Probleem kiezen

Wanneer spreek je over een informatieveiligheidsprobleem? Een probleem is een situatie waarin beschikbaarheid, integriteit of vertrouwelijkheid van gegevens niet gewaarborgd is of waarin je niet voldoet aan toepasselijke wetgeving zoals de Algemene verordening gegevensbescherming (AVG).

Hoe ga je vervolgens te werk?
Maak een lijst van problemen in jouw organisatie, die (mede) veroorzaakt worden door informatieonveilig gedrag. Je kunt daarbij bijvoorbeeld putten uit onderstaande bronnen.

Interne bronnen

• Zorgen van bestuurders
• Brainstormen met een divers samengestelde groep
• Risicoanalyse algemeen (zijn informatieveiligheidsrisico’s onderdeel van jullie risicomanagement?)
• Risicoanalyse NEN 7510
• Interne audits
• Resultaten van monitoren en metingen, bijvoorbeeld in dashboards
• Directiebeoordeling NEN 7510
• Auditrapporten van bijvoorbeeld de accountant, DigiD-audit of HKZ-audit
• Gesignaleerde risico’s in projecten
• Analyse van gemelde incidenten/datalekken van het afgelopen jaar
• Signalen die gemeld zijn aan FG, CISO of ander meldpunt

Externe bronnen

• Problemen/zorgen van (bestuurders van) andere zorgorganisaties
• Overzicht Bedreigingen in Bijlage A van deel 2 van NEN 7510 (NEN 7510-2:2017)
• Informatie van externe organisaties bijvoorbeeld Z-CERT (Cybersecurity Dreigingsbeeld Zorg), NCSC (Dreigingsbeeld), Verizon Data Breach Investigations Report
• Nieuwsberichten over incidenten bij andere organisaties

Je gaat per probleem een aantal zaken in beeld brengen.
Is het probleem een bedreiging voor waar jullie als organisatie voor staan, oftewel jullie organisatiewaarden? Hieronder staan enkele voorbeelden van zulke waarden. Genoemde voorbeelden overlappen soms, of zijn soms zelfs tegenstrijdig. Reden daarvoor is dat zorgorganisaties verschillend zijn en dat waar ze voor staan dus ook verschilt.

• Goede zorg leveren, je primaire proces kunnen uitvoeren.
• Je doelstellingen bereiken.
• Zorgen voor veiligheid van de patiënten/cliënten.
• Het beschermen van kwetsbare mensen.
• Het waarborgen van het grondrecht op privacy van de patiënten/cliënten.
• Je strikt houden aan wet- en regelgeving.
• Het zoeken naar evenwicht tussen praktijk en wet- en regelgeving.
• Zelfbeschikking van patiënten/cliënten. Zij hebben de regie over hun eigen leven en hebben daarom zeggenschap over hun eigen informatie.
• Informatieverwerking zien als een ethisch vraagstuk.
• Innovatief zijn en blijven in de dienstverlening.
• Of andere overtuigingen van je organisatie.

Daarnaast is het probleem waarschijnlijk een concrete bedreiging voor de informatie, die jullie nodig hebben om jullie taken te kunnen uitvoeren. Door een goed beeld te krijgen van de omgeving van het probleem kun je de eventuele impact beter beoordelen.

Een manier om die omgeving systematisch te onderzoeken, is de MAPGOOD methode*. Je beantwoordt daarbij de volgende vragen:

• M: welke mensen gebruiken en/of beheren de informatie?
• A: welke apparatuur wordt gebruikt?
• P: welke programmatuur wordt gebruikt?
• G: welke gegevens zijn betrokken?
• O: welke onderdelen van de organisatie hebben met de informatie te maken?
• O: wat is de (fysieke) omgeving van de informatie?
• D: bij het verlenen van welke diensten wordt gebruik gemaakt van de informatie, en welke externe diensten zijn betrokken?

Als je dat in kaart hebt, ga je ook naar de volgende aspecten kijken.

