Overslaan en naar de inhoud gaan

Artikel 'Van weten naar doen'

Aan de slag met informatieveilig gedrag, artikel gepubliceerd in iBestuur magazine nummer 38
Publicatie 11 apr 2021

Om te zorgen dat medewerkers in de zorg zich niet alleen bewust zijn van het belang van informatieveiligheid, maar er ook naar kunnen handelen, ontwikkelde ICTU in opdracht van de vereniging Brancheorganisaties Zorg (BoZ) en het ministerie van VWS een nieuwe methodiek.

Deze aanpak met zes stappen is het afgelopen jaar getoetst in vier zorgorganisaties in verschillende branches. Binnenkort komt een ‘wegwijzer’ beschikbaar waarmee zorgorganisaties zelf aan de slag kunnen.

Goede en veilige zorg kan niet zonder een goede en veilige informatievoorziening. Zorgorganisaties zetten daarom de afgelopen jaren in op kennisdeling en bewustwording rondom informatieveiligheid en privacy. De praktijk is echter nog vaak weerbarstig. Er zijn altijd wel redenen om het net even anders te doen dan volgens de vastgestelde, veilige, procedure. Sneller, gemakkelijker, minder gedoe. Het project Informatieveilig gedrag in de Zorg streeft naar duurzame verandering van gedrag. “De reactie op problemen rond informatieveiligheid was tot nu toe vooral: direct handelen. Meestal door te werken aan bewustwording met bijvoorbeeld een campagne die elders goed werkte,” zegt BoZ-secretaris Johan van der Spek. “Die actiestand oogst vaak waardering, want daarmee lijkt het alsof je werkt aan informatieveiligheid. Maar is het ook effectief? Regelmatig niet, leert de ervaring. Als een interventie niet aansluit bij de oorzaken van het probleem, levert het ook geen oplossing op.”

Zes stappen

De methodiek van de BoZ, ontwikkeld door ICTU, is afgeleid van het veranderingsmodel van de Britse gezondheidspsycholoog Susan Michie. “We hebben het wetenschappelijke model wat aangepast om het praktisch toepasbaar te maken”, vertelt Miriam Kop, projectmanager namens BoZ. “Zo zijn we gekomen tot zes stappen: van het definiëren van het probleem en het bepalen van het gewenste gedrag tot het kiezen en toepassen van interventies en het verankeren van het gedrag.”Een belangrijke stap is uitzoeken waarom medewerkers nu niet doen wat ze in de gewenste eindsituatie wel zouden doen. Daarvoor worden gesprekken gevoerd met de doelgroep en andere betrokkenen, zoals de functionaris gegevensbescherming en ICT’ers. Van der Spek: “Als je de oorzaken kent van het gedrag, kun je gaan nadenken over hoe je dat gedrag kunt veranderen. Soms ligt het aan de software, soms weten medewerkers niet eens dat ze iets verkeerd doen. Hoe kun je hen helpen om het goed te doen?” Het model is getoetst bij vier zorgorganisaties: een organisatie voor gehandicaptenzorg, een universitair medisch centrum, een algemeen ziekenhuis en een ggz-instelling. Zij konden zelf een probleem aandragen. Bijvoorbeeld het delen van persoonsgegevens via niet goedgekeurde kanalen zoals Dropbox en WeTransfer; onrechtmatige inzage in patiëntgegevens, en het herkennen en melden van phishingmails.

Nulmeting

Na het vaststellen van het probleem en het gewenste gedrag werd een nulmeting gedaan. “Als je het effect van interventies wilt bepalen, moet je weten wat het startpunt is”, legt projectmanager Nanja Appel van ICTU uit. “Bij de phishingmails hebben we zelf een bericht de organisatie ingestuurd om te kijken hoe medewerkers zouden reageren. Als je goed oplette, zag je dat er iets niet klopte, maar de meerderheid van de medewerkers klikte toch door en een deel daarvan vulde zelfs gevoelige informatie in. De zorgorganisatie is nu bezig met het uitvoeren van de interventies, zoals het makkelijker maken om een melding te doen, voorlichting en training. Als de interventies zijn uitgevoerd, gaan we opnieuw testen en kijken of het gedrag veranderd is. De zorgorganisaties vormden een multidisciplinair kernteam en het deskundigenteam vanuit het project zorgde voor de begeleiding van de pilots. Belangrijke succesfactoren waren het betrekken van de doelgroep, het goed beschrijven van het doelgedrag en het meetbaar maken van de uitgangspositie en de voortgang. De ervaringen worden verwerkt in een wegwijzer voor zorgorganisaties: ‘Aan de slag met informatieveilig gedrag'." Van der Spek: “We zetten het prototype nu om in een praktijkinstrument en we zijn in gesprek met VWS hoe we zorgorganisaties verder kunnen faciliteren bij de uitvoering.”

Werken aan gedragsverandering

Het project ‘Informatieveilig gedrag in de Zorg’ richt zich op het vergroten van de informatie veiligheid in de zorgsector. Doel is dat zorgorganisaties effectieve aanpakken voor gedragsverandering kennen en kunnen gebruiken in de praktijk.

Informatieveilig gedrag in de Zorg is een project van ActiZ, de Nederlandse ggz, NFU, NVZ en VGN, verenigd in de Brancheorganisaties Zorg (BoZ), en het ministerie van Volksgezondheid, Welzijn en Sport, uitgevoerd door stichting ICTU. Nanja Appel is als projectmanager van ICTU betrokken bij de uitvoering van dit project. “De kern van onze methodiek is dat we een probleem met informatieveiligheid helemaal afpellen. Wat maakt dat medewerkers niet het gewenste gedrag vertonen? Welke interventies zijn er mogelijk om hun gedrag te veranderen? En helpen die ook?"

Het project is praktijk- en actiegericht vanuit een wetenschappelijk fundament. Op basis van een kortcyclische aanpak worden steeds concrete acties gekozen en uitgevoerd. In het project worden opgedane kennis en ervaring breed gedeeld binnen de vijf zorgbranches en waar mogelijk in de gehele zorgsector.

Meer informatie

Wilt u meer informatie? Stuur dan een bericht naar informatieveiligheidzorg@ictu.nl. Bij dit project is ook gebruikgemaakt van de expertise van de Vakgroep Gedrag, één van de vakgroepen van ICTU die zich richten op kennisdelen over thema’s in de digitale overheid. Over deze en andere onderwerpen de komende tijd meer in het kader van ICTU’s 20-jarig bestaan.

Dit artikel verscheen in nummer 38 van het iBestuur magazine op 9 april 2021. U vindt het artikel op pagina i36 en i37.

 

Meer weten?

Reactie toevoegen

Laat een reactie achter