Lourens Dijkstra, security officer bij Lentis
Belangrijke data moet je koesteren
Door Willemien Afman
Informatieveiligheid is een belangrijk item binnen Lentis. Dat moet ook, want wij beschikken over duizenden dossiers en gegevens van patiënten, cliënten en medewerkers. Je moet er niet aan denken dat die, voornamelijk privacygevoelige, informatie op straat komt te liggen. Lourens Dijkstra is onlangs als security officer begonnen bij Lentis. We vragen Lourens naar zijn eerste bevindingen. Hoe staat Lentis ervoor wat betreft informatieveiligheid?
Security team Informatieveiligheid Lentis Naast Lourens Dijkstra zijn dat: • Hans de Noord (architect ICT) • Joris Dutmer (ICT specialist Technisch Beheer) • Albert Jan Eshuis (functionaris gegevensbescherming)
Lourens (55) is organisatiepsycholoog. Al meer dan tien jaar verdiept hij zich in informatieveiligheid. Lourens deed dat als consultant bij allerlei instellingen, waaronder Lentis. Toen de functie security officer vacant kwam, hoefde Lourens niet lang na te denken. ‘Ik heb Lentis leren kennen als een prachtige instelling, een mensenorganisatie, groot en complex. Nu kan ik samen met het security team vanuit de praktijk proberen om informatieveilig-gedrag in de hoofden van de medewerkers te krijgen’, licht Lourens toe . ‘Vraag je aan een willekeurige collega hoe hij of zij met gegevens van omgaat, dan zal diegene altijd aangeven dat zorgvuldig te doen. En in de meeste gevallen is dat gelukkig ook zo. Maar toch tonen onderzoeken aan dat Lentis niet op alle vlakken goed scoort, het kan beter’, vertelt Lourens. Grote gevolgen Niet zorgvuldig met je gegevens omgaan, is een risico. Datalekken zijn slecht voor je imago en ze kosten vaak veel geld. ‘We moeten uitvinden hoe we er voor kunnen zorgen dat collega’s veilig met gegevens omgaan. Wat hebben ze daar voor nodig? Dat ligt op het snijvlak van gedragsverandering en informatieveiligheid. Helaas is het zo dat mensen dat geen ‘sexy’ onderwerp vinden. Informatieveiligheid wordt al gauw als controle gezien’, stelt Lourens.
Data Ducky Maak kennis met Data Ducky! Deze eend staat voor alle gevoelige informatie die we als Lentis in huis hebben en waar we goed voor moeten zorgen. Je komt Data Ducky vanaf nu vaker tegen!
Goed voor je informatie zorgen Informatieveiligheid is nuttig en noodzakelijk. Dat wordt duidelijk uit de definitie die Lourens hanteert: ‘Informatieveiligheid is er voor zorgen dat je als een goede burgervader (of –moeder) zorg draagt voor de data die je in huis hebt, dat je die koestert en beschermt en binnenshuis houdt. Het gaat hierbij zowel om patiënten- als om personeelsgegevens.’ De patiënt en medewerker vertrouwen erop dat de privacy gewaarborgd is. Lourens: ‘Met de start van de AVG is die vertrouwelijkheid manifester geworden. Kijk maar naar jezelf. Als je op een site gevraagd wordt om je gegevens in te vullen, dan wil je dat ze daar zorgvuldig mee omgaan. Dat verwacht je ook.’ Niet zorgvuldig omgaan met data, kan grote nadelige financiële gevolgen hebben. Gaat er onverhoopt iets mis, dan kan de autoriteit persoonsgegevens onderzoek gaan doen. Hebben we steken laten vallen? Dan kan Lentis een boete krijgen. En die bedragen lopen al gauw in de tonnen. Techniek- en menskant Binnen Lentis hebben we veel op orde, maar nog niet genoeg. Kijk je naar de stand van informatieveiligheid, dan ziet Lourens drie kanten, de mens, de organisatie en de techniek. ‘Wat betreft de techniek heeft Lentis veel meters gemaakt. Kijk maar naar Hello id en de overstap naar Microsoft 365. Dat zijn echt goede zetten geweest.’ En de mens- en organisatiekant? ‘Als je naar de organisatorische kant en de processen kijkt, dan kun je stellen dat informatieveiligheid in het zorgproces beter kan. Daar gaan natuurlijk ook veel privacy gegevens rond. Ook de digitale vaardigheden verschillen. En soms is gewoon niet duidelijk wat veilig is en wat niet.’
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden. Bron: www.autoriteitpersoonsgegevens.nl
Geen opzet Lourens: ‘We moeten goed tussen de oren krijgen dat we met gevoelige informatie te maken hebben van heel veel mensen. En die gegevens moeten we koesteren. Hoe ga jij om met privacygevoelige informatie? Laat jij je scherm open staan als je van je werkplek loopt of vergrendel je die? Het zijn vaak die kleine dingen die grote risico’s kunnen opleveren. En dat is onnodig. Maak gebruik van de faciliteiten die we in huis hebben. Je hoeft echt niet meer patiëntengegevens te mailen naar je gmail-account. Dat zijn gewoonten die we moeten doorbreken.’ Mag je een collega aanspreken op onveilig gedrag? ‘Uiteraard. Ga vooral het gesprek aan, je zal zien dat het meestal geen bewuste actie is maar iets dat diegene al jaren op dezelfde manier doet. Attendeer hem of haar er dan op dat het anders kan of soms zelfs moet.’ ‘Het is niet altijd leuk om veilig te werken’, geeft Lourens grif toe. ‘Mensen zijn inventief genoeg om soms andere paden te bewandelen die minder gedoe opleveren. Zo zit de mens in elkaar. Feit is wel dat we iedere week een datalek hebben, het kan iedereen overkomen. Niet allemaal even ernstig natuurlijk, maar omdat ze zo nadelig kunnen uitpakken, moeten we zorgvuldig met onze data blijven omgaan’.
Datalek melden? Op Lentisnet vind je alle instructies in de groep Informatieveiligheid. Deel je datalek of een vermoeden daarvan in ieder geval met je leidinggevende en maak een melding in de self service desk (icoon op je bureaublad).
Voorbeelden incidenten met betrekking tot informatieveiligheid • Zonder toestemming in dossier kijken. • Je laptop met patiëntengegevens is gestolen. • Je doet telefonisch patiëntoverdracht in de trein. • Data met (bijvoorbeeld) medicijngegevens van cliënten worden gehackt. • Phisingmails.