Focus op menselijk gedrag voor betere cybersecurity in zorg
De zorgsector beschikt over bijzonder veel persoonsgegevens en dus is binnen deze branche privacy van cruciaal belang. Terwijl veel aandacht uitgaat naar de technische kant van cyberveiligheid, is nog veel terreinwinst te boeken aan de menselijke kant. “Circa 80% van de fouten op het gebied van privacygevoelige informatie wordt namelijk veroorzaakt door menselijk gedrag”, aldus Susan Boonman van Mobilee.
Voor zorginstellingen is het daarom van groot belang om gedragsveranderingen mee te nemen in hun cyberveiligheidsstrategie. Susan Boonman, sinds 2017 actief bij Mobilee, realiseerde recent bij een zorggerelateerde organisatie gedragsveranderingen bij medewerkers in de omgang met medische gegevens. Op basis van die ervaringen formuleerde ze een vijfstappenplan waarmee organisaties gedragsveranderingen op het gebied van cyberveiligheid kunnen bewerkstelligen.
1: Breng de gewenste gedragsveranderingen in kaart
“Om een echte verandering te realiseren, zijn we gestart met het in kaart brengen van de huidige situatie en het bepalen van de uiteindelijke doelsituatie”, aldus Boonman. “Medewerkers die binnen deze organisatie met medische gegevens werken zijn geïdentificeerd en hun werkproces is inzichtelijk gemaakt. Zo voerden we gesprekken met medische professionals, administratieve medewerkers, leidinggevenden, de afdeling risk & compliance, juridische zaken en ICT.”
Hieruit bleek dat op verschillende vlakken aanpassingen gewenst waren, vertelt Boonman: “Zoals bijvoorbeeld organisatorische veranderingen en aanpassingen op het gebied van ICT, maar ook andere gedragingen van de medewerkers zelf. Daarnaast kwam daar voren dat regels explicieter zouden moeten zijn, dat bij diverse mensen het kennisniveau wel een opfrisbeurt kon gebruiken en dat de organisatie behoefte heeft aan diverse ondersteunende maatregelen op organisatorisch en technisch gebied.”
2: Zoek afstemming met leiders
Om de gewenste veranderingen door te voeren is eerst een pilot opgezet voor één afdeling. “In de pilot hebben we bepaalde werkprocessen veranderd. We keken bijvoorbeeld hoe mensen samenwerken en op welke manier ze dan (medische) informatie delen. Vervolgens keken we samen met deze medewerkers hoe dit slimmer of beter kon en hoe we dat konden doorvoeren voor de hele afdeling”, laat de Medior Consultant van Mobilee weten.
Toen dit het gewenste effect bleek te hebben, zijn de voorgenomen veranderingen voorgelegd aan de directie. “Dit werd vervolgens toegelicht aan de managers en teamleiders. Op deze manier werd de hele organisatie meegenomen in het veranderingstraject.”
3: Richt ondersteunende maatregelen in
Om de gewenste gedragsveranderingen te realiseren, bleek dat verandering op organisatorisch en ICT-niveau eveneens nodig was: Boonman: “Bijvoorbeeld op het gebied van autorisaties, maar ook een aangescherpte wijze van organiseren en aansturen. Zo hebben we onder andere via een sharepointpagina inzichtelijk gemaakt wie binnen de organisatie welke informatie met elkaar mag delen. En dat wordt gewaardeerd.”
Hierdoor kunnen medewerkers van deze zorggerelateerde organisatie nu een collega opzoeken en zien of deze toegang mag hebben tot bepaalde informatie. “Handig, want zo weet je gelijk of je iets met iemand mag bespreken of niet”, aldus Boonman, die toevoegt dat deze veranderingen eerst zijn doorgevoerd: “Dat komt omdat we pas nieuw gedrag kunnen stimuleren en verwachten als we medewerkers voorzien van nieuwe tools en technieken.”
4: Ontwikkel materiaal voor alle betrokkenen
Om het voor alle betrokkenen zo makkelijk mogelijk te maken, ontwikkelde Mobilee voor verschillende doelgroepen verschillende soorten materialen. “Zo hebben we een toolkit voor leidinggevenden ontwikkeld. Hierin vinden ze terug wat hun verantwoordelijkheden zijn als leidinggevende en welke kennis er bij hun medewerkers aanwezig moet zijn. De voorbeelden uit de toolkit zijn op de afdeling van de leidinggevende afgestemd, zodat zij deze in hun werkoverleggen konden doornemen”, zegt Boonman.
“80% van de fouten op het gebied van privacygevoelige informatie wordt veroorzaakt door menselijk gedrag.”
– Susan Boonman, Mobilee
Daarnaast heeft Mobilee ook een handleiding voor medische professionals gemaakt: “Daarin staat welke activiteiten ze kunnen ondernemen. Deze activiteiten hebben we gebaseerd op wettelijke voorschriften en per voorschrift zijn vervolgens een aantal taken gedefinieerd. Het is belangrijk om dit zo concreet mogelijk te maken. Bijvoorbeeld: voer een kennismakingsgesprek met medewerkers die nieuw in dienst komen en heb dan aandacht voor onderwerp x, y en z.”
Verder creëerden de experts van het adviesbureau een overzichtelijke folder voor medewerkers. “Daarin staat alle relevante kennis over privacy en persoonsgegevens. Handig, want zo kunnen ze altijd even controleren wat de regels ook alweer zijn. Na de vakantie kunnen deze zomaar wat verder weggezakt zijn tenslotte. Wat er in zo’n folder staat? Bijvoorbeeld wat geanonimiseerde gegevens zijn en wat dat betekent voor het gebruik. Of welke communicatiekanalen geschikt zijn, zoals chat, email of post”, legt Boonman uit.
5: Laat teams of afdelingen één voor één over gaan
“In deze casus zijn er ook in het werkproces wijzigingen aangebracht. In gesprekken met individuele teamleiders hebben we de taken en processen van hun team onder de loep genomen en gekeken wat we konden optimaliseren. Afdelingen met de teams die daaronder vielen zijn één voor één over gegaan naar de nieuwe situatie. Hierdoor kunnen eerder overgestapte teams de andere teams inspireren. Bovendien konden we wanneer nodig nog bijsturen”, besluit Boonman.