Stappenplan voor zorgbestuurders. Hoe handel je bij een datalek?

In de zorg draait alles om vertrouwen. Patiënten en cliënten geven ons hun meest persoonlijke en gevoelige gegevens in de verwachting dat we daar zorgvuldig mee omgaan. Toch staat de zorgsector al jaren bovenaan de lijst van sectoren met de meeste datalekken. Dit heeft grote gevolgen: patiënten en cliënten verliezen vertrouwen, er ontstaan juridische en financiële risico’s en de reputatie van de organisatie loopt ernstige schade op.  

De vraag is niet óf er een datalek plaatsvindt, maar wanneer. Als zorgbestuurder heb je de verantwoordelijkheid om informatieveilig gedrag te bevorderen en een sterke verdedigingslinie te bouwen. Maar hoe doe je dat in jouw zorgorganisatie? Wij geven hier een stappenplan dat in iedere organisatie toe te passen is.

Creëer een cultuur van bewustzijn en verantwoordelijkheid

Informatieveiligheid is geen IT-probleem, maar een gedragsvraagstuk. Technologie kan ondersteunen, maar uiteindelijk zijn het de mensen die bepalen of gegevens veilig zijn en blijven. Een zorgorganisatie kan de beste firewalls en encryptie hebben, maar als medewerkers patiëntengegevens via whatsapp delen met collega’s, lekt gevoelige persoonlijke informatie alsnog. Of als medewerkers eenvoudige wachtwoorden kiezen en daar onzorgvuldig mee omgaan, creëren ze ingangen voor cybercriminelen.

Het begint met bewustzijn. Medewerkers moeten begrijpen waarom informatieveilig gedrag essentieel is en wat de gevolgen zijn van een datalek. Als bestuurder speel je hierin een cruciale rol. Het is belangrijk dat je een CISO hebt om je daarin te ondersteunen. Door regelmatig contact met je CISO en het onderwerp regelmatig te agenderen in managementoverleggen, medewerkersbijeenkomsten en via interne communicatiekanalen, houd je informatieveiligheid top-of-mind.

Het is belangrijk informatieveiligheid niet te presenteren als iets extra of nice-to-have, maar als een vanzelfsprekend onderdeel van het zorgproces. Wanneer medewerkers begrijpen dat ze door veilig gedrag niet alleen gegevens beschermen, maar ook de zorgkwaliteit en het vertrouwen van patiënten en cliënten waarborgen, ontstaat er een intrinsieke motivatie om zorgvuldig te handelen.

Zorg voor duidelijke richtlijnen en laagdrempelige meldprocedures
Medewerkers kunnen pas veilig handelen als ze weten wat er van hen wordt verwacht. Zorg daarom dat je organisatie heldere richtlijnen over het verwerken, delen en opslaan van patiënt- of cliëntgegevens heeft. Dit gaat verder dan het simpelweg opstellen van een beleidsdocument. De richtlijnen moeten ook begrijpelijk en toepasbaar zijn. Het helpt enorm als veilig omgaan met patiënt- of cliëntgegevens makkelijk is.

Een belangrijke valkuil is dat medewerkers niet weten wat te doen als er iets misgaat. In de praktijk blijkt dat datalekken vaak niet of te laat worden gemeld, omdat medewerkers zich niet bewust zijn van de risico’s, bang zijn voor sancties of omdat ze niet zeker weten of een incident een datalek is. Daarom moet je als bestuurder zorgen voor een laagdrempelige en veilige meldcultuur.

Dit betekent dat fouten gemeld kunnen worden zonder angst voor straf, zolang ervan geleerd wordt. Communiceer hierover naar de organisatie en gebruik dan concrete casussen om te laten zien hoe een juiste melding kan bijdragen aan een betere bescherming van gegevens.

Het praktische hulpmiddel ‘Melden Datalek’ biedt concrete handvatten voor zorgorganisaties voor het herkennen en melden van een datalek. “Datalek gemeld, leren is wat telt’. Zo helpt een overzichtelijk stappenplan je organisatie, bij het inschatten van de ernst van een incident en het bepalen van de vervolgstappen. Daarnaast biedt het een voorbeeldproces dat zorgorganisaties kunnen gebruiken om hun eigen meldprocedures te optimaliseren.

Datalek gemeld? Leren is wat telt!

