Focus op menselijk gedrag voor betere cybersecurity in zorg

15 juli 2020 Consultancy.nl

De zorgsector beschikt over bijzonder veel persoonsgegevens en dus is binnen deze branche privacy van cruciaal belang. Terwijl veel aandacht uitgaat naar de technische kant van cyberveiligheid, is nog veel terreinwinst te boeken aan de menselijke kant. “Circa 80% van de fouten op het gebied van privacygevoelige informatie wordt namelijk veroorzaakt door menselijk gedrag”, aldus Susan Boonman van Mobilee.

Voor zorginstellingen is het daarom van groot belang om gedragsveranderingen mee te nemen in hun cyberveiligheidsstrategie. Susan Boonman, sinds 2017 actief bij Mobilee, realiseerde recent bij een zorggerelateerde organisatie gedragsveranderingen bij medewerkers in de omgang met medische gegevens. Op basis van die ervaringen formuleerde ze een vijfstappenplan waarmee organisaties gedragsveranderingen op het gebied van cyberveiligheid kunnen bewerkstelligen.

1: Breng de gewenste gedragsveranderingen in kaart

“Om een echte verandering te realiseren, zijn we gestart met het in kaart brengen van de huidige situatie en het bepalen van de uiteindelijke doelsituatie”, aldus Boonman. “Medewerkers die binnen deze organisatie met medische gegevens werken zijn geïdentificeerd en hun werkproces is inzichtelijk gemaakt. Zo voerden we gesprekken met medische professionals, administratieve medewerkers, leidinggevenden, de afdeling risk & compliance, juridische zaken en ICT.”

Hieruit bleek dat op verschillende vlakken aanpassingen gewenst waren, vertelt Boonman: “Zoals bijvoorbeeld organisatorische veranderingen en aanpassingen op het gebied van ICT, maar ook andere gedragingen van de medewerkers zelf. Daarnaast kwam daar voren dat regels explicieter zouden moeten zijn, dat bij diverse mensen het kennisniveau wel een opfrisbeurt kon gebruiken en dat de organisatie behoefte heeft aan diverse ondersteunende maatregelen op organisatorisch en technisch gebied.”

Focus op menselijk gedrag voor betere cybersecurity in de zorg

2: Zoek afstemming met leiders

Om de gewenste veranderingen door te voeren is eerst een pilot opgezet voor één afdeling. “In de pilot hebben we bepaalde werkprocessen veranderd. We keken bijvoorbeeld hoe mensen samenwerken en op welke manier ze dan (medische) informatie delen. Vervolgens keken we samen met deze medewerkers hoe dit slimmer of beter kon en hoe we dat konden doorvoeren voor de hele afdeling”, laat de Medior Consultant van Mobilee weten.

Toen dit het gewenste effect bleek te hebben, zijn de voorgenomen veranderingen voorgelegd aan de directie. “Dit werd vervolgens toegelicht aan de managers en teamleiders. Op deze manier werd de hele organisatie meegenomen in het veranderingstraject.” 

3: Richt ondersteunende maatregelen in

Om de gewenste gedragsveranderingen te realiseren, bleek dat verandering op organisatorisch en ICT-niveau eveneens nodig was: Boonman: “Bijvoorbeeld op het gebied van autorisaties, maar ook een aangescherpte wijze van organiseren en aansturen. Zo hebben we onder andere via een sharepointpagina inzichtelijk gemaakt wie binnen de organisatie welke informatie met elkaar mag delen. En dat wordt gewaardeerd.” 

Hierdoor kunnen medewerkers van deze zorggerelateerde organisatie nu een collega opzoeken en zien of deze toegang mag hebben tot bepaalde informatie. “Handig, want zo weet je gelijk of je iets met iemand mag bespreken of niet”, aldus Boonman, die toevoegt dat deze veranderingen eerst zijn doorgevoerd: “Dat komt omdat we pas nieuw gedrag kunnen stimuleren en verwachten als we medewerkers voorzien van nieuwe tools en technieken.” 

4: Ontwikkel materiaal voor alle betrokkenen

Om het voor alle betrokkenen zo makkelijk mogelijk te maken, ontwikkelde Mobilee voor verschillende doelgroepen verschillende soorten materialen. “Zo hebben we een toolkit voor leidinggevenden ontwikkeld. Hierin vinden ze terug wat hun verantwoordelijkheden zijn als leidinggevende en welke kennis er bij hun medewerkers aanwezig moet zijn. De voorbeelden uit de toolkit zijn op de afdeling van de leidinggevende afgestemd, zodat zij deze in hun werkoverleggen konden doornemen”, zegt Boonman. 

“80% van de fouten op het gebied van privacygevoelige informatie wordt veroorzaakt door menselijk gedrag.”
– Susan Boonman, Mobilee

Daarnaast heeft Mobilee ook een handleiding voor medische professionals gemaakt: “Daarin staat welke activiteiten ze kunnen ondernemen. Deze activiteiten hebben we gebaseerd op wettelijke voorschriften en per voorschrift zijn vervolgens een aantal taken gedefinieerd. Het is belangrijk om dit zo concreet mogelijk te maken. Bijvoorbeeld: voer een kennismakingsgesprek met medewerkers die nieuw in dienst komen en heb dan aandacht voor onderwerp x, y en z.” 

Verder creëerden de experts van het adviesbureau een overzichtelijke folder voor medewerkers. “Daarin staat alle relevante kennis over privacy en persoonsgegevens. Handig, want zo kunnen ze altijd even controleren wat de regels ook alweer zijn. Na de vakantie kunnen deze zomaar wat verder weggezakt zijn tenslotte. Wat er in zo’n folder staat? Bijvoorbeeld wat geanonimiseerde gegevens zijn en wat dat betekent voor het gebruik. Of welke communicatiekanalen geschikt zijn, zoals chat, email of post”, legt Boonman uit. 

5: Laat teams of afdelingen één voor één over gaan

“In deze casus zijn er ook in het werkproces wijzigingen aangebracht. In gesprekken met individuele teamleiders hebben we de taken en processen van hun team onder de loep genomen en gekeken wat we konden optimaliseren. Afdelingen met de teams die daaronder vielen zijn één voor één over gegaan naar de nieuwe situatie. Hierdoor kunnen eerder overgestapte teams de andere teams inspireren. Bovendien konden we wanneer nodig nog bijsturen”, besluit Boonman.


Profiel
Meer nieuws over
×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners Prowareness PwC Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup