Cyberveiligheid zonder barrières: hoe zorginstellingen veilig en efficiënt kunnen werken
Fleur is arts bij een grote zorginstelling en voert met veel plezier haar werkzaamheden uit. Het geven van zorg aan cliënten is haar op het lijf geschreven. Maar wat haar steeds meer tegenstaat is het continue inloggen en het doorlopen van verschillende digitale beveiligingsprotocollen wanneer ze patiëntadministratie moet bijwerken in het Elektronisch Patiënten Dossier (EPD). Om tijd te besparen werkt ze tegenwoordig informatie bij in een gedeeld document op een niet-beveiligde cloudservice. Waar ze niet over nagedacht heeft, is dat dit absoluut onveilig is: patiëntgegevens kunnen zomaar in verkeerde handen vallen.
Dit voorbeeld laat het continue spanningsveld zien tussen dataveiligheid en werkbaarheid. Natuurlijk wil je dat de data binnen je zorginstelling goed beveiligd is. Maar wat als de medewerkers hierdoor gefrustreerd raken, omdat ze teveel hordes moeten nemen om bij de juiste gegevens of applicaties te komen? Hoe vind je de juiste balans tussen gebruiksgemak en dataveiligheid in de zorg?
"Die balans vind je in ieder geval niet door alles dicht te timmeren," zegt Jan Geraets, consultant bij OGD. "Mensen vinden altijd manieren om die beperkingen te omzeilen, zeker als het gebruikersgemak door alle beperkingen afneemt. Gelukkig zijn er oplossingen die het werk van je medewerkers eenvoudiger maken zonder de dataveiligheid in gevaar te brengen.”
Specifieke uitdagingen in de zorg
Jan benadrukt dat de zorgsector unieke uitdagingen kent op het gebied van ict-veiligheid. "Bescherming van patiëntgegevens is cruciaal," zegt Jan. "Deze gegevens zijn enorm waardevol voor hackers.”
De dreiging van hackers is de afgelopen jaren sterk toegenomen. Dit jaar was dat zelfs met een stijging van meer dan 160 procent in het aantal cyberincidenten ten opzichte van vorig jaar. "Er is steeds meer technologie beschikbaar die het hacken vergemakkelijkt, zoals genAI. En de geopolitieke spanningen vergroten het risico op aanvallen," legt Jan uit. "Hackers, of het nu criminele organisaties of staatsactoren zijn, worden steeds geraffineerder in hun methoden."
Als cruciale sector heeft de zorg te maken met extra strenge privacy-richtlijnen. "Dat zie je terug in de regelgeving," zegt Jan, "want over een jaar moet de zorgsector voldoen aan de NIS2-richtlijnen. Dit is noodzakelijk voor de dataveiligheid, maar het heeft ook een grote impact op zorgorganisaties. Ziekenhuizen krijgen de extra verantwoordelijkheid om hun beveiliging verder op te schroeven, inclusief een zorgplicht, meldplicht en proactief toezicht van regelgevers en autoriteiten."
Investeer in dataveiligheid!
Investeren in beveiliging van je data is essentieel en wordt alleen maar belangrijker. Toch staan zorgorganisaties voor grote uitdagingen, zoals beperkte budgetten en personeelstekorten. Jan vertelt: “Een klant zei eens bij een grote ict-investering, 'Dit is geen MRI-scanner of nieuw bed. Wat levert dit op voor de zorg?' Mijn antwoord is dan altijd: 'Dit is een onmisbare investering die je niet kunt overslaan.'"
Door de beperkte middelen en schaarste aan personeel adviseert Jan om cyberbeveiliging uit te besteden aan cloudproviders zoals AWS of Microsoft. "Zij beschikken over de kennis en middelen die moeilijk te evenaren zijn met een kleine ict-afdeling. Daarnaast positioneer je je als werkgever als aantrekkelijke werkgever door moderne cloudtechnologie te bieden."
Maatregelen die passen bij elk type medewerker
De uitdaging blijft wel: hoe houd je je data veilig met beperkte budgetten en personeel? Jan ziet een voordeel voor zorgorganisaties: “Voor verschillende groepen medewerkers in de zorg is de ict-behoefte vaak wat lager. Veel medewerkers, zoals verplegend personeel, magazijnmedewerkers en koks werken niet op kantoor. Daar kun je je licenties op afstemmen."
Persona’s zijn hierbij onmisbaar om het meeste uit je ict-licenties en -middelen te halen. "Met persona's kun je beter begrijpen wat de verschillende groepen medewerkers nodig hebben. Meestal heb je vier tot vijf hoofdgroepen. Door hun behoeften te analyseren, kun je dure licenties gerichter inzetten en zo flink besparen," legt Jan uit.
