De kans is groot dat je recent in het nieuws een datalek voorbij hebt zien komen. Maar wat is een datalek? Veel mensen in de zorg weten het antwoord hierop niet. Gevolg? Ze lekken onbedoeld data en melden dat niet. Daardoor is de schade vaak groter dan nodig. Bij wie en hoe moet je een datalek melden? En wat kun jij doen om te zorgen dat je als organisatie leert van incidenten? Met die vragen ging een werkgroep van het programma Informatieveilig gedrag in de zorg aan de slag. Het resultaat? De toolkit ‘Datalek gemeld? Leren is wat telt!’
Een datalek kan in iedere zorginstelling gebeuren. Gevolg voor medewerkers of patiënten? Een inbreuk op hun privacy of identiteitsdiefstal. Voor organisaties kan een datalek chantage, grote financiële schade en een deuk in het vertrouwen betekenen.
Daar komt binnenkort de NIS2-richtlijn bij. Voortaan kunnen bestuurders in de zorg aansprakelijk worden gesteld voor de onveiligheid van informatie binnen hun organisaties. Je leest hier1 meer over de NIS2 en wat jouw zorgorganisatie kan doen.
Snel handelen bij datalek
Je wilt een datalek als zorginstelling dus heel graag voorkomen. En als het toch gebeurt, wil je snel handelen. Enerzijds om schade te beperken. Daarnaast ook om ervan te leren en te voorkomen dat het nog een keer gebeurt.
Om zorgorganisaties hierbij te helpen, riep het ECP-programma Informatieveilig gedrag in de Zorg een werkgroep van 12 ervaringsdeskundigen in het leven. Een patiënt, beleids- en communicatieadviseurs, functionarissen gegevensbescherming, security en privacy officers, business & security consultants gingen samen aan de slag om een praktisch hulpmiddel te ontwikkelen voor zorgorganisaties.
De inzet: zorgorganisaties helpen om sneller te handelen bij datalekken, hen te laten leren van gemaakte fouten en natuurlijk datalekken voorkomen. Oftewel: melden en in actie komen. Want je kan technisch van alles doen om datalekken proberen te voorkomen, het is vooral gedrag dat het verschil maakt.
Is er een datalek?!
De experts in de werkgroep waren het over een ding snel eens: juist handelen rond datalekken begint bij het herkennen van een datalek. Want daar gaat het regelmatig mis. Mensen weten niet altijd dat ze data gelekt hebben.
De werkgroep maakte daarom een animatie met een heldere voorbeelden van mogelijke datalekken:
- Gegevens achterlaten na het openen van een phishing-e-mails.
- Het per ongeluk toevoegen van patiënt- of cliëntgegevens aan een verkeerd dossier.
- Sollicitatiebrieven bij de printer laten liggen.
- Een dossier inzien zonder dat er een behandelrelatie is.
- Gegevens over een patiënt op een briefje in de kantine laten liggen.
Ook maakte de werkgroep een heldere plaat van het meldproces voor medewerkers, met daarop de voorbeelden van mogelijke datalekken in een handig lijstje. En welke stappen je neemt als je denkt dat er sprake is van een datalek.
Melden heeft zin!
Stap 1 is dus het herkennen van een datalek. Vervolgens is het belangrijk dat mensen weten waarom het belangrijk is om een datalek te melden. Medewerkers zien het soms als een moetje of vrezen negatieve gevolgen. Maar melden heeft zin.
Vergelijk het met een verkeersongeluk. Als je iemand hebt aangereden, kun je doorrijden uit angst voor een straf, maar door de ambulance te bellen, zorg je dat het slachtoffer zorg kan krijgen. Als je een datalek meldt, kan je voorkomen dat criminelen in de positie komen te chanteren en je kan de slachtoffers netjes informeren over wat er is gebeurd zodat ze bijvoorbeeld hun wachtwoord kunnen veranderen.
Bovendien kunnen je collega’s leren van jouw fout, zodat het niet nog een keer gebeurt. Want alles valt of staat bij informatieveiligheid bij gedrag en blijven herhalen wat wel en niet kan en mag. De werkgroep besloot daarom tot de slogan: “Datalek gemeld? Leren is wat telt!”.
Concrete handvatten
Ook de mensen die dagelijks hun best doen om de informatieveiligheid te vergroten – de informatieveiligheidsprofessional (IVP’er) - wilden graag concrete handvatten. Daarom maakte de werkgroep een handig voorbeeldproces: wat moet je doen als je een melding van een (mogelijk) datalek ontvangt? En hoe bepaal je of je een datalek wel of niet moet melden bij de Autoriteit Persoonsgegeven? Ook in het meldproces heeft leren een belangrijke plek.
Om het meldproces te ondersteunen, wilde de werkgroep een goed meldformulier. Het blijkt best lastig om de juiste vragen te stellen aan melders. Het gevolg is dat ze vaak nog veel extra vragen aan mensen moeten stellen nadat een datalek gemeld is. Zonde van de tijd! Je wilt immers snel handelen na een datalek.
En zorgmedewerkers kunnen hun tijd beter aan andere dingen besteden. Daarom is er een handig overzicht van vragen die zorgorganisaties kunnen gebruiken om hun eigen maatwerk-vragenlijst te maken met hun eigen softwareprogramma of digitaal formulier.
Toolkit voor iedereen
Wil jij jouw collega's ook bewuster maken van het belang van het melden van datalekken? Deel de animatie en het meldproces met medewerkers in jouw organisatie. En doe je voordeel met het meldproces en vragenformulier. Meer info? Kijk op https://www.informatieveiligge.... Want:
Datalek gemeld? Leren is wat telt!
Over de werkgroep en het programma
De in het artikel genoemde werkgroep is een initiatief van het programma Informatieveilig gedrag in de zorg, dat wordt geleid door stichting ECP | Platform voor de Informatiesamenleving. Het programma wordt uitgevoerd in opdracht van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).
De brancheorganisaties ActiZ, de Nederlandse ggz, NFU, NVZ en VGN zijn bij het programma betrokken. Eerder maakte het programma ook een toolkit Veilig Communiceren. Momenteel wordt er gewerkt aan een toolkit voor het verantwoord gebruik van AI en LLM in de zorg en een toolkit voor informatieveilig gedrag in de huisartsenzorg.
Lees in het online magazine meer over de toolkit Veilig Communiceren: Link
Referenties
1. Link