Aan de slag met informatieveilig gedrag
Lourens Dijkstra (CISO bij Lentis en adviseur bij ECP)
Hieronder lees je de samenvatting van de sessie ‘Aan de slag met informatieveilig gedrag’ van
Introductie
Lourens Dijkstra, CISO bij Lentis en adviseur bij ECP, inspireerde de zaal met zijn ervaringen tijdens het implementeren van enkele maatregelen voor informatieveiligheid bij Lentis, een GGZ & VVT organisatie in het noorden van Nederland. De sessie startte met enkele vragen aan de zaal, zoals de inschatting van het niveau van informatieveiligheid in de eigen organisatie, de eigen functienaam en branche. Dit gaf een mooi beeld van de aanwezigen.
Verdieping onderwerp
Even terug in de tijd… In 2018 bekeken tientallen onbevoegde medewerkers van een ziekenhuis het dossier van een bekende reality-ster. Dit incident was voor het VWS de aanleiding om te gaan nadenken over de bewustwording van privacy in de zorg. Daarop werd een groep van experts opgericht om aan de slag te gaan met dit thema.
Het werd de experts al snel duidelijk dat bewustzijn niet automatisch leidt tot informatieveilig gedrag, de acties die gekozen werden, werden op basis van buikgevoel gekozen en de effectiviteit van acties werd al helemaal niet gemeten. De expertengroep ging hiermee aan de slag en gebruikte het gedragsveranderingswiel van Michie om interventies en maatregelen voor gedragsverandering te ontwerpen en evalueren.
Er werd een onderzoek en vier pilots uitgevoerd, waarbij de volgende kernelementen in acht genomen werden:
- Samen aan de slag: vorm een team, laat de CISO dit niet alleen doen
- Focus op gedrag: wat doen mensen nu echt?
- Meetbaar maken
Verdieping resultaat
Bij Lentis werd een plan van aanpak onderzocht om het “veilig mailen” van patiëntgegevens naar buiten te stimuleren. Hiervoor werden 6 stappen doorlopen:
Stap 1. Voorbereiden: Kies het probleem en vorm een multidisciplinair team.
“Er wordt veelvuldig onveilig privacy gevoelige informatie van patiënten en medewerkers naar externe mailadressen gemaild”.
Stap 2. Doelgedrag bepalen: Welk gedrag wil je bereiken en voer een 0-meting uit.
"Eigenaren van een Lentis mailaccount delen privacy gevoelige informatie van patiënten en medewerkers met externe mailadressen altijd veilig”.
Stap 3. Gedragsfactoren onderzoeken: Op basis van het COM-B model werd onderzocht welke gedragsfactoren hier van invloed zijn.
3.1 Omgeving: vb. “Medewerkers zijn onbekend met het beleid en de verplichting”.
3.2 Capaciteit: vb. “Ik weet niet wanneer ik veilig moet mailen”.
3.3 Motivatie: vb. “Ik heb geen tijd om uit te zoeken hoe ik veilig moet mailen”.
Stap 4. Interventies kiezen: Op basis van de gedragsfactoren die hier van toepassing zijn, kan je bepalen welke interventies nuttig en efficiënt kunnen zijn.
Stap 5. Interventies uitvoeren: Kies interventies en voer deze uit.
- Vb. Pop up - Zodra je iets extern wil gaan mailen, komt de pop up om mensen te attenderen op "veilig verzenden".
Stap 6. Verankeren en rapporteren: Meet de effectiviteit van de interventies.
Tot slot gaf Lourens Dijkstra nog enkele leerpunten mee. Wil je meer weten? Bekijk dan ook de wegwijzer op de website: www.informatieveiliggedragzorg.nl.
Deze samenvatting is geschreven door