Goede en veilige zorg kan niet zonder een goede en veilige informatievoorziening. Zorgverleners moeten er altijd op kunnen vertrouwen dat zij toegang hebben tot correcte en volledige patiëntinformatie. En patiënten en cliënten moeten erop kunnen vertrouwen dat hun persoonsgegevens veilig zijn bij hun zorgverleners. Tegelijkertijd digitaliseert de zorg. Risico’s op datalekken, identiteitsfraude en andere incidenten rondom informatieveiligheid en privacy groeien daardoor. Veel zorgorganisaties werken daarom actief aan het voldoen aan de NEN 7510 en de AVG. Ook medewerkers spelen een cruciale rol in het veilig houden van gegevens. Daarom maken organisaties hun medewerkers bewust van de gevaren via awarenessprogramma’s en campagnes. Maar is dat de beste weg?
De Wegwijzer
Het waarom
Bewustzijn leidt niet automatisch tot informatieveilig gedrag
We gaan er meestal van uit dat de mens een rationeel wezen is. Oftewel: we denken dat als we vertellen wat de bedoeling is (bijvoorbeeld uitleg geven via e-mail of presentaties), dat medewerkers dit begrijpen en daar hun gedrag op aanpassen. Helaas, niets is minder waar: iets weten, is niet automatisch dat ook doen. Kijk maar naar een gezonde leefstijl. Je kunt wel weten dat chocola en chips niet gezond voor je zijn en het ook belangrijk vinden om dit niet meer te eten. Toch zul je de verleiding niet altijd kunnen weerstaan als je het onder handbereik hebt. Dit geldt ook voor ons gedrag bij informatieveiligheid. Je weet dat een veilig en uniek wachtwoord belangrijk is. Maar als je een nieuw account aanmaakt, is het soms toch verleidelijk om een wachtwoord te gebruiken dat je al ergens anders gebruikt. Bewustzijn en kennis vergroten is dus belangrijk, maar dit leidt niet automatisch tot informatieveiliger gedrag.
Maar hoe zorg je dan voor informatieveiliger gedrag bij de collega’s in jouw organisatie? Zonder dat je hen belast met dure bewustwordingsactiviteiten die wellicht geen effect hebben? Deze wegwijzer helpt je bij het verbeteren van de informatieveiligheid door heel gericht het gedrag van jouw collega’s te analyseren en te veranderen. Vanzelfsprekend kun je deze aanpak telkens op een nieuw probleem toepassen. We wensen je veel succes en plezier bij het doorlopen van alle stappen. En vergeet niet: ga vooral samen aan de slag met informatieveilig gedrag!
Voorbeelden
Een e-mail van de leidinggevende waarin staat welke veilige software we precies moeten gebruiken bij het versturen van gevoelige data naar externen (overdracht van kennis) kan nuttig zijn als blijkt dat medewerkers niet goed weten welk programma ze moeten gebruiken. Maar als medewerkers de software onduidelijk in het gebruik vinden, dan is een interventie van een heel andere orde nodig (bijvoorbeeld een gesprek met de leverancier om te bekijken of er veranderingen doorgevoerd kunnen worden in de gebruiksvriendelijkheid van de software).
Ook al wordt ons gedrag niet volledig bepaald door onze manier van denken, toch hebben ze wel een sterke relatie met elkaar. Door de manier van denken van je doelgroep (wat deze denkt en voelt over een onderwerp) te veranderen, kun je ook het gedrag van je doelgroep veranderen. Dus door meer bewustzijn te creëren voor het onderwerp informatieveiligheid, kun je ook informatieveilig gedrag stimuleren. Anderzijds zorgt ook een verandering van gedrag voor een verandering van de manier van denken. Met het bevorderen van informatieveilig gedrag stimuleer je uiteindelijk ook het bewustzijn rondom informatieveiligheid. Hoe vaker je je informatieveilig gedraagt, hoe meer je dit als onderdeel gaat zien van je identiteit en andersom.
Als een doelgroep vaker phishingmails gaat melden bij de organisatie, zal dit hun bewustzijn rondom informatieveiligheid verhogen. Dit verhoogde bewustzijn kan ook weer doorwerken op ander gedrag zoals het veilig versturen van databestanden met persoonsgegevens. Gedragsverandering is daarom tweerichtingsverkeer. Wat we denken, bepaalt wat we doen, wat we doen bepaalt wat we denken (Change-Mindset Model, Van Baaren & Van Leeuwen, 2020). Het veranderen van de manier van denken van een doelgroep is een grote uitdaging die in de praktijk lang niet altijd lukt. Focussen op het veranderen van het gedrag van een doelgroep zorgt er echter voor dat een verandertraject meer behapbaar wordt en de kans op succes groter. Gedrag is namelijk veel zichtbaarder én meetbaarder dan een manier van denken. Daarom kiezen we voor een benadering die gericht is op het effectief veranderen van specifieke gedragingen.
