Informatieveiligheid in de zorg staat hoog op de agenda, maar op de werkvloer blijkt het vaak lastig om regels te vertalen naar concreet en gewenst gedrag. Wat is privacygevoelige informatie precies? Wanneer meld je een datalek? Hoe zorg je ervoor dat medewerkers hier niet alleen van op de hoogte zijn, maar er ook daadwerkelijk naar handelen? IVGZ wil met de Masterclass Informatieveilig gedrag in de zorg aan zorgprofessionals een gestructureerde aanpak bieden om informatieveilig gedrag te verbeteren. De masterclass valt onder het gelijknamige programma - geïnitieerd en gefinancierd door VWS om zorgorganisaties te helpen informatieveilig gedrag te stimuleren). Drie deelnemers vertellen in ICT&health 1 over hun ervaringen.
Boris van Moorsel werkt als informatieadviseur bij Mesdag, een forensisch psychiatrische zorgorganisatie. Hij merkt dat het onderwerp ‘informatieveiligheid’ niet erg tot de verbeelding spreekt van collega’s die zich bezighouden met het behandelen van patiënten. “Sommigen lijken bijvoorbeeld niet goed te weten wat privacygevoelige informatie precies is. En met wie je wat wel of niet deelt.”
Patrick Reijnders, CISO bij Liberein (een VVT-organisatie in Enschede) en Clara Billert, junior privacy officer bij Haaglanden Medisch Centrum (Den Haag), liepen ertegenaan dat collega’s niet altijd weten wat er van hen verwacht wordt als het gaat om informatieveiligheid. “Zo beseffen ze meestal wel dat ze datalekken moeten melden,” geeft Billert als voorbeeld. “Maar we hebben de indruk dat ze niet altijd precies weten wát ze moeten melden. En hóé zij dat moeten doen.”
Billert, Reijnders en Van Moorsel zochten handvatten om het bewustzijn op de werkvloer over informatieveiligheid en privacy te vergroten. En vooral ook om informatieveilig gedrag van collega’s te bevorderen. Ze kwamen terecht bij de Masterclass Informatieveilig gedrag in de zorg van IVGZ. Hierin krijgen deelnemers kennis en vaardigheden aangereikt om te leren werken met de Wegwijzer voor informatieveilig gedrag, vertelt trainer Lourens Dijkstra (die ook medeauteur is van de Wegwijzer). “Zij leren hoe ze de 6 stappen van de Wegwijzer kunnen uitvoeren. En zij ontdekken samen met andere deelnemers wat kansen en valkuilen zijn als het gaat om informatieveilig gedrag.”
Brede doelgroep
De Masterclass staat onder andere open voor: CISO’s, functionarissen gegevensbescherming, privacy officers, security officers, kwaliteits- en beleidsadviseurs. “Kortom: voor alle professionals binnen de zorg die zich bezighouden met informatiebeveiliging” aldus Dijkstra.
De Masterclass biedt ook duo’s (dus twee collega’s vanuit dezelfde organisatie) de mogelijkheid om zich aan te melden. “Dat is wel een aanrader’’ zegt Dijkstra. ‘Als duo creëer je een groter draagvlak binnen de zorgorganisatie en kun je de rol- en taakverdeling makkelijker afstemmen.” Dit is ook de ervaring van Van Moorsel. “Mijn collega en ik verdeelden de taken onderling en hielden elkaar scherp. Elke twee weken zaten we even bij elkaar om onze acties te bespreken. Dit bevorderde de voortgang.”
Tijdens de Masterclass geven de trainers korte presentaties over de zes stappen van de Wegwijzer: 1) voorbereiding; 2) doelgedrag bepalen; 3) gedragsfactoren onderzoeken; 4) interventies kiezen; 5) interventies uitvoeren; 6) verankeren en rapporteren. Dijkstra geeft een voorbeeld: “Bij stap 1 gaan we in op wat belangrijk is in de voorbereidende fase. Zoals: wie zitten er in het multidisciplinaire kernteam dat het informatieveiligheidstraject binnen de organisatie gaan uitvoeren?”
Plan van aanpak
De deelnemers maken dan ook een aanzet voor een plan van aanpak voor de eigen organisatie. “Tijdens een Masterclass worden de presentaties over de stappen namelijk afgewisseld met opdrachten, in subgroepen”, zegt Dijkstra. Hij geeft nog een voorbeeld: “Nadat de trainers zijn ingegaan op de stappen 3 en 4 van de Wegwijzer, gaan deelnemers oefenen hoe zij hun collega’s kunnen interviewen over hun gedrag.”
Lees het hele artikel in ICT&health editie 1, die op 20 februari verschijnt.
