De Wegwijzer
×
De Wegwijzer
Stap 1.1

Probleem kiezen

Wat

Je start met het definiëren van je belangrijkste informatieveiligheidsprobleem. Kies hier een probleem waarvan je vermoedt dat het gedrag van medewerkers de informatieonveiligheid vergroot.

Hoe

Misschien heb je al een idee met welk onveilig gedrag je aan de slag wilt. Misschien heb je zelfs al een hele lijst. In deze wegwijzer gaan we ervan uit dat je altijd kiest voor één specifiek probleem. Zo kun je dit gestructureerd aanpakken en ervaring opdoen voor volgende trajecten. Ook voor medewerkers is het beter te hanteren als ze niet op alles tegelijk hoeven te letten.

Het is belangrijk om te werken aan een onderwerp dat écht een probleem is voor jouw organisatie. Dat andere zorgorganisaties onderwerp A of B aanpakken, wil niet zeggen dat dat ook voor jullie de beste keuze is. Hoe bepaal je nu wat voor jouw organisatie de beste keuze is?

Om tot een gefundeerde keuze te komen wat de focus gaat worden binnen jouw organisatie, doe je het volgende:

Wanneer spreek je over een informatieveiligheidsprobleem? Een probleem is een situatie waarin beschikbaarheid, integriteit of vertrouwelijkheid van gegevens niet gewaarborgd is of waarin je niet voldoet aan toepasselijke wetgeving zoals de Algemene verordening gegevensbescherming (AVG).

Hoe ga je vervolgens te werk?
Maak een lijst van problemen in jouw organisatie, die (mede) veroorzaakt worden door informatieonveilig gedrag. Je kunt daarbij bijvoorbeeld putten uit onderstaande bronnen.

Interne bronnen

  • Zorgen van bestuurders
  • Brainstormen met een divers samengestelde groep
  • Risicoanalyse algemeen (zijn informatieveiligheidsrisico’s onderdeel van jullie risicomanagement?)
  • Risicoanalyse NEN 7510
  • Interne audits
  • Resultaten van monitoren en metingen, bijvoorbeeld in dashboards
  • Directiebeoordeling NEN 7510
  • Auditrapporten van bijvoorbeeld de accountant, DigiD-audit of HKZ-audit
  • Gesignaleerde risico’s in projecten
  • Analyse van gemelde incidenten/datalekken van het afgelopen jaar
  • Signalen die gemeld zijn aan FG, CISO of ander meldpunt

Externe bronnen

  • Problemen/zorgen van (bestuurders van) andere zorgorganisaties
  • Overzicht Bedreigingen in Bijlage A van deel 2 van NEN 7510 (NEN 7510-2:2017)
  • Informatie van externe organisaties bijvoorbeeld Z-CERT (Cybersecurity Dreigingsbeeld Zorg), NCSC (Dreigingsbeeld), Verizon Data Breach Investigations Report
  • Nieuwsberichten over incidenten bij andere organisaties

Je gaat per probleem een aantal zaken in beeld brengen.
Is het probleem een bedreiging voor waar jullie als organisatie voor staan, oftewel jullie organisatiewaarden? Hieronder staan enkele voorbeelden van zulke waarden. Genoemde voorbeelden overlappen soms, of zijn soms zelfs tegenstrijdig. Reden daarvoor is dat zorgorganisaties verschillend zijn en dat waar ze voor staan dus ook verschilt.

  • Goede zorg leveren, je primaire proces kunnen uitvoeren.
  • Je doelstellingen bereiken.
  • Zorgen voor veiligheid van de patiënten/cliënten.
  • Het beschermen van kwetsbare mensen.
  • Het waarborgen van het grondrecht op privacy van de patiënten/cliënten.
  • Je strikt houden aan wet- en regelgeving.
  • Het zoeken naar evenwicht tussen praktijk en wet- en regelgeving.
  • Zelfbeschikking van patiënten/cliënten. Zij hebben de regie over hun eigen leven en hebben daarom zeggenschap over hun eigen informatie.
  • Informatieverwerking zien als een ethisch vraagstuk.
  • Innovatief zijn en blijven in de dienstverlening.
  • Of andere overtuigingen van je organisatie.

Daarnaast is het probleem waarschijnlijk een concrete bedreiging voor de informatie, die jullie nodig hebben om jullie taken te kunnen uitvoeren. Door een goed beeld te krijgen van de omgeving van het probleem kun je de eventuele impact beter beoordelen.

Een manier om die omgeving systematisch te onderzoeken, is de MAPGOOD methode*. Je beantwoordt daarbij de volgende vragen:

  • M: welke mensen gebruiken en/of beheren de informatie?
  • A: welke apparatuur wordt gebruikt?
  • P: welke programmatuur wordt gebruikt?
  • G: welke gegevens zijn betrokken?
  • O: welke onderdelen van de organisatie hebben met de informatie te maken?
  • O: wat is de (fysieke) omgeving van de informatie?
  • D: bij het verlenen van welke diensten wordt gebruik gemaakt van de informatie, en welke externe diensten zijn betrokken?

Als je dat in kaart hebt, ga je ook naar de volgende aspecten kijken.

