Niet iedereen in de zorg weet het antwoord hierop. Gevolg? Ze lekken onbedoeld data en melden dat niet. Daardoor is de schade vaak groter dan nodig. Bij wie en hoe moet je een datalek melden? En wat kun jij doen om te zorgen dat je als organisatie leert van incidenten? Met die vragen ging een werkgroep van het programma Informatieveilig gedrag in de zorg aan de slag. Het resultaat? De toolkit ‘Melden datalek’
Datalek gemeld? Leren is wat telt!
De kans is groot dat je recent in het nieuws een datalek voorbij hebt zien komen. Maar wat is een datalek?
De zorg is kwetsbaar
Een datalek kan in iedere zorginstelling gebeuren. Gevolg voor medewerkers of patiënten? Een inbreuk op hun privacy of identiteitsdiefstal. Voor organisaties kan een datalek chantage, grote financiële schade en een deuk in het vertrouwen betekenen. Daar komt binnenkort de NIS2-richtlijn bij. Daardoor kunnen bestuurders in de zorg aansprakelijk worden gesteld voor de onveiligheid van informatie binnen hun organisaties.
Snel handelen bij een datalek
Je wilt een datalek als zorginstelling dus heel graag voorkomen. En als het gebeurt wil je snel handelen. Enerzijds om schade te beperken. Daarnaast ook om ervan te leren en te voorkomen dat het nog een keer gebeurt.
Om zorgorganisaties hierbij te helpen riep het ECP-programma Informatieveilig gedrag in de Zorg een werkgroep van 12 ervaringsdeskundigen in het leven. Een patiënt, beleids- en communicatieadviseurs, functionarissen gegevensbescherming, security en privacy officers, business & security consultants gingen samen aan de slag om een praktisch hulpmiddel te ontwikkelen voor zorgorganisaties. Met als inzet: sneller handelen bij datalekken én leren en voorkomen. Oftewel: melden en in actie komen. Want je kan technisch van alles doen om datalekken proberen te voorkomen, het is vooral gedrag dat het verschil maakt.
Is dat ook een datalek?!
De experts in de werkgroep waren het over een ding snel eens: juist handelen rond datalekken begint bij het herkennen van een datalek. Want daar gaat het regelmatig mis. Mensen weten niet altijd dat ze data gelekt hebben. De werkgroep maakte een animatie met een heldere voorbeelden van mogelijke datalekken: :
- Gegevens achterlaten na het openen van een phishing-e-mails
- het per ongeluk toevoegen van patiënt- of cliëntgegevens aan een verkeerd dossier
- sollicitatiebrieven bij de printer laten liggen
- een dossier inzien zonder dat er een behandelrelatie is
- gegevens over een patiënt op een briefje in de kantine laten liggen
Ook maakte de werkgroep een heldere plaat van het meldproces voor medewerkers, met daarop de voorbeelden van mogelijke datalekken in een handig lijstje. En welke stappen je neemt als je denkt dat er sprake is van een datalek.
Melden heeft zin!
Stap 1 is dus het herkennen van een datalek. Vervolgens is het belangrijk dat mensen weten waarom het belangrijk is om een datalek te melden. Medewerkers zien het soms als een moetje of vrezen negatieve gevolgen. Maar melden heeft zin. Vergelijk het met een verkeersongeluk. Als je iemand hebt aangereden, kun je doorrijden uit angst voor een straf, maar door de ambulance te bellen, zorg je dat het slachtoffer zorg kan krijgen. Als je een datalek meldt, kan je voorkomen dat criminelen in de positie komen te chanteren en je kan de slachtoffertes netjes informeren over wat er is gebeurd zodat ze bijvoorbeeld hun wachtwoord kunnen veranderen.
Bovendien kunnen je collega’s leren van jouw fout, zodat het niet nog een keer gebeurt. Want alles valt of staat bij informatieveiligheid bij gedrag en blijven herhalen wat wel en niet kan en mag. De werkgroep besloot daarom tot de slogan: “Datalek gemeld? Leren is wat telt!”.
Handvatten voor de informatieveiligheidsprofessional (IVP’er)
Ook de mensen die dagelijks hun best doen om de informatieveiligheid te vergroten, wilden graag concrete handvatten. Daarom maakte de werkgroep een handig voorbeeldproces: wat moet je doen als je een melding van een (mogelijk) datalek ontvangt? En hoe bepaal je of je een datalek wel of niet moet melden bij de Autoriteit Persoonsgegeven? Ook in het meldproces heeft leren een belangrijke plek.
Om het meldproces te ondersteunen wilde de werkgroep een goed meldformulier. Het blijkt best lastig om de juiste vragen te stellen aan melders. Met als gevolg dat ze vaak nog veel extra vragen aan mensen moeten stellen nadat een datalek gemeld is. Zonde van de tijd! Je wilt immers snel handelen na een datalek. En zorgmedewerkers kunnen hun tijd beter aan andere dingen besteden. Daarom is er een handig overzicht van vragen die zorgorganisaties kunnen gebruiken om hun eigen maatwerk-vragenlijst te maken met hun eigen softwareprogramma of digitaal formulier
De toolkit ‘Melden datalek’ voor iedereen beschikbaar
Datalek gemeld? Leren is wat telt!