Hoe je datalekken voorkomt door informatieveilig gedrag te bevorderen (Webinar in 15 minuten terugkijken)

Datalekken halen regelmatig het nieuws. Tijdens het webinar van 15 minuten ‘Voorkomen van datalekken’ gaven Demi van Spronssen en Bettine Pluut namens Informatieveilig gedrag in de zorg (IVGZ) inzicht in het ontstaan van datalekken – en in welke rol gedrag van medewerkers daarbij speelt. Ook reikten ze informatie, voorbeelden en praktische tips aan.

‘Zorgprofessionals weten vaak niet precies waarom het belangrijk is om voorzichtig om te gaan met gegevens’, zegt Pluut. ‘Ze onderschatten bovendien de gevolgen van een datalek. In het webinar hebben we daarom veel persoonlijke verhalen gedeeld die mensen kunnen gebruiken om binnen hun organisaties bewustwording te creëren over wat datalekken zijn, hoe je ze kunt voorkomen en hoe je ze meldt. En die helpen om hierover met elkaar in gesprek te gaan.’

Onbewust

Een datalek is het onbedoeld of ongeoorloofd toegang geven tot persoonsgegevens. Of het verliezen of wijzigen daarvan. ‘Het lekken van data gebeurt vaak onbewust, maar kan wel vervelende gevolgen hebben’, zegt Van Spronssen. ‘Denk hierbij niet alleen aan financiële schade, maar bijvoorbeeld ook aan de emotionele pijn die kan ontstaan wanneer persoonlijke gegevens van patiënten op straat komen te liggen. Die aantasting van de privacy kan zelfs leiden tot een vertrouwensbreuk.’ Pluut: ‘Bovendien hebben datalekken vaak imagoschade tot gevolg. En ze kunnen de continuïteit van zorg onder druk zetten.’

Menselijke factor

Maar liefst 60 procent van alle datalekken komt voort uit het gedrag van mensen. ‘Denk aan een zorgmedewerker die patiëntgegevens deelt met een AI-chatbot’, geeft Van Spronssen als voorbeeld. ‘Of een medewerker die op een phishing link klikt.’

Hij vervolgt: ‘Dat is precies de kern van ons verhaal. Want we kunnen in de zorg wel alles “dichtzetten” met techniek, maar de belangrijkste factor bij datalekken is: gedrag. Als je als zorgorganisatie datalekken wilt voorkomen, dan is het van belang om ook in te zetten op het beïnvloeden van medewerkersgedrag.’

Tip 1: Bevorder het bewustzijn

Iedereen, en zeker de expert informatieveiligheid, kan binnen een zorgorganisatie een rol vervullen bij het vergroten van de bewustwording over datalekken.  Hoe doe je dat? Van Spronssen deelt een eerste tip: ‘Maak collega’s bewust van de schadelijke gevolgen die een datalek kan hebben.’ Pluut: ‘Je kunt er namelijk niet zomaar vanuit gaan dat zij snappen waarom het belangrijk is om geen data te lekken.’ Het programma IVGZ heeft een aantal posters ontwikkeld (gebaseerd op waargebeurde verhalen) die duidelijk maken hoeveel last mensen ervan hebben als door hun toedoen persoonsgegevens zijn gelekt. Pluut: ‘Een van de posters gaat bijvoorbeeld over een zorgverlener die op een phishing mail klikte, waardoor haar account versleuteld werd. Hierdoor kon zij haar werk niet meer doen.’ De posters geven mensen die eerder data hebben gelekt een gezicht. ‘Dit draagt bij aan het bewustzijn van de risico’s’, aldus Van Spronssen.

Tip 2: Ga met elkaar in gesprek

Ben jij in jouw organisatie of praktijk verantwoordelijk voor de informatieveiligheid? Gebruik de hulpmiddelen van IVGZ dan ook om met elkaar in gesprek te gaan. Pluut: ‘Dat gesprek zou moeten gaan over waarom je veilig moet omgaan met gegevens en over hoe je dat doet.’

Een handig hulpmiddel hiervoor is de ‘gespreksstarter’. ‘Dit is een document met korte beschrijvingen van waargebeurde praktijksituaties. Het bevat voorbeelden van kleine handelingen met mogelijk grote gevolgen’, zegt Pluut. Zoals: het zonder toestemming kijken in het dossier van een cliënt, wat tot ontslag kan leiden.

