Tien tips voor zorgbestuurders

Hoe kun je als bestuurder informatieveilig gedrag van medewerkers bevorderen? Tien tips:

1. Geef zelf het goede voorbeeld
   ‘Als leider in een organisatie heb je natuurlijk zelf een voorbeeldfunctie als het gaat over hoe je omgaat met informatie en de veiligheid ervan.’ Dat zegt Jacqueline Neve-Dolfing, voorzitter van de raad van bestuur van het HagaZiekenhuis. Laat dus steeds merken dat informatieveiligheid hoog op je prioriteitenlijstje staat. En dat je bereid bent om elke dag bij te leren. ‘Ik stel mezelf ook lerend op’, zo zegt Elsbeth de Ruijter, lid van de raad van bestuur van GGZ-NHN. ‘Ik heb me echt moeten ontwikkelen op dit gebied. En ik denk dat dit belangrijk is voor alle mensen, zeker voor degenen die niet vanzelfsprekend opgegroeid zijn met digitalisering.’
2. Creëer de randvoorwaarden
   De informatiebeveiliging op orde hebben en houden vergt niet alleen financiële middelen, maar ook de juiste deskundigheid. Haal dus een expert informatieveiligheid in huis. ‘Vind een CISO, iemand die risico-inschattingen kan maken’, adviseert ethisch hacker en huisarts Jonathan Bouwman. Of zorg dat de expertise beschikbaar is binnen een regionaal samenwerkingsverband.

3. Verdiep je in relevante wetgeving
De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2, moet eraan gaan bijdragen dat Nederland veiliger wordt op cyber-securitygebied. De wet stelt daarbij eisen aan zorgorganisaties en aan bestuurders. ‘Een van de eisen is dat je als een training moet gaan volgen en dat je die ook regelmatig moet gaan herhalen’, aldus Bianca Rouwenhorst, directeur CIO informatiebeleid bij het ministerie van VWS. Die training moet ertoe leiden dat bestuurders zich nog meer bewust worden van het belang van informatieveiligheid in de eigen organisatie en in de relatie tot leverancier, zo licht ze toe.

4. Stel kritische vragen
Zorg dat je voldoende kennis hebt van informatiebeveiliging om de juiste kritische vragen te kunnen stellen aan de expert informatieveiligheid. Lies van Gennip (toezichthouder in de zorg én projectleider IVGZ): ‘De bestuurder hoeft niet alle ins en outs te kennen, maar deze moet wel weten dat je bepaalde voorzorgsmaatregelen dient te nemen om ervoor te zorgen dat de continuïteit van zorg kan worden gewaarborgd.’

5. Bereid je voor op incidenten
‘Denk niet dat het jou niet zal gebeuren. We zijn allemaal een keer aan de beurt’ , stelt Jeroen Lambriks, bestuurder van Amstelring. Daarom is het belangrijk om je goed voor te bereiden op incidenten door regelmatig te oefenen en testen. Je kunt bijvoorbeeld een vorm van ethisch hacken inzetten, waarbij de stappen van echte criminelen worden nagebootst, zo vertelt Wim Hafkamp, CEO bij Z-CERT. ‘Probeer eens zo’n test uit op je eigen infrastructuur en applicatielandschap, kijk wat het resultaat is. Zijn je preventie- en detectiemaatregelen voldoende? Leer van het resultaat.’

6. Maak goede afspraken met leveranciers
Vraag ook aan je leveranciers hoe zij informatieveiligheid waarborgen en maak hierover goede afspraken. Hafkamp: ‘Staar je niet helemaal blind op zo’n prachtig ISO 27001-certificaat waar leveranciers mee komen aanzetten, maar vraag door en zeg wat jij belangrijk vindt. Als jij het bijvoorbeeld belangrijk vindt dat ook de leverancier een multifactorauthenticatie op alle systemen heeft doorgevoerd, dan moet je dat eisen.’

7. Investeer in kennis en bewustwording van medewerkers
Een poster aan de wand, een eenmalige e-learning, een ‘Dag van de informatieveiligheid’, een praatje tijdens de onboarding van nieuwe medewerkers: het helpt niet om informatieveilig gedrag van medewerkers te bevorderen. ‘Organisatiebrede campagnes zijn zo ongericht, medewerkers weten niet wat ze ermee aan moeten’, zegt Van Gennip. Maar ze kunnen wel bijdragen aan kennis en aan bewustwording bij medewerkers. En dat is een belangrijke eerste voorwaarde voor informatieveilig gedrag

8. Faciliteer medewerkers om het juiste gedrag te vertonen
Mensen handelen vaak op de automatische piloot , zo weet Liza Luesink (oprichter van gedragsbureau Duwtje). Het valt niet mee om hen aan te zetten tot ander, informatieveiliger, gedrag. Daarom moet je dat nieuwe gedrag zo makkelijk mogelijk maken. Zet bijvoorbeeld ‘vertrouwelijke bakken met versnipperaars’ bij de omkleedruimte van zorgprofessionals, is een tip van Sanders Vols, CISO bij Radboudumc. Zodat mensen de papieren – met daarop bijvoorbeeld namen en patiëntnummers – uit hun werkkleding kunnen halen en direct kunnen versnipperen.

9. Blijf herhalen
   Gedragsverandering is een kwestie van lange adem. Het blijft continu belangrijk om eraan te werken. ‘Daarom hebben wij tien gouden regels opgesteld, zoals: wees voorzichtig met je wachtwoord en met je device’, zegt Agnes Klaren, lid van de raad van bestuur van Thebe. ‘Die brengen we maandelijks onder de aandacht.’

10. Werk aan een organisatiecultuur waarin mensen incidenten durven melden
    Laat bijvoorbeeld bij iedere melding blijken dat je blij bent dat er gemeld is en dat je ervan kunt leren. Luister naar deze tip in de podcast. Dit maakt de drempel om incidenten te melden laag en de meldbereidheid bij medewerkers hoog.

Meer weten?
In de podcastreeks Informatieveiligheid in de zorg begint bij de bestuurder gaan Sietske Rozie en Demi van Spronssen van IVGZ in gesprek met zorgbestuurders en deskundigen over het bevorderen van cybersecurity, privacy en informatieveiligheid. Ze bespreken vragen als: Hoe ga je als bestuurder om met informatieveiligheid? Wat heb je gedaan tijdens een incident? Welk gedrag van medewerkers werd zichtbaar tijdens het incident? En hoe ga je om met vraagstukken als de Cyberbeveiligingswet, waar je misschien niet alles van weet? Elke aflevering biedt waardevolle inzichten.

Waarom luisteren?
– Inspiratie: ontdek hoe collega-bestuurders informatieveiligheid aanpakken.
– Praktische tips: leer eenvoudige stappen om je zorgorganisatie veiliger te maken.
– Verhalen uit de praktijk: luister naar ervaringen en leer van anderen.

Bekijk en luister alle podcastafleveringen hier:
Website, klik hier
YouTube, klik hier
Spotify, klik hier