Een praktisch voorbeeld hiervan is het gebruik van verschillende licentietypes voor administratief en medisch personeel. Administratieve medewerkers hebben vaak volledige toegang nodig tot kantoorapplicaties, terwijl medisch personeel meer gebaat is bij toegang tot zorgsystemen en mobiele toepassingen. Door deze behoeften goed in kaart te brengen en de juiste licenties te kiezen, bespaar je niet alleen kosten, maar verhoog je ook de efficiëntie en veiligheid.
Persona's helpen ook bij het instellen van gerichte beveiligingsprotocollen. Een arts die vaak op verschillende locaties werkt, heeft andere beveiligingsbehoeften dan iemand met een vaste werkplek. Door deze verschillen zorgvuldig te analyseren, kunnen zorgorganisaties maatregelen nemen die zowel de productiviteit verhogen als de veiligheid waarborgen.
Training en adoptie voor dataveiligheid
Training en adoptie zijn een belangrijk onderdeel van de dataveiligheid. Het bewustzijn van de gevaren moet constant op peil blijven. "En dat stopt nooit," zegt Jan. "Cyberaanvallen veranderen voortdurend. Waar we een paar jaar geleden vooral te maken hadden met virussen, horen we nu meer over hacken en social engineering, zoals phishingmails.
Cybercriminelen zullen steeds nieuwe methoden vinden, dus je moet altijd voorbereid zijn. Daarom is het cruciaal om je medewerkers voortdurend op de hoogte te houden en voorzorgsmaatregelen te treffen om aanvallen zoals phishing te voorkomen."
Het opzetten van security awareness-programma’s, pentests en phishingtests is daarbij enorm nuttig. "Deze aanvallen richten zich op individuen, dus het is van groot belang om hen te informeren en te trainen in hoe ze hiermee om moeten gaan. Gelukkig investeren zorginstellingen over het algemeen veel in deze bewustwordingsprogramma’s."
Trainingen en adoptie op maat
Jan benadrukt dat het belangrijk is om de trainingen aan te passen op de wensen van de zorgmedewerkers. "Anders dan kantoormedewerkers, die eenvoudig trainingen vanaf hun laptop kunnen volgen, hebben zorgmedewerkers te maken met drukke schema's en werken ze vooral met patiënten. Daarom moeten trainingen flexibel zijn, zoals e-learnings die zorgmedewerkers elk moment kunnen volgen."
Ook is het belangrijk om regelmatig klassikale trainingen aan te bieden, zodat het voor medewerkers zo eenvoudig mogelijk is om deel te nemen. Het inzetten van ambassadeurs en floorwalkers—mensen die enthousiast zijn en hun kennis graag delen—kan helpen om dataveiligheid onderdeel te maken van de bedrijfscultuur.
Naast bewustwording is training noodzakelijk om medewerkers vertrouwd te maken met de systemen binnen de zorginstelling, zoals het EPD. Jan: "Het EPD draait los van de cloud, waardoor het onafhankelijk en veilig kan functioneren. Als medewerkers goed begrijpen hoe dit systeem werkt, wordt de dataveiligheid verbeterd en het vertrouwen in het systeem vergroot."
Een cultuur van dataveiligheid
Tot slot raadt Jan aan om een cultuur te creëren waarin het belang van dataveiligheid centraal staat. "Spreek elkaar aan als je ziet dat iemand slordig omgaat met veiligheid, bijvoorbeeld door niet uit te loggen of gevoelige gegevens te laten slingeren. Daarbij is het essentieel dat de directie het belang van veiligheid uitdraagt. Zonder hun steun is er geen draagvlak. Het is ook verstandig om dataveiligheid multidisciplinair aan te pakken. Afdelingen zoals HR en Finance hebben er ook veel baat bij dat hun gegevens veilig zijn. Door samen te werken, creëer je gewoon veel meer impact."
De perfecte balans tussen dataveiligheid en werkbaarheid
Het vinden van de juiste balans tussen werkbaarheid en dataveiligheid in de zorg is geen gemakkelijke taak, maar het is wel noodzakelijk. Belangrijke zaken om te onthouden zijn:
- Investeer in moderne beveiligingsoplossingen.
- Doe goed onderzoek naar licenties.
- Investeer in training en adoptie.
- Werk multidisciplinair.
- Laat het bewustzijn vanuit de directie komen.
Jan sluit af: "Met de juiste combinatie van technologie, training en een cultuur die veiligheid centraal stelt, kunnen zorginstellingen zich wapenen tegen de toenemende cyberdreigingen. En dat terwijl ze hun medewerkers verder in staat stellen om de best mogelijke zorg te verlenen."
Wil je meer weten over cyberveiligheid?
Misschien vind je dit leuk
Anderen hebben deze artikelen gelezen