  • Wat zou het (negatieve) gevolg kunnen zijn als het probleem zich voordoet? Denk aan reputatieschade, financiële schade, gevolgen voor individuele medewerkers en/of cliënten en patiënten, zoals schending van hun privacy, gezondheidsschade of misschien zelfs de dood als gevolg van behandeling zonder (juiste) informatie.
  • Voor wie is het een probleem? Dit kunnen cliënten/patiënten zijn, zorgprofessionals, ICT-experts, zorgondersteunende medewerkers, de Raad van Bestuur, of iemand anders. En wie is de probleemeigenaar binnen de organisatie?
  • Hoe groot is het probleem? Hoe vaak komt het voor?
  • In hoeverre is er een gedragscomponent aanwezig?
  • Kun je de verschillende gevolgen vertalen naar cijfers en met elkaar vergelijken?

Rangschik de problemen van ernstige gevolgen naar minder ernstige gevolgen. Je kunt dit doen door middel van een analyse op basis van meerdere criteria (multicriteria-analyse), waarbij je onder andere negatieve gevolgen met elkaar kunt vergelijken en scoren. Een van de criteria die je hier bijvoorbeeld in kunt meenemen, is hoe vaak het probleem voorkomt of de kans heeft voor te komen.

Door dit goed in beeld te brengen, kun je heel concreet bij je opdrachtgever of Raad van Bestuur aangeven hoe urgent en belangrijk de problemen zijn ten opzichte van elkaar. De uitkomst van deze analyse is een prioritering van de problemen in de organisatie. Gebruik het werkblad Multicriteria-analyse voor de opzet van de analyse. Hieronder zie je een voorbeeld van een uitgewerkte multicriteria-analyse.



 

* Handreiking Diepgaande Risicoanalyse Methode Gemeenten – VNG / Informatiebeveiligingsdienst voor gemeenten (2019).

Bepaal allereerst of de oplossing van het probleem ligt in het aanpakken van het gedrag. Dit is een vereiste. Het zou namelijk ook kunnen dat je het probleem efficiënter kunt aanpakken door bijvoorbeeld processen of systemen aan te passen. Dan hoef je de medewerkers niet te belasten met interventies en aanpassing van hun gedrag. Als je tot de conclusie komt dat de beste oplossing (waarschijnlijk) te vinden is in het gedrag, dan bepaal je vervolgens welk probleem de hoogste prioriteit heeft op basis van de impact (stap B). Met dit probleem ga je aan de slag in de volgende stappen, waarin je onder andere een nadere probleemanalyse gaat doen.

Essentieel hierbij is altijd te zorgen voor draagvlak bij het bestuur voor je keuze. Bestuurders moeten het probleem belangrijk vinden en de aanpak ervan steunen. Dit komt ook terug bij de probleemanalyse.

Na je keuze voor het probleem formuleer je een gewenst resultaat. Je omschrijft hoe de situatie moet zijn als het probleem is opgelost.

Tip
Problemen in de organisatie prioriteren

Je kunt zoveel problemen of gevolgen toevoegen aan de analyse... als je wilt. De weging per gevolg bepaal je als organisatie (totale weging van alle gevolgen moet op 1,0 uitkomen). Het resultaat is een prioritering van de problemen in de organisatie.

Tip
Deel kennis intern

Deel je volledige lijst met problemen met degene die verantwoordelijk... is voor de implementatie van NEN 7510. Misschien hebben jullie problemen ontdekt die nog niet bekend waren.

Tip
Betrek collega’s uit het operationele proces

Betrek je collega’s uit het operationele proces bij het formuleren... van het probleem. Dit vergroot de kans dat je met het juiste probleem aan de slag gaat en je creëert bovendien draagvlak.

Voorbeeld

Een organisatie heeft ontdekt dat medewerkers foto’s en video’s van cliënten op privéapparaten opslaan. Dit is een probleem, want je weet niet waar deze privacygevoelige informatie terecht kan komen. Uit de probleemanalyse blijkt dat binnenkort een nieuwe technische oplossing geïmplementeerd wordt waarmee dit probleem verholpen gaat worden. Specifiek gaat het om een technische omgeving waarin het gewenste gedrag zal plaatsvinden.

Ook al gaat het hier om informatieveilig gedrag, toch is het dan op dit moment geen geschikt onderwerp om mee aan de slag te gaan. Medewerkers kunnen het gewenste gedrag namelijk nog niet vertonen, aangezien het in een technische omgeving plaatsvindt die er nog niet is.

Let op! Bij het implementatietraject van de nieuwe oplossing mag de opleiding van medewerkers niet ontbreken. Hierin moet ook informatieveiligheid een plek krijgen.

Tip
Bewaar de rust

Let goed op de impact voor jouw organisatie. Pas op... voor paniekvoetbal naar aanleiding van nieuwsberichten.

Tip
Als een probleem toch niet geschikt blijkt

Uit de probleemanalyse in stap 2 kan blijken dat dit... probleem toch niet geschikt is om op dit moment mee aan de slag te gaan. Omdat je in de probleeminventarisatie meerdere problemen hebt geformuleerd, kun je dan het eerstvolgende probleem oppakken.

Tip
Begin klein

Om ervaring op te doen met deze wegwijzer, kun je... beginnen met een klein probleem.

Downloads

Werkblad Multicriteria-analyse

Resultaat stap 1.1

Je hebt een informatieveiligheids-probleem gekozen om mee aan de slag te gaan en je hebt een gewenst resultaat geformuleerd.