Veelgestelde vragen
Voor de aanpak van de Wegwijzer maakten we gebruik van het gedragsveranderingswiel van Michie*. Deze is opgesteld vanuit negentien gedragsveranderingsraamwerken en biedt hiermee een samenvatting van de meest actuele kennis op dit gebied. Om dit voor de praktijk van zorgorganisaties toepasbaar te maken, deden we in 2020 enkele pilots in verschillende zorgbranches. In iedere pilot hielp een multidisciplinair kernteam van deskundigen de organisatie om oplossingen voor informatieveiligheidsproblemen te vinden. Zo scherpten we de methode steeds verder aan op basis van de zorgpraktijk. En de pilotorganisaties? Zij voelden zich geholpen door de inbreng van onze kennis en de opbrengst van de pilots.
* Michie, S., Atkins, L en West, R. (2018). Het gedragsveranderingswiel. 8 stappen naar succesvolle interventies.
Uit eigen onderzoek weten we dat er een overvloed bestaat aan interventies om de informatieveiligheid te verhogen. Denk maar aan het enorme aanbod van klassikale trainingen, e-learnings, posters, escaperooms, nieuwsbrieven, games etc. Wat we hierbij zien, is dat deze interventies vaak op onderbuikgevoel worden gekozen. Bijvoorbeeld omdat de e-learning ook bij een andere organisatie is ingezet en goed is ontvangen. En hoewel deze interventies met de juiste intenties gekozen worden, kan er toch een mismatch ontstaan tussen de interventie en wat er nodig is om het gewenste gedrag te stimuleren bij zorgmedewerkers. Het resultaat kan zijn dat de gekozen interventie mogelijk niet de oplossing is voor het probleem. Of erger nog: de interventie werkt averechts en medewerkers krijgen bovendien ook een aversie tegen het onderwerp informatieveiligheid. Daarnaast weten we dat de kosten voor deze interventies hoog kunnen zijn. In 2020 deed Gartner onderzoek naar hoeveel omzet er wereldwijd gemoeid is bij de inzet van security-awarenesstrainingen via de computer (“worldwide turnover security awareness computer based training”). En wat bleek? In 2020 was dat bedrag 700 miljoen dollar! Het kost daarnaast niet alleen de tijd die nodig is voor de uitrol van deze maatregelen, maar vraagt ook tijd en energie van zorgmedewerkers. En dat terwijl we vaak niet eens weten of de interventies die we inzetten wel effectief zijn en daadwerkelijk bijdragen aan veiliger gedrag van medewerkers.
In deze wegwijzer staan gedrag en het beïnvloeden van gedrag centraal. We kijken daarbij eerst naar de specifieke situatie, voordat we kiezen voor een manier om het gedrag te beïnvloeden. Veel organisaties zetten in op bewustwordingsprogramma’s. Dit zou een passende interventie kunnen zijn, maar om dit zeker te weten, is het goed om eerst in te zoomen op de oorzaken van het gedrag. Waarom maken medewerkers in de zorg bepaalde keuzes in het omgaan met patiënt- of cliëntinformatie? Om dit scherp te krijgen, is het belangrijk om met zorgmedewerkers het gesprek aan te gaan over hun gedrag. Op basis daarvan kun je vervolgens de juiste acties of interventies in gang zetten. Als blijkt dat de oorzaak bijvoorbeeld een gebrek is aan kennis, zet dan zeker je interventies in op informatieoverdracht.
Met deze wegwijzer ‘Aan de slag met informatieveilig gedrag’ kun je zelf aan de slag met het stimuleren van informatieveilig gedrag. Je doorloopt de weg vanaf de start. Bij elke stap staat welke acties en werkbladen hierbij horen en krijg je tips en voorbeelden. De werkbladen bij de stappen zijn voorzien van een korte instructie. Door deze werkwijze te volgen, kun je al snel stappen zetten richting een informatieveiligere organisatie. De werkbladen kun je overnemen op een flip-over of een whiteboard voor in een werksessie op locatie. In het geval je digitaal wilt werken, zijn er verschillende online samenwerkingsplatforms beschikbaar die je kunt gebruiken om de stappen van de Wegwijzer te faciliteren. Voorbeelden hiervan zijn Miro en Mural, maar wellicht zijn er in jouw organisatie andere platforms in gebruik die je hiervoor kunt inzetten.
Je start met je meest urgente informatieveiligheidsprobleem. Het gaat er niet om dat je van de ene op de andere dag alle problemen hebt opgelost, maar dat je gezamenlijk in beweging komt om informatie(on)veilig gedrag te onderzoeken en daar gericht wat aan doet. Wanneer je deze wegwijzer hebt doorlopen, ben je een stap dichterbij de oplossing van je probleem of weet je wat je moet doen om naar de oplossing toe te werken. Het belangrijkste is dat je als organisatie in beweging bent, want juist kleine stappen leiden vaak tot grote veranderingen.
De Wegwijzer geeft concreet invulling aan paragraaf 7.3 uit NEN 7510-1 en paragraaf 7.2 uit NEN 7510-2.
