Wat
Je start met het definiëren van je belangrijkste informatieveiligheidsprobleem. Kies hier een probleem waarvan je vermoedt dat het gedrag van medewerkers de informatieonveiligheid vergroot.
Je start met het definiëren van je belangrijkste informatieveiligheidsprobleem. Kies hier een probleem waarvan je vermoedt dat het gedrag van medewerkers de informatieonveiligheid vergroot.
Misschien heb je al een idee met welk onveilig gedrag je aan de slag wilt. Misschien heb je zelfs al een hele lijst. In deze wegwijzer gaan we ervan uit dat je altijd kiest voor één specifiek probleem. Zo kun je dit gestructureerd aanpakken en ervaring opdoen voor volgende trajecten. Ook voor medewerkers is het beter te hanteren als ze niet op alles tegelijk hoeven te letten.
Het is belangrijk om te werken aan een onderwerp dat écht een probleem is voor jouw organisatie. Dat andere zorgorganisaties onderwerp A of B aanpakken, wil niet zeggen dat dat ook voor jullie de beste keuze is. Hoe bepaal je nu wat voor jouw organisatie de beste keuze is?
Om tot een gefundeerde keuze te komen wat de focus gaat worden binnen jouw organisatie, doe je het volgende:
Wanneer spreek je over een informatieveiligheidsprobleem? Een probleem is een situatie waarin beschikbaarheid, integriteit of vertrouwelijkheid van gegevens niet gewaarborgd is of waarin je niet voldoet aan toepasselijke wetgeving zoals de Algemene verordening gegevensbescherming (AVG).
Hoe ga je vervolgens te werk?
Maak een lijst van problemen in jouw organisatie, die (mede) veroorzaakt worden door informatieonveilig gedrag. Je kunt daarbij bijvoorbeeld putten uit onderstaande bronnen.
Interne bronnen
Externe bronnen
Je gaat per probleem een aantal zaken in beeld brengen.
Is het probleem een bedreiging voor waar jullie als organisatie voor staan, oftewel jullie organisatiewaarden? Hieronder staan enkele voorbeelden van zulke waarden. Genoemde voorbeelden overlappen soms, of zijn soms zelfs tegenstrijdig. Reden daarvoor is dat zorgorganisaties verschillend zijn en dat waar ze voor staan dus ook verschilt.
Daarnaast is het probleem waarschijnlijk een concrete bedreiging voor de informatie, die jullie nodig hebben om jullie taken te kunnen uitvoeren. Door een goed beeld te krijgen van de omgeving van het probleem kun je de eventuele impact beter beoordelen.
Een manier om die omgeving systematisch te onderzoeken, is de MAPGOOD methode*. Je beantwoordt daarbij de volgende vragen:
Als je dat in kaart hebt, ga je ook naar de volgende aspecten kijken.
Rangschik de problemen van ernstige gevolgen naar minder ernstige gevolgen. Je kunt dit doen door middel van een analyse op basis van meerdere criteria (multicriteria-analyse), waarbij je onder andere negatieve gevolgen met elkaar kunt vergelijken en scoren. Een van de criteria die je hier bijvoorbeeld in kunt meenemen, is hoe vaak het probleem voorkomt of de kans heeft voor te komen.
Door dit goed in beeld te brengen, kun je heel concreet bij je opdrachtgever of Raad van Bestuur aangeven hoe urgent en belangrijk de problemen zijn ten opzichte van elkaar. De uitkomst van deze analyse is een prioritering van de problemen in de organisatie. Gebruik het werkblad Multicriteria-analyse voor de opzet van de analyse. Hieronder zie je een voorbeeld van een uitgewerkte multicriteria-analyse.
* Handreiking Diepgaande Risicoanalyse Methode Gemeenten – VNG / Informatiebeveiligingsdienst voor gemeenten (2019).
Bepaal allereerst of de oplossing van het probleem ligt in het aanpakken van het gedrag. Dit is een vereiste. Het zou namelijk ook kunnen dat je het probleem efficiënter kunt aanpakken door bijvoorbeeld processen of systemen aan te passen. Dan hoef je de medewerkers niet te belasten met interventies en aanpassing van hun gedrag. Als je tot de conclusie komt dat de beste oplossing (waarschijnlijk) te vinden is in het gedrag, dan bepaal je vervolgens welk probleem de hoogste prioriteit heeft op basis van de impact (stap B). Met dit probleem ga je aan de slag in de volgende stappen, waarin je onder andere een nadere probleemanalyse gaat doen.
Essentieel hierbij is altijd te zorgen voor draagvlak bij het bestuur voor je keuze. Bestuurders moeten het probleem belangrijk vinden en de aanpak ervan steunen. Dit komt ook terug bij de probleemanalyse.
Na je keuze voor het probleem formuleer je een gewenst resultaat. Je omschrijft hoe de situatie moet zijn als het probleem is opgelost.
Je kunt zoveel problemen of gevolgen toevoegen aan de analyse... als je wilt. De weging per gevolg bepaal je als organisatie (totale weging van alle gevolgen moet op 1,0 uitkomen). Het resultaat is een prioritering van de problemen in de organisatie.
Deel je volledige lijst met problemen met degene die verantwoordelijk... is voor de implementatie van NEN 7510. Misschien hebben jullie problemen ontdekt die nog niet bekend waren.
Betrek je collega’s uit het operationele proces bij het formuleren... van het probleem. Dit vergroot de kans dat je met het juiste probleem aan de slag gaat en je creëert bovendien draagvlak.
Een organisatie heeft ontdekt dat medewerkers foto’s en video’s van cliënten op privéapparaten opslaan. Dit is een probleem, want je weet niet waar deze privacygevoelige informatie terecht kan komen. Uit de probleemanalyse blijkt dat binnenkort een nieuwe technische oplossing geïmplementeerd wordt waarmee dit probleem verholpen gaat worden. Specifiek gaat het om een technische omgeving waarin het gewenste gedrag zal plaatsvinden.
Ook al gaat het hier om informatieveilig gedrag, toch is het dan op dit moment geen geschikt onderwerp om mee aan de slag te gaan. Medewerkers kunnen het gewenste gedrag namelijk nog niet vertonen, aangezien het in een technische omgeving plaatsvindt die er nog niet is.
Let op! Bij het implementatietraject van de nieuwe oplossing mag de opleiding van medewerkers niet ontbreken. Hierin moet ook informatieveiligheid een plek krijgen.
Let goed op de impact voor jouw organisatie. Pas op... voor paniekvoetbal naar aanleiding van nieuwsberichten.
Uit de probleemanalyse in stap 2 kan blijken dat dit... probleem toch niet geschikt is om op dit moment mee aan de slag te gaan. Omdat je in de probleeminventarisatie meerdere problemen hebt geformuleerd, kun je dan het eerstvolgende probleem oppakken.
Om ervaring op te doen met deze wegwijzer, kun je... beginnen met een klein probleem.