Hoe bereik je de zorgverlener op de werkvloer als het gaat om cybersecurity?

Eerder schreven we over cybersecurity in de zorg, specifiek over het nieuwe actieplan van de Europese Commissie van Nederlandse zorginstellingen. Cybersecurity omvat echter veel meer dan alleen beleidsmaatregelen: bewustwording van zorgverleners op de werkvloer is minstens zo belangrijk. Zorgverleners vormen immers het eerste verdedigingsniveau tegen cyberincidenten. Werkgevers hebben op grond van de Algemene Verordening Gegevensbescherming (‘AVG’) een juridische plicht tot duidelijke, doeltreffende instructie én controle van medewerkers. In deze blog gaan we in op hoe je dat in de praktijk op een effectieve en werkbare manier kunt aanpakken.

Waarom bewustwording belangrijk is

Zorginstellingen verwerken dagelijks grote hoeveelheden gevoelige persoonsgegevens, zoals medische gegevens. Daarmee zijn zorginstellingen een aantrekkelijk doelwit voor cybercriminelen. Het beschermen van deze gegevens is geen keuze, maar een wettelijke verplichting. De AVG verplicht om passende technische en organisatorische maatregelen te nemen, waarbij bewustwording onder personeel expliciet wordt genoemd.

Bewustwording betekent dat medewerkers zich bewust zijn van de mogelijke risico’s en weten hoe zij in hun dagelijkse werk kunnen bijdragen aan een veilige omgang met gegevens. Het gaat niet alleen om kennis van regels, maar vooral om houding en gedrag: hoe herken je een phishingmail? Weet je wat je moet doen bij een datalek? Besef je waarom je je scherm moet vergrendelen als je even wegloopt?

Het merendeel van de cyberincidenten ontstaat door menselijke fouten: een onbeveiligde laptop, een onbedoeld verstuurd e-mailbericht met patiëntinformatie of een geopende phishingmail. Dergelijke fouten zijn begrijpelijk en horen bij het werken in een drukke, complexe omgeving. Dit soort fouten kunnen alleen wel grote gevolgen hebben, niet alleen voor de betrokken patiënten, maar ook voor de organisatie zelf. Bij dit soort fouten ligt de aansprakelijkheid in principe bij de organisatie en kan de Autoriteit Persoonsgegevens handhavend optreden, waaronder boetes opleggen.

Beleid vs de praktijk

Bij veel zorginstellingen is er een beveiligingsbeleid. Dat beleid is echter vaak voor zorgverleners op de werkvloer lastig te volgen, omdat er geen concrete instructie voor de werkvloer bij zit. Zeker in de context van hoge werkdruk, personeelskrapte en complexe zorgsituaties is het soms lastig om rekening te houden met het beleid. Zorginstellingen moeten zich dus richten op gedragsverandering. Niet het beleid op papier, maar het gedrag in de praktijk bepaalt de effectiviteit van de beveiliging.

De manieren waarop bewustwording wordt vormgegeven zijn vaak algemeen ingericht, zonder aansluiting op de rol, locatie of context van de zorgverlener. Er zijn verschillen tussen een wijkverpleegkundige, een IC-verpleegkundige of een flexkracht in een verpleeghuis. Zorgverleners zijn zich er wel van bewust dat er risico’s zijn, maar weten niet altijd goed hoe ze daarmee om moeten gaan. Door geen rekening te houden met deze praktijkverschillen, blijft het beleid abstract en moeilijk toepasbaar. Het verzuim van adequate training en instructie kan bovendien juridisch worden aangemerkt als nalatig handelen.

Hoe stimuleer je effectief gedrag op de werkvloer? Een goede aanpak bevat juridische borging én praktische toepasbaarheid. Onderstaande strategieën dragen bij aan effectieve en duurzame bewustwording:

Regelmatige en interactieve trainingen

  1. Maak security awareness-trainingen verplicht, maar houd ze kort, relevant en herkenbaar.
    • Maak security awareness-trainingen verplicht, maar houd ze kort, relevant en herkenbaar.
    • Gebruik korte, gerichte online modules.
    • Zet in op peer-to-peer instructie: laat collega’s leren van elkaars ervaringen.
  2. Simulaties en campagnes
    • Organiseer simulaties van cyberaanvallen of phishingmails.
  3. Herhaal belangrijke boodschappen via teamoverleggen, weekstarts of nieuwsbrieven.
    • Geef concrete voorbeelden die het eigen werk raken.
    • Leg in begrijpelijke taal uit wat de risico’s en gevolgen zijn.
    • Herhaling en herkenbaarheid
  4. Praktische maatregelen
    • Stel een wachtwoordbeleid op: gebruik alleen sterke wachtwoorden en laat regelmatig de wachtwoorden aanpassen.
    • Gebruik tweefactorauthenticatie.
    • Zorg voor fysieke beveiligingsmaatregelen: vergrendel schermen bij afwezigheid, laat geen documenten met persoonsgegevens op tafel liggen en gebruik afsluitbare papierbakken voor gevoelige documenten.
    • Bied veilige alternatieven voor risicovol gedrag, zoals Zivver voor veilige e-mail.
  5. Monitoring en feedback
    • Meet de effectiviteit van de maatregelen met audits, vragenlijsten of gedragsanalyses.
    • Vraag actief feedback van zorgverleners: is het beleid werkbaar? Sluit het aan op de praktijk?

Aanbevelingen voor een werkbare aanpak

Er zijn dus meerdere manieren waarop de bewustwording onder zorgverleners vergroot kan worden. Het is geen one size fits all. Kijk goed welke manier het beste aansluit bij de zorgverlener en de organisatie.

  • Houd bij het vergroten van bewustwording rekening met de rol van de medewerker, de locatie van het werk en de organisatiecontext.
  • Vertaal het informatiebeveiligingsbeleid naar praktische instructies voor zorgverleners.
  • Beperk trainingen tot de essentie, zodat ze laagdrempelig en effectief blijven.
  • Zorg voor herhaling en houd het begrijpelijk en toepasbaar.
  • Geef praktijkvoorbeelden en laat collega’s van elkaar leren.
  • Maak tweefactorauthenticatie en een goed wachtwoordbeleid onderdeel van de standaardprocedure.
  • Vraag zorgverleners om feedback en verander procedures aan de hand van deze feedback.

Tot slot

Bewustwording is geen eenmalige instructie, maar een continu proces. Er zullen dan ook regelmatig veranderingen plaats moeten vinden in de wijze waarop bewustwording wordt gecreëerd, afhankelijk van de zorgverleners en de organisatie. Leer van eerder gemaakte fouten en pas de aanpak daarop aan. Blijf bovendien rekening houden met de diversiteit aan zorgverleners en de praktische barrières die zij ervaren, zoals beperkte tijd.

Door te investeren in bewustwording, betrokkenheid en praktische ondersteuning op de werkvloer, versterken zorginstellingen niet alleen hun juridische positie, maar vooral hun algehele cyberweerbaarheid. Bewustwording van cybersecurity is geen kwestie van of je het regelt, maar hoe je het regelt.

Versterk jouw cyberweerbaarheid

Meer informatie

Terug naar overzicht