‘Hackers worden steeds slimmer; hun aanvallen steeds geraffineerder. Dat vraagt van zorgorganisaties dat zij weerbaarder worden’, trapt Van Gennip af. ‘Voor dit webinar hebben zich mensen aangemeld met verschillende rollen. Er zijn bestuurders, information security officers, beleidsadviseurs, directeuren. En allemaal willen ze weten: hoe dan? Hoe kunnen we optimaal inspelen op de risico’s waarmee we te maken hebben?’
Digitale informatieveiligheid: van kwetsbaar naar weerbaar
Digitale weerbaarheid is niet alleen een ICT-vraagstuk. Het gaat ook over wet- en regelgeving, beleid en vooral: gedrag. Hoe zorg je dat jouw zorgorganisatie digitaal weerbaar is? Tijdens het webinar ‘Van kwetsbaar naar weerbaar’ gaven Kees Verhoeven (Online Trust Coalitie), Johnny Honing (ICTRecht) en Lies van Gennip (Informatieveilig gedrag in de Zorg) praktische tips.
Europese Digital Decade
Kees Verhoeven schetst eerst de context waarbinnen (zorg)organisaties opereren. Hij legt uit dat grote partijen in de VS, India en China ‘ongelooflijk veel invloed hebben op onze ICT-systemen. En de handelingen die wij achter onze computer verrichten.’ Deze geopolitieke context maakt dat de Europese Unie (EU) onder meer met wet- en regelgeving probeert grip te houden op de digitale machtsverhoudingen. In 2020 lanceerde Europa daartoe de Digital Decade, zo vult Honing aan. Hij vertelt dat er maar liefst 88 wetten zijn die invloed hebben op zorgorganisaties. Sommige daarvan gaan over cybersecurity & weerbaarheid. ‘Een belangrijke is NIS2, die als doel heeft het vergroten van de weerbaarheid van onze organisaties’, aldus Honing.
NIS2
In de NIS2 zijn vier belangrijke verplichtingen opgenomen. De eerste is de registratieplicht; zorgorganisaties dienen zich te registreren bij de toezichthouder IGJ. Verder hebben ze de verplichting een goede governancestructuur te implementeren. Van het bestuur wordt meer betrokkenheid verwacht. Zo moet er meer kennis zijn op het gebied van cyberbeveiliging. En kunnen bestuurders aansprakelijk gesteld worden. Dan is er nog de zorgplicht: tien maatregelen waaraan organisaties zich moeten conformeren om compliant te zijn met de NIS2. En de meldplicht, die zorgorganisaties verplicht om incidenten te melden. In Nederland wordt de NIS2 nader uitgewerkt in de Cyberbeveiligingswet.
Zorg dat de basis op orde is
Honing en Verhoeven geven de deelnemers handvatten om aan de slag te gaan met de wet- en regelgeving. Beiden stellen dat het ondoenlijk is om direct aan alle eisen te voldoen. Honing: ‘De wet- en regelgeving schrijft heel duidelijk voor wat er verwacht wordt. Maar wees realistisch in wat haalbaar is binnen je organisatie.’ Verhoeven: ‘Voor 100 procent veilig zijn is bovendien niet mogelijk. Het hoofddoel is te zorgen dat je weerbaar bent bij het gebruiken van data en digitale technologie. Het gaat erom dat je de basale dingen binnen je organisatie op orde hebt.’ Hij benadrukt dat veel elementen uit de wetgeving eigenlijk heel erg voor de hand liggen. ‘Denk aan tweefactor-authenticatie, goede afspraken over wachtwoorden.’
Doe een nulmeting
Honing en Verhoeven raden deelnemers aan het webinar aan om ‘de thermometer in de organisatie te steken’. Dus een nulmeting te houden om inzicht te krijgen in de huidige situatie, en risico’s. En te weten waar je staat ten opzichte van de wetgeving. Verhoeven: ‘Analyseer ook de digitale performance. Wat waren concrete gevaren de afgelopen tijd? Heeft de organisatie bijvoorbeeld last van DDOS-aanvallen, zijn interne patiëntendata goed beveiligd? Wat vinden jullie aanvaardbare risico’s? En wat willen jullie echt geregeld hebben?’
