Eerder schreven we over cybersecurity in de zorg, specifiek over het nieuwe actieplan van de Europese Commissie van Nederlandse zorginstellingen. Cybersecurity omvat echter veel meer dan alleen beleidsmaatregelen: bewustwording van zorgverleners op de werkvloer is minstens zo belangrijk. Zorgverleners vormen immers het eerste verdedigingsniveau tegen cyberincidenten. Werkgevers hebben op grond van de Algemene Verordening Gegevensbescherming (‘AVG’) een juridische plicht tot duidelijke, doeltreffende instructie én controle van medewerkers. In deze blog gaan we in op hoe je dat in de praktijk op een effectieve en werkbare manier kunt aanpakken.
Zorginstellingen verwerken dagelijks grote hoeveelheden gevoelige persoonsgegevens, zoals medische gegevens. Daarmee zijn zorginstellingen een aantrekkelijk doelwit voor cybercriminelen. Het beschermen van deze gegevens is geen keuze, maar een wettelijke verplichting. De AVG verplicht om passende technische en organisatorische maatregelen te nemen, waarbij bewustwording onder personeel expliciet wordt genoemd.
Bewustwording betekent dat medewerkers zich bewust zijn van de mogelijke risico’s en weten hoe zij in hun dagelijkse werk kunnen bijdragen aan een veilige omgang met gegevens. Het gaat niet alleen om kennis van regels, maar vooral om houding en gedrag: hoe herken je een phishingmail? Weet je wat je moet doen bij een datalek? Besef je waarom je je scherm moet vergrendelen als je even wegloopt?
Het merendeel van de cyberincidenten ontstaat door menselijke fouten: een onbeveiligde laptop, een onbedoeld verstuurd e-mailbericht met patiëntinformatie of een geopende phishingmail. Dergelijke fouten zijn begrijpelijk en horen bij het werken in een drukke, complexe omgeving. Dit soort fouten kunnen alleen wel grote gevolgen hebben, niet alleen voor de betrokken patiënten, maar ook voor de organisatie zelf. Bij dit soort fouten ligt de aansprakelijkheid in principe bij de organisatie en kan de Autoriteit Persoonsgegevens handhavend optreden, waaronder boetes opleggen.
Bij veel zorginstellingen is er een beveiligingsbeleid. Dat beleid is echter vaak voor zorgverleners op de werkvloer lastig te volgen, omdat er geen concrete instructie voor de werkvloer bij zit. Zeker in de context van hoge werkdruk, personeelskrapte en complexe zorgsituaties is het soms lastig om rekening te houden met het beleid. Zorginstellingen moeten zich dus richten op gedragsverandering. Niet het beleid op papier, maar het gedrag in de praktijk bepaalt de effectiviteit van de beveiliging.
De manieren waarop bewustwording wordt vormgegeven zijn vaak algemeen ingericht, zonder aansluiting op de rol, locatie of context van de zorgverlener. Er zijn verschillen tussen een wijkverpleegkundige, een IC-verpleegkundige of een flexkracht in een verpleeghuis. Zorgverleners zijn zich er wel van bewust dat er risico’s zijn, maar weten niet altijd goed hoe ze daarmee om moeten gaan. Door geen rekening te houden met deze praktijkverschillen, blijft het beleid abstract en moeilijk toepasbaar. Het verzuim van adequate training en instructie kan bovendien juridisch worden aangemerkt als nalatig handelen.
Hoe stimuleer je effectief gedrag op de werkvloer? Een goede aanpak bevat juridische borging én praktische toepasbaarheid. Onderstaande strategieën dragen bij aan effectieve en duurzame bewustwording:
Er zijn dus meerdere manieren waarop de bewustwording onder zorgverleners vergroot kan worden. Het is geen one size fits all. Kijk goed welke manier het beste aansluit bij de zorgverlener en de organisatie.
Bewustwording is geen eenmalige instructie, maar een continu proces. Er zullen dan ook regelmatig veranderingen plaats moeten vinden in de wijze waarop bewustwording wordt gecreëerd, afhankelijk van de zorgverleners en de organisatie. Leer van eerder gemaakte fouten en pas de aanpak daarop aan. Blijf bovendien rekening houden met de diversiteit aan zorgverleners en de praktische barrières die zij ervaren, zoals beperkte tijd.
Door te investeren in bewustwording, betrokkenheid en praktische ondersteuning op de werkvloer, versterken zorginstellingen niet alleen hun juridische positie, maar vooral hun algehele cyberweerbaarheid. Bewustwording van cybersecurity is geen kwestie van of je het regelt, maar hoe je het regelt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.