Veel zorgorganisaties zijn nog druk bezig hun medewerkers veilig te leren mailen en appen. Daar kwam vorig jaar generatieve AI bij. Sietske Rozie: ‘Veel medewerkers zien te weinig de risico’s voor het gebruik van Large Language Models als ChatGPT. Verbieden is naar onze mening niet de beste manier om hiermee om te gaan. veilig gedrag stimuleren wel.
AI heeft de zorg veel te bieden, maar zorgt ook voor nieuwe uitdagingen op het gebied van informatieveiligheid, vindt Sietske Rozie. Ze verzorgt via het programma Informatieveilig Gedag in de Zorg scholingen. “We trainen al een paar jaar de informatieveiligheid professionals van zorgorganisaties. We willen het gedrag van medewerkers begrijpen door analyse. Zo kunnen we de juiste interventie kiezen om het gedrag te verbeteren ten aanzien van de informatieveiligheid en privacy.”
Sietske Rozie verzorgde in april 2024 namens Informatieveilig Gedrag in de Zorg een sessie op Zorg & ict. Dat deden collega’s van haar twee jaar geleden ook. “Maar we zijn nu een aantal stappen verder. Toen was De Wegwijzer nog niet geïmplementeerd, nu wel. We kennen onze doelgroep beter en we weten waar ze behoefte aan hebben en waar ze op vastlopen. Daarnaast weten we nu beter hoe we bestuurders handelingsperspectief kunnen bieden op het gebied van informatieveiligheid en privacy.”
Automatische piloot
Rozie: “De intentie van medewerkers in de zorg is echt goed, maar we functioneren als mens nu eenmaal allemaal 95 procent van de tijd op de automatische piloot en ons gedrag is dus grotendeels onbewust. Zorgmedewerkers denken in de ochtend echt niet ‘laat ik eens kijken hoeveel datalekken ik vandaag kan veroorzaken’.
Maar tijdens het werk gaat toch vaak mis. En dat snap ik heel goed. Zeker als de tijd dringt, is het heel verleidelijk om ‘even een mailtje’ te sturen via onbeveiligde mail of toch even WhatsApp te gebruiken in plaats van bijvoorbeeld Siilo. Of als de werktelefoon leeg is en er geen oplader in de buurt is toch maar even de privételefoon te gebruiken. En hoeveel mensen vergeten niet de computer te vergrendelen als ze even weglopen van hun werkplek?”
Onveilig gebruik AI
AI zorgt voor nieuwe uitdagingen. Programma’s zoals ChatGPT zijn nog zo nieuw dat veel mensen niet weten hoe ze die veilig kunnen gebruiken. Maar het is wel voor iedereen toegankelijk en beschikbaar.
Rozie: “Tijdens een online bijeenkomst gaven de informatieveiligheidsprofessionals uit ons netwerk aan dat ze zien dat zorgmedewerkers Large Language Models zoals chat GPT gebruiken. Vrijwel geen enkele zorgorganisatie heeft al gedragscodes of huisregels over dit gebruik opgesteld.”
Huisregels gedeeld
“Wij hebben toen de huisregels omtrent het toepassen van LLM’s van het MUMC gedeeld omdat zij daar al verder in waren. Je kunt je voorstellen dat ChatGPT kan helpen bij het samenvatten van de notulen van de vakgroep-vergadering of bij het vinden van een differentiaal diagnose op basis van anamnese en aanvullende onderzoeken. En dat gaat dan alleen nog over tekst. Denk ook aan audio en beeld als input voor dergelijk AI-modellen.”
“Vanuit instanties, netwerkorganisaties en VWS zijn er nog geen regels voor het gebruik van large language modules. En er is geen controle op. Iedere medewerker kan een account nemen. Er zijn al betaalde en zelfs zakelijke accounts mogelijk voor bedrijven waarvan OpenAI aangeeft dat ze beter beveiligd zijn. De vraag is wat wijsheid is.
“Je zou natuurlijk vanuit de ICT-afdeling van de zorgorganisatie kunnen loggen of en wanneer je medewerkers op hun werk naar de website van Open AI gaan voor ChatGPT. Maar wat doe je daar dan mee? Het gebruik verbieden is volgens mij niet de weg. Je kunt je medewerkers beter leren hoe ze het veilig kunnen doen. Het doelgedrag zoals wij dat noemen, zou kunnen zijn: verantwoord gebruik van LLM’s. Dan moet je daarna kijken hoe je dat kunt bereiken. Vergelijk het met een peuter die de trap op wil. Je kunt het traphekje dichtlaten, maar je kunt de peuter ook leren veilig de trap op te komen. Daar heeft hij uiteindelijk meer aan.”
De vloer op
Gedragsverandering bereik je niet van achter een bureau. Waar het volgens Rozie allemaal om draait, is de vloer op gaan. “Kijk mee over de schouder van zorgmedewerkers. En pluis hun gedrag helemaal uit. Vraag ze ook waarom ze dingen doen. Daar wordt de relatie met de medewerkers beter van. Ze voelen zich gehoord als ze kunnen uitleggen waarom ze bijvoorbeeld programma’s om veilig te mailen niet gebruiken.”
“Ik herinner me een gesprek met een medisch specialist. Ik vroeg hem of hij Zivver gebruikte om veilig te mailen. Hij gaf aan dat hij dat programma niet gebruikte omdat hij zich niet serieus genomen voelde. Hij gaf aan dat hij de hele dag met geweldige medische apparatuur werkte. Hij had geen om met matige software te moeten werken.”
“Als je dat weet, kun je een maatregel nemen die ook wel werkt. Als je het niet vraagt, ontdek je niet dat bijvoorbeeld de instelling van de Zivver software niet juist is. Als de zorgprofessional jou als informatieveiligheidsprofessional niet kent of niet weet te vinden, zal hij of zij misschien denken dat het niet belangrijk gevonden wordt in de organisatie.”
“Er gaat heel veel geld naar e-learnings, voorlichting, postercampagnes etc over informatieveiligheid en privacy. Maar er wordt nog te weinig gemeten wat het effect is. In ons programma geven we duidelijke richtlijnen om de informatieveiligheid te verbeteren. Kies je doelgedrag en begin met een meting. Analyseer het gedrag van de medewerkers door met hen in gesprek te gaan. En kijk wat je gaat aanpakken. Hou daarbij goed de doelgroep voor ogen en kies je interventies op maat. Een chirurg benader je anders dan een groep medisch secretaresses. Kies je interventies op maat.”
Zorgbestuurders
Een nieuwe doelgroep voor dit jaar zijn de zorgbestuurders. Het programma richt zich nu extra op hen omdat informatieveilig gedrag in veel organisaties te weinig bestuurlijke aandacht krijgt. Vaak gebeurt dat volgens Rozie pas als er een concrete aanleiding is, zoals een audit, een steekproef door de IGJ, een boete van de AP of een cyberaanval.
“We merken dat het voor de medewerkers die vanuit hun rol (mede)verantwoordelijk zijn voor informatieveiligheid en privacy lastig is om genoeg draagvlak te krijgen. We onderzoeken nu wat zorgbestuurders concreet gaat helpen hierbij en gaan hen dit jaar op verschillende manieren suggesties bieden voor handelingsperspectief op dit thema.”