Houd het klein
Honing adviseert: ‘Kijk dan hoe je die concrete risico’s hanteren kunt. Maak een roadmap van maatrelen: Wat ga je de komende twaalf maanden doen? Benoem voor elke stap: wie, wat, wanneer, welke wetgeving raakt dit?’ Verhoeven: ‘Houd het vooral klein. Kies wat voor jouw organisatie het belangrijkste is. En ga die onderdelen eerst goed organiseren.’
Rapporteer en communiceer
Zorgorganisaties hoeven hierbij niet zelf het wiel uit te vinden. Honing: ‘Er zijn op het gebied van NIS2, maar bijvoorbeeld ook NEN 7510, allerhande frameworks en tools ontwikkeld.’ Deze kunnen organisaties gebruiken om een eigen compliance-toolkit samen te stellen.
Vervolgens is het cruciaal om te evalueren of de maatregelen die zijn genomen effect hebben. En om jaarlijks te rapporteren en te communiceren. ‘Verder is het uiteraard belangrijk dat er digitale competenties aanwezig zijn bij medewerkers’, aldus Verhoeven.
Stuur op gedrag
Want je bent er niet als alle wet- en regelgeving op je duimpje kent en hebt vertaald in organisatiebeleid. Dat maakt Van Gennip duidelijk. Ze vertelt dat maar liefst 60 procent van de privacy-incidenten of cybersecurity-incidenten (ook) een menselijke factor heeft. Als voorbeelden noemt ze de Barbie-casus (2019). Hierbij snuffelden medewerkers van een ziekenhuis massaal in het dossier van een bekende Nederlander. En ze refereert aan het datalek bij een laboratorium (2025). Daardoor kwamen gegevens van deelnemers aan een bevolkingsonderzoek op straat te liggen. Om dergelijke incidenten te voorkomen is het ‘buitengewoon belangrijk om de menselijke factoren te managen’.
Achterhaal de oorzaken
Zorgorganisaties proberen dat ook wel, ziet ze. Maar het lukt niet altijd, ‘omdat er met hagel wordt geschoten. Er is onvoldoende nagedacht over de werkelijke oorzaak van het onjuiste gedrag.’ Die oorzaak kan te maken hebben met cultuur, of leiderschap. Ook bewandelen medewerkers soms ‘zijpaadjes’: ze wisselen gegevens uit via WhatsApp om het ‘officiële’ systeem met de moeilijke gebruikersinterface te omzeilen. Of ze weten wel dat iets niet mag, maar doen het tóch, omdat het leuk of spannend is.
Gebruik de tools van IVGZ
Als je gedrag wilt verbeteren, moet je eerst achterhalen wat de werkelijke oorzaak is van het verkeerde gedrag, legt Van Gennip uit. ‘Ook is het essentieel dat je helder hebt wat je wilt bereiken aan goed gedrag. En dat je er interventies op zet.’
IVGZ heeft een aanpak ontwikkeld die organisaties hierbij kan ondersteunen. Met als ‘onderlegger’ de bekende stappen: plan, do, check, act (PDCA-cyclus). ‘We ondersteunen zorgorganisaties bij het toepassen van het model, bijvoorbeeld met masterclasses en webinars. Ook stellen we andere nog tools en praktische handvatten beschikbaar. Zo helpen we zorgorganisaties hun digitale weerbaarheid te vergroten.’
Blijf leren
Tot slot is het belangrijk om ‘bij te blijven’, benadrukken de sprekers. ‘De digitale transformatie gaat supersnel en de wet- en regelgeving verandert mee’, zegt Honing. ‘Dus is het belangrijk dat we blijven leren.’
Over de sprekers
Lies van Gennip is programmaleider Informatieveilig gedrag in de zorg (IVGZ) en Digivaardig in de zorg (Diva).
Johnny Honing is business manager bij ICTRecht. Hij adviseert op het snijvlak van IT, security business en compliance.
Kees Verhoeven zet zich als zzp’er in voor goed gebruik van digitale technologie door mensen, organisaties en de samenleving. Hij is kernteamlid van de Online Trust Coalitie.
Downloads en naslagwerk
Download de presentatie van Kees Verhoeven | OTC
Download de presentatie van Johnny Honing | ICTRecht
Download de presentatie van Lies van Gennip | Informatieveilig gedrag in de Zorg