Daarnaast bevat de gespreksstarter meerdere quizvragen, bedoeld om collega’s op een speelse manier te informeren over informatieveilig gedrag en het gesprek aan te zwengelen.

Tip 3: Kies software bewust
 Veel datalekken ontstaan doordat mensen onveilige software gebruiken en daarin persoonsgegevens zetten. Denk bijvoorbeeld aan het invoeren van patiëntgegevens in een openbare chatbot. Het verdient daarom aanbeveling om enkel te werken met AI-chatbots die zijn goedgekeurd door de organisatie, legt Van Spronssen uit. Want dan is waarschijnlijk geregeld dat de gegevens lokaal worden opgeslagen en niet worden gedeeld met een

leverancier of anderen buiten de zorgorganisatie. Pluut: ‘De gegevens blijven dan binnen de virtuele muren van de organisatie.’

Is niet duidelijk of nieuwe software veilig is? Dan kun je als zorgmedewerker een stroomdiagram van IVGZ gebruiken dat helpt bij het zelfstandig maken van bewuste keuzes voor nieuwe software. Je leert met dit stroomdiagram om risico’s op het gebied van veiligheid en privacy in te schatten én wordt gewezen op de noodzaak van afstemming met de organisatie. Pluut: ‘Kom je er toch niet uit welke software je wel of niet mag gebruiken? Zoek dan contact met de ICT-afdeling voor overleg.’

Hoe je datalekken meldt

IVGZ heeft alle hulpmiddelen voor het voorkomen van datalekken bij elkaar gebracht in de Toolkit Datalek voorkomen. En mocht er onverhoopt tóch een datalek ontstaan, dan biedt de Toolkit Melden datalek uitkomst. Deze laatste bevat onder meer een kort voorbeeldformulier voor het melden van (mogelijke) datalekken. ‘Hierop staan de belangrijkste vragen die een zorgorganisatie in een meldformulier moet opnemen’, aldus Pluut.

Verder zit er een stappenplan in de toolkit om zorgmedewerkers te helpen bepalen wanneer, hoe en bij wie ze een datalek moeten melden. Pluut: ‘Goed om te weten: een datalek hoeft niet gemeld te worden bij de Autoriteit Persoonsgegevens als er is gelekt naar een betrouwbare bron.’

Pluut geeft nog aan dat het belangrijk is om partijen die eventueel getroffen worden door het datalek tijdig te informeren en een goed gesprek met hen te voeren. ‘Goede, empathische en op de ontvanger gerichte communicatie is essentieel. Dit is altijd maatwerk.’

Datalek gemeld? Leren is wat telt! Als medewerkers van zorgorganisaties meteen in actie komen bij een datalek, kan de organisatie maatregelen nemen en blijft de schade vaak beperkt. ‘Het is daarom belangrijk dat leidinggevenden en experts informatieveiligheid de medewerkers aanmoedigen om te melden. Dan heeft de organisatie namelijk een aanknopingspunt om te snappen wat er is gebeurd, wat er is misgegaan’, licht Pluut toe.

Het is cruciaal om goed te onderzoeken wat het lek heeft veroorzaakt, zodat er passende acties kunnen volgen. ‘Is er een gebrek aan bewustzijn bij medewerkers? Dan kun je bijvoorbeeld de genoemde posters en gespreksstarters inzetten’, geeft Pluut als voorbeeld.

‘Maar weten medewerkers niet wat een phishing mail is, dan moeten de acties erop gericht worden dat ze deze mails leren herkennen.’

Van elk datalek kunnen medewerkers én organisatie leren. Pluut: ‘En wie van incidenten leert, verkleint de kans op herhaling.’

Meer informatie IVGZ verzorgt masterclasses voor experts informatieveiligheid in de zorg. Zij leren hierin werken met de Wegwijzer voor informatieveilig gedrag. ‘Dit maakt ze niet alleen bewuster, maar ook bekwaam in het veilig omgaan met informatie’, aldus Pluut.

Downloads
Toolkit Datalekken voorkomen
Toolkit Melden datalek
Toolkit Veilig gebruik van AI-chatbots

Het programma Informatieveilig gedrag in de zorg wordt uitgevoerd door stichting ECP | Platform voor de Informatiesamenleving in opdracht van het ministerie van VWS.

Logo van
Logo van

Navigatie
Snel naar
Handige links
Footer 4

© 2026 - informatieveiliggedragzorg.nl