gedragscomponent heeft, vervolgt hij. “Informatieveiligheid heeft immers niet alleen te maken met het goed regelen van de ‘technische kant’, maar zeker ook met gedrag van medewerkers.”
Brede doelgroep
De Masterclass staat onder andere open voor: CISO’s, functionarissen gegevensbescherming, privacy officers, security officers, kwaliteits- en beleidsadviseurs. “Kortom: voor alle professionals binnen de zorg die zich bezighouden met informatiebeveiliging” aldus Dijkstra.
De Masterclass biedt ook duo’s (dus twee collega’s vanuit dezelfde organisatie) de mogelijkheid om zich aan te melden. “Dat is wel een aanrader’’ zegt Dijkstra. ‘Als duo creëer je een groter draagvlak binnen de zorgorganisatie en kun je de rol- en taakverdeling makkelijker afstemmen.” Dit is ook de ervaring van Van Moorsel. “Mijn collega en ik verdeelden de taken onderling en hielden elkaar scherp. Elke twee weken zaten we even bij elkaar om onze acties te bespreken. Dit bevorderde de voortgang.”
'Normaal denk je altijd binnen de kaders van je eigen organisatie'
Tijdens de Masterclass geven de trainers korte presentaties over de zes stappen van de Wegwijzer: 1) voorbereiding; 2) doelgedrag bepalen; 3) gedragsfactoren onderzoeken; 4) interventies kiezen; 5) interventies uitvoeren; 6) verankeren en rapporteren. Dijkstra geeft een voorbeeld: “Bij stap 1 gaan we in op wat belangrijk is in de voorbereidende fase. Zoals: wie zitten er in het multidisciplinaire kernteam dat het informatieveiligheidstraject binnen de organisatie gaan uitvoeren?”
Plan van aanpak
De deelnemers maken dan ook een aanzet voor een plan van aanpak voor de eigen organisatie. “Tijdens een Masterclass worden de presentaties over de stappen namelijk afgewisseld met opdrachten, in subgroepen”, zegt Dijkstra. Hij geeft nog een voorbeeld: “Nadat de trainers zijn ingegaan op de stappen 3 en 4 van de Wegwijzer, gaan deelnemers oefenen hoe zij hun collega’s kunnen interviewen over hun gedrag.”
In de subgroepen worden deelnemers met vergelijkbare vraagstukken bij elkaar gezet. Zij ontmoeten elkaar bovendien ook online, tussen de fysieke bijeenkomsten van de Masterclass door. Reijnders vertelt hierover: “Dat vond ik heel fijn. Normaal denk je altijd binnen de kaders van je eigen organisatie. Het mooie van deze Masterclass is dat je ook ervaringen uitwisselt met collega’s van andere organisaties, en dat je elkaar feedback geeft. Daar leer je enorm veel van.”
Zelf aan de slag
Ook gaan de deelnemers binnen de eigen organisatie aan de slag. Billert geeft een voorbeeld: “We hebben interviews gehouden met collega’s, stap 3 uit de Wegwijzer. Die interviews leverden natuurlijk een aantal uitkomsten op. Wij vonden het echter best lastig om op basis daarvan een rode draad te zien en passende interventies te kiezen, stap 4. Dit hebben we toen besproken in ons subgroepje, en met de trainers. Dat heeft ons enorm geholpen om de concrete punten vast te stellen waar we onze aandacht op wilden focussen.”
Eyeopeners
Aan het eind van de Masterclass geven de deelnemers hun eindpresentaties, vertelt Dijkstra. Wat hebben ze gedaan en wat heeft dat opgeleverd? Terugblikkend, vindt Billert dat de Masterclass haar veel heeft gebracht. “Zo hebben de interviews ons echt nieuwe inzichten gegeven. Sommige dingen die collega’s ons vertelden, hadden we zelf over het hoofd gezien. Hun input hielp ons bij het kiezen van betere interventies.”
Ook Reijnders is enthousiast. “Onze neiging was altijd om veel gedragsaspecten in één keer aan te pakken. De Masterclass heeft ons geleerd de aanpak ‘klein te maken’. Dat vergroot de kans op succes.” Dijkstra voegt toe: “Pas als een interventie op kleine schaal werkt, ga je deze breder binnen de organisatie uitrollen.”
Van Moorsel stelt: “De systematische aanpak van de Wegwijzer helpt je om eerst goed na te denken. Hierdoor boek je betere resultaten.” Hij geeft aan dat hij (elementen uit) de Wegwijzer ook na afronding van de Masterclass is blijven gebruiken. “Zo maak ik tegenwoordig vaker een meetplan, waarin ik vastleg wanneer ik wat ga meten. Dit geeft me sneller en beter inzicht in het effect van onze acties.”
Verbeteren van informatieveilig gedrag
Hoe ga je aan de slag met het verbeteren van informatieveilig gedrag in je eigen organisatie? De Masterclass (gratis) van IVGZ (www.informatieveiliggedraginde.../) helpt je op weg. Je leert een gestructureerde methodiek voor het bevorderen van informatieveilig gedrag.
Wil jij ook meedoen met de Masterclass? Ook in 2026 organiseren wij meerdere masterclasses. Je bent van harte welkom. Aanmelden voor de volgende Masterclass Informatieveilig gedrag in de zorg kan via: link
