Terugblik Round Table ‘Security in de zorg’
Onlangs organiseerde PCI een Round Table voor de zorgsector met aandacht voor het thema security. Hoe gaan we op lange termijn om met security? Aan de hand van vier stellingen werd gediscussieerd over de noodzaak van security strategie. Een leerzaam en verhelderend online event met hieronder een uitgebreid terugblik.
Security is op dit moment in vrij veel organisaties een belangrijk punt van aandacht, maar in de zorgsector is het helemaal een hot topic. Media berichten bijna dagelijks over een datalek, een cyberaanval of een gehackt account. En waar een attractiepark zich nog makkelijk herstelt van een datalek ligt dat in de zorg duidelijk anders. Daar zitten de computers bomvol gevoelige data. Maar hoe tuig je die zo gewenste bescherming nou goed op? Enerzijds is daar de AVG-wet- en regelgeving, anderzijds zit bescherming ook in je medewerkers die moeten weten hoe ze dossiers veilig kunnen delen en op welke links ze beter niet kunnen klikken. Wij besloten onze kennis over security in de zorg te delen met een select gezelschap van care-instellingen aan de hand van een Round Table. Dat bleek een schot in de roos. Met name de kleine setting en de opzet, die een onderlinge dialoog stimuleerden en waarin ruimte was voor eigen input, werden erg gewaardeerd. We delen in dit artikel de belangrijkste inhoud van deze dag met je.
‘Leuk om security vanuit de mens en de organisatie te bekijken
en niet zozeer vanuit IT.’
Actuele ICT security uitdagingen in de zorg
Security is een dynamische aangelegenheid. De wetgeving verandert, zoals nu met de in werking tredende NTA-7516-norm; de techniek evolueert waardoor het makkelijker wordt om bij data te komen; en medewerkers zijn lang niet altijd op de hoogte van wat wel/niet veilig is om te doen rondom datagebruik en online gedrag. De uitdaging voor care-instellingen zit ‘m in eerste instantie in de vertaling van wetgeving naar strategie: hoe gaan we op de lange termijn om met security? De tweede en moeilijkste uitdaging is de vertaling van beleid naar de uitvoering: wat betekent dit nou concreet op de werkvloer?
‘Goed om te horen hoe in een andere laag in de organisatie
over security wordt gedacht.’
Ervaringen delen
Aan de hand van vier stellingen discussieerden we over de noodzaak van een security strategie binnen zorgorganisaties, over in hoeverre je als organisatie controle hebt op je security en of security de werkdruk op de IT-afdeling verhoogt. Een van de deelnemers liet weten een Security Officer te hebben benoemd omdat er zo veel gebeurt en het erg prettig is om dat te kunnen borgen; zeker op de lange termijn. Een ander vertelde dat als je alles zelf wilt doen dat een grote impact heeft op de werkdruk. Met name door de snelheid waarop nieuwe ontwikkelingen zich opvolgen. Security blijft een specialistische tak binnen IT. Borg je dit aan de voorkant, dan gaat het je aan de achterkant helpen als er een aanval daadwerkelijk plaatsvindt.
In die zin was de Round Table een uitkomst. Met andere zorginstellingen praten over hoe jij de security hebt geregeld doe je niet zo snel. Maar in deze setting was het meer een kwestie van elkaar tips geven en het delen van good practices.
‘