Informatieveiligheid is van groot belang in de zorg. Het gedrag van medewerkers speelt een cruciale rol in het veilig houden van patiëntinformatie. Want informatie wordt niet veiliger als iemand iets weet, maar pas als iemand iets doet. Een wegwijzer met stappenplan helpt bij gedragsverandering.
Hoewel de meeste zorgprofessionals wel weten hoe ze informatieveilig moeten werken, doen ze het lang niet altijd. Bewustwording alleen is niet genoeg, het gaat om het daadwerkelijk doen. Dit zeggen gedragsdeskundigen Marlie Oosterik en Martine van de Merwe van ECP | Platform voor de Informatiesamenleving. “Iets weten is niet genoeg, zegt Van de Merwe. “Het is gedrag telt als je wilt dat informatie veiliger wordt verwerkt.”
Gedrag veranderen
Oosterik en Van de Merve richten zich op informatieveiligheidsprofessionals. Dat kan iemand van de afdeling ICT zijn, maar ook een functionaris gegevensbescherming of privacy officer, een digicoach, een beleidsmedewerker of bestuurder. “Het is behulpzaam om je te verplaatsen in het perspectief van de zorgmedewerker. Waarom doet hij wat hij doet? Pas als je dat weet, kun je de juiste acties uitzetten om je gewenste doel te bereiken”
Persoonsgegevens veilig
Zorgverleners moeten er altijd op kunnen vertrouwen dat zij toegang hebben tot correcte en volledige patiëntinformatie. En patiënten en cliënten moeten erop kunnen vertrouwen dat hun persoonsgegevens veilig zijn bij hun zorgverleners.
Toen Oosterik en Van de Merwe startten met het programma Informatieveilig gedrag in de zorg in 2019 was er vanuit de Tweede Kamer een vraag geweest om iets te doen aan informatieveiligheid in de zorg.
Die vraag kwam na verschillende veiligheidsincidenten die hadden plaatsgevonden. De digitalisering van de zorg nam allerlei nieuwe risico’s met zich mee, zoals datalekken, ransomware-aanvallen en andere incidenten rondom informatieveiligheid en privacy. Veel zorgorganisaties werken daarom actief aan het voldoen aan bijvoorbeeld de NEN 7510 en de AVG.
Factsheets en trainingen
Maar dat is niet genoeg. Juist de professionals in de zorg spelen een cruciale rol in het veilig houden van gegevens. Om hen daarvan bewust te maken, zijn er allerlei programma’s en campagnes gestart.
Zonder te weten wat de effectiviteit van al die acties is, concluderen Oosterik en Van de Merwe na een inventarisatie. “We zijn gaan kijken wat er al allemaal was aan materialen voor bewustwording in zorg. Er is geen gebrek aan e-learnings, escape rooms, factsheets, en trainingen”, aldus Van de Merwe. “Toch leidt dat niet tot de gewenste resultaten. Daarom hebben we een andere insteek gekozen.”
“De basis daarvoor was het boek Het gedragsveranderingswiel van Susan Michie. Met deze methode hebben we een aantal pilots gedaan bij verschillende organisaties in de zorg. Daarin hebben we de aandacht niet gericht op bewustwording maar op gedrag. We hebben het wetenschappelijke framework praktisch gemaakt door een stappenplan te ontwikkelen voor iedere organisatie in de zorg, de Wegwijzer. Want bewustwording is natuurlijk mooi, maar de informatie wordt niet veiliger als iemand iets weet, maar pas als iemand iets doet of juist niet doet. Daar zijn we ons op gaan richten.”
Stappenplan
De Wegwijzer met stappenplan helpt organisaties bij het verbeteren van de informatieveiligheid door heel gericht het gedrag van collega’s te analyseren en te veranderen. Dat voorkomt dat er maatregelen worden getroffen waarvan niemand precies weet wat de effectiviteit is, licht Van de Merwe toe.
“Vaak passen organisaties een interventie toe die ze als tip van anderen hebben gekregen of omdat ze het leuk vinden. Ze weten niet of het echt past bij het probleem van die organisatie. Ondertussen kosten de interventies wel heel veel geld en tijd, ook van de zorgprofessionals. En als die ergens tekort aan hebben, is het tijd.”
Digitalisering
Informatieveiligheid krijgt met de digitalisering van de zorg steeds meer prioriteit binnen zorgorganisaties, stelt Oosterik. “Ook de capaciteit neemt toe om hier beter mee om te gaan. Dat heeft onder meer te maken met al die verschillende incidenten van de afgelopen jaren. Toch is het niet altijd zo dat het echt een vaste plek heeft gekregen in organisaties. De urgentie is groot en we moeten er echt iets mee. De risico’s worden steeds groter.”
Geen papieren dossier
Ook onze groeiende afhankelijkheid van digitale gegevensverwerking draagt bij aan die urgentie, gaat Van de Merwe verder. “Vroeger kon je nog terugvallen op een papieren dossier, maar dat is niet meer. Als het internet wegvalt, kun je er niet meer bij. Ook zijn risico’s, zoals hacken, groter geworden. Een kast met dossiers is misschien kwetsbaar, maar een datadief moet dan op die plek zijn. Nu we alles op internet hebben zijn de risico’s enorm, de hele wereld kan erbij.”
Nieuwe kansen
Met het programma hebben Oosterik en Van de Merwe dan ook als doel gesteld om informatieveiligheid te vergroten. “Dat doen we door het bieden van een nieuw perspectief en een nieuwe methode”, stelt Oosterik. “Mensen zijn nog niet zo gewend om in gedragstermen te denken dus deze aanpak en perspectief bieden nieuwe kansen, mogelijkheden en oplossingen.”