• Wat zou het (negatieve) gevolg kunnen zijn als het probleem zich voordoet? Denk aan reputatieschade, financiële schade, gevolgen voor individuele medewerkers en/of cliënten en patiënten, zoals schending van hun privacy, gezondheidsschade of misschien zelfs de dood als gevolg van behandeling zonder (juiste) informatie.
• Voor wie is het een probleem? Dit kunnen cliënten/patiënten zijn, zorgprofessionals, ICT-experts, zorgondersteunende medewerkers, de Raad van Bestuur, of iemand anders. En wie is de probleemeigenaar binnen de organisatie?
• Hoe groot is het probleem? Hoe vaak komt het voor?
• In hoeverre is er een gedragscomponent aanwezig?
• Kun je de verschillende gevolgen vertalen naar cijfers en met elkaar vergelijken?

Rangschik de problemen van ernstige gevolgen naar minder ernstige gevolgen. Je kunt dit doen door middel van een analyse op basis van meerdere criteria (multicriteria-analyse), waarbij je onder andere negatieve gevolgen met elkaar kunt vergelijken en scoren. Een van de criteria die je hier bijvoorbeeld in kunt meenemen, is hoe vaak het probleem voorkomt of de kans heeft voor te komen.

Door dit goed in beeld te brengen, kun je heel concreet bij je opdrachtgever of Raad van Bestuur aangeven hoe urgent en belangrijk de problemen zijn ten opzichte van elkaar. De uitkomst van deze analyse is een prioritering van de problemen in de organisatie. Gebruik het werkblad Multicriteria-analyse voor de opzet van de analyse. Hieronder zie je een voorbeeld van een uitgewerkte multicriteria-analyse.

* Handreiking Diepgaande Risicoanalyse Methode Gemeenten – VNG / Informatiebeveiligingsdienst voor gemeenten (2019).

Bepaal allereerst of de oplossing van het probleem ligt in het aanpakken van het gedrag. Dit is een vereiste. Het zou namelijk ook kunnen dat je het probleem efficiënter kunt aanpakken door bijvoorbeeld processen of systemen aan te passen. Dan hoef je de medewerkers niet te belasten met interventies en aanpassing van hun gedrag. Als je tot de conclusie komt dat de beste oplossing (waarschijnlijk) te vinden is in het gedrag, dan bepaal je vervolgens welk probleem de hoogste prioriteit heeft op basis van de impact (stap B). Met dit probleem ga je aan de slag in de volgende stappen, waarin je onder andere een nadere probleemanalyse gaat doen.

Essentieel hierbij is altijd te zorgen voor draagvlak bij het bestuur voor je keuze. Bestuurders moeten het probleem belangrijk vinden en de aanpak ervan steunen. Dit komt ook terug bij de probleemanalyse.

Na je keuze voor het probleem formuleer je een gewenst resultaat. Je omschrijft hoe de situatie moet zijn als het probleem is opgelost.

Een organisatie heeft ontdekt dat medewerkers foto’s en video’s van cliënten op privéapparaten opslaan. Dit is een probleem, want je weet niet waar deze privacygevoelige informatie terecht kan komen. Uit de probleemanalyse blijkt dat binnenkort een nieuwe technische oplossing geïmplementeerd wordt waarmee dit probleem verholpen gaat worden. Specifiek gaat het om een technische omgeving waarin het gewenste gedrag zal plaatsvinden.

Ook al gaat het hier om informatieveilig gedrag, toch is het dan op dit moment geen geschikt onderwerp om mee aan de slag te gaan. Medewerkers kunnen het gewenste gedrag namelijk nog niet vertonen, aangezien het in een technische omgeving plaatsvindt die er nog niet is.

Let op! Bij het implementatietraject van de nieuwe oplossing mag de opleiding van medewerkers niet ontbreken. Hierin moet ook informatieveiligheid een plek krijgen.