'Van weten naar doen', artikel en podcast informatieveilig gedrag

Aan de slag met informatieveilig gedrag
Publicatie 21 mei 2021
Onderdeel van magazine: ICTU Magazine mei 2021

Om te zorgen dat medewerkers in de zorg zich niet alleen bewust zijn van het belang van informatieveiligheid, maar er ook naar kunnen handelen, ontwikkelde ICTU in opdracht van de vereniging Brancheorganisaties Zorg (BoZ) en het ministerie van VWS een nieuwe methodiek.

Artikel en podcast

Hieronder leest u het artikel over informatieveilig gedrag dat ook verscheen in iBestuur Magazine nummer 38 over deze methodiek en aanpak. Over dit onderwerp verscheen inmiddels ook een podcast in de serie ICTU 20 jaar. U kunt deze podcast hier beluisteren.

Deze aanpak met zes stappen is het afgelopen jaar getoetst in vier zorgorganisaties in verschillende branches. Hiervoor is een ‘wegwijzer’ beschikbaar waarmee zorgorganisaties zelf aan de slag kunnen. U vindt de actuele versie van de Wegwijzer op de LinkedIn pagina 'Aan de slag met informatieveilig gedrag'.

Goede en veilige zorg kan niet zonder een goede en veilige informatievoorziening. Zorgorganisaties zetten daarom de afgelopen jaren in op kennisdeling en bewustwording rondom informatieveiligheid en privacy. De praktijk is echter nog vaak weerbarstig. Er zijn altijd wel redenen om het net even anders te doen dan volgens de vastgestelde, veilige, procedure. Sneller, gemakkelijker, minder gedoe. Het project Informatieveilig gedrag in de Zorg streeft naar duurzame verandering van gedrag. “De reactie op problemen rond informatieveiligheid was tot nu toe vooral: direct handelen. Meestal door te werken aan bewustwording met bijvoorbeeld een campagne die elders goed werkte,” zegt BoZ-secretaris Johan van der Spek. “Die actiestand oogst vaak waardering, want daarmee lijkt het alsof je werkt aan informatieveiligheid. Maar is het ook effectief? Regelmatig niet, leert de ervaring. Als een interventie niet aansluit bij de oorzaken van het probleem, levert het ook geen oplossing op.”

Zes stappen

De methodiek van de BoZ, ontwikkeld door ICTU, is afgeleid van het veranderingsmodel van de Britse gezondheidspsycholoog Susan Michie. “We hebben het wetenschappelijke model wat aangepast om het praktisch toepasbaar te maken”, vertelt Miriam Kop, projectmanager namens BoZ. “Zo zijn we gekomen tot zes stappen: van het definiëren van het probleem en het bepalen van het gewenste gedrag tot het kiezen en toepassen van interventies en het verankeren van het gedrag.”Een belangrijke stap is uitzoeken waarom medewerkers nu niet doen wat ze in de gewenste eindsituatie wel zouden doen. Daarvoor worden gesprekken gevoerd met de doelgroep en andere betrokkenen, zoals de functionaris gegevensbescherming en ICT’ers. Van der Spek: “Als je de oorzaken kent van het gedrag, kun je gaan nadenken over hoe je dat gedrag kunt veranderen. Soms ligt het aan de software, soms weten medewerkers niet eens dat ze iets verkeerd doen. Hoe kun je hen helpen om het goed te doen?” Het model is getoetst bij vier zorgorganisaties: een organisatie voor gehandicaptenzorg, een universitair medisch centrum, een algemeen ziekenhuis en een ggz-instelling. Zij konden zelf een probleem aandragen. Bijvoorbeeld het delen van persoonsgegevens via niet goedgekeurde kanalen zoals Dropbox en WeTransfer; onrechtmatige inzage in patiëntgegevens, en het herkennen en melden van phishingmails.

Nulmeting

Na het vaststellen van het probleem en het gewenste gedrag werd een nulmeting gedaan. “Als je het effect van interventies wilt bepalen, moet je weten wat het startpunt is”, legt projectmanager Nanja Appel van ICTU uit. “Bij de phishingmails hebben we zelf een bericht de organisatie ingestuurd om te kijken hoe medewerkers zouden reageren. Als je goed oplette, zag je dat er iets niet klopte, maar de meerderheid van de medewerkers klikte toch door en een deel daarvan vulde zelfs gevoelige informatie in. De zorgorganisatie is nu bezig met het uitvoeren van de interventies, zoals het makkelijker maken om een melding te doen, voorlichting en training. Als de interventies zijn uitgevoerd, gaan we opnieuw testen en kijken of het gedrag veranderd is. De zorgorganisaties vormden een multidisciplinair kernteam en het deskundigenteam vanuit het project zorgde voor de begeleiding van de pilots. Belangrijke succesfactoren waren het betrekken van de doelgroep, het goed beschrijven van het doelgedrag en het meetbaar maken van de uitgangspositie en de voortgang. De ervaringen worden verwerkt in een wegwijzer voor zorgorganisaties: ‘Aan de slag met informatieveilig gedrag'." Van der Spek: “We zetten het prototype nu om in een praktijkinstrument en we zijn in gesprek met VWS hoe we zorgorganisaties verder kunnen faciliteren bij de uitvoering.”

Werken aan gedragsverandering

Het project ‘Informatieveilig gedrag in de Zorg’ richt zich op het vergroten van de informatie veiligheid in de zorgsector. Doel is dat zorgorganisaties effectieve aanpakken voor gedragsverandering kennen en kunnen gebruiken in de praktijk.

Informatieveilig gedrag in de Zorg is een project van ActiZ, de Nederlandse ggz, NFU, NVZ en VGN, verenigd in de Brancheorganisaties Zorg (BoZ), en het ministerie van Volksgezondheid, Welzijn en Sport, uitgevoerd door stichting ICTU. Nanja Appel is als projectmanager van ICTU betrokken bij de uitvoering van dit project. “De kern van onze methodiek is dat we een probleem met informatieveiligheid helemaal afpellen. Wat maakt dat medewerkers niet het gewenste gedrag vertonen? Welke interventies zijn er mogelijk om hun gedrag te veranderen? En helpen die ook?"

Het project is praktijk- en actiegericht vanuit een wetenschappelijk fundament. Op basis van een kortcyclische aanpak worden steeds concrete acties gekozen en uitgevoerd. In het project worden opgedane kennis en ervaring breed gedeeld binnen de vijf zorgbranches en waar mogelijk in de gehele zorgsector.

Meer informatie

In dit project is ook gebruikgemaakt van de expertise van de Vakgroep Gedrag, één van de vakgroepen van ICTU die zich richten op kennisdelen over thema’s in de digitale overheid. Het project is inmiddels overgedragen aan Stichting ECP. Zij zijn te bereiken via info@informatieveiliggedragzorg.nl.

Dit artikel verscheen in nummer 38 van het iBestuur magazine. U vindt het artikel op pagina i36 en i37.

Inschrijven Magazine

Meld u aan voor het ICTU Magazine, en ontvang regelmatig nieuws en inspiratie over ontwikkelingen in de digitale overheid.