Ontdek de praktische hulpmiddelen

Reageer adequaat op een datalek: een stappenplan
Ondanks alle preventieve maatregelen kan een datalek nog steeds optreden. Jouw handelen als bestuurder bepaalt de impact van het incident. Dit stappenplan helpt de verantwoordelijke in jouw organisatie bij een snelle en effectieve aanpak:

Stap 1: Eerste analyse
Zodra een mogelijk datalek wordt gemeld, is het belangrijk dat er direct een eerste analyse wordt uitgevoerd door de CISO:
– Wat is er precies gebeurd?
– Welke gegevens zijn gelekt?
– Wie zijn de betrokkenen (intern en extern)?
– Wat is de mogelijke impact?

Het is belangrijk dat helder is wie verantwoordelijk is dat die analyse wordt uitgevoerd. Bij een ernstig datalek zal direct een crisisteam nodig zijn waar in ieder geval de functionaris gegevensbescherming (FG), de CISO en een communicatiedeskundige wordt betrokken. Dit team moet goed voorbereid zijn en direct kunnen handelen.

Stap 2: Beperken van de schade
Nadat het lek is geïdentificeerd, moet je besluiten nemen over maatregelen die verdere schade voorkomen. Dit kan betekenen dat bepaalde systemen tijdelijk worden afgesloten, dat accounts worden geblokkeerd of dat er direct contact wordt gezocht met de betrokkenen. In sommige gevallen kan het zijn dat gegevens nog kunnen worden teruggehaald of verwijderd van externe bronnen.

Stap 3: Beoordelen of melding noodzakelijk is
Volgens de Algemene Verordening Gegevensbescherming (AVG) moet een datalek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP) als er een risico is voor de betrokkenen. Dit is een juridisch afwegingsmoment waarin de FG en juridische experts een belangrijke rol spelen.

Denk hierbij ook aan de betrokken patiënten en cliënten. Is het noodzakelijk dat zij op de hoogte gesteld worden? Hoe groot is de ernst van het datalek en de mogelijke impact. Transparantie is hierin belangrijk: openheid over een incident kan helpen om vertrouwen te behouden. Het is belangrijk dat je als bestuurder deze transparantie aanmoedigt.

Stap 4: Communicatie en crisismanagement
Een datalek kan grote reputatieschade veroorzaken. Daarom is een goede communicatiestrategie essentieel. Zorg dat de communicatie eenduidig is en dat medewerkers weten hoe ze vragen moeten beantwoorden. Externe communicatie helpt voorkomen dat onjuiste informatie wordt verspreid.

Stap 5: Evaluatie en structurele verbeteringen
Elk datalek moet leiden tot verbeteringen. Wat ging er mis en hoe kan dit in de toekomst worden voorkomen? Dit kan resulteren in aanpassingen in systemen, processen of (nieuwe) trainingen. Zorg ervoor dat deze evaluatie wordt vastgelegd en dat er concrete actiepunten uit voortkomen. Zie er als bestuurder op toe dat de organisatie leert van incidenten en organiseer hierover het juiste gesprek.

Werk samen en leer van anderen
Zorgorganisaties staan niet alleen in de strijd tegen datalekken. Samenwerking met andere zorgorganisaties, brancheverenigingen en kennisinstellingen helpt om best practices uit te wisselen en gezamenlijk de weerbaarheid te vergroten.

Het programma Informatieveilig gedrag in de Zorg helpt zorgorganisaties bij de aanpak rondom informatieveilig gedrag. We delen hun verhalen via onze kanalen zodat andere zorgorganisaties hiervan kunnen leren. Dat helpt en inspireert je CISO en andere experts informatieveiligheid in je organisatie om de kans en de gevolgen van datalekken te verkleinen. In onze podcast krijg je inzichten van het ministerie van VWS, Z-CERT maar ook van een ethisch hacker en de CISO van het Radboud UMC.

Ga naar de Podcast

Als bestuurder heb je de sleutel in handen
Datalekken in de zorg zijn een serieuze bedreiging, maar als bestuurder heb je de sleutel in handen om informatieveilig gedrag te bevorderen. Door een sterke meldcultuur, duidelijke richtlijnen, structurele verbeteringen en effectieve crisisrespons in te bedden in je organisatie, kun je de impact van een datalek minimaliseren en voorkomen dat gevoelige gegevens op straat belanden. Maak informatieveiligheid een prioriteit en toon leiderschap. De zorgkwaliteit, het vertrouwen van patiënten of cliënten en de reputatie van je instelling hangen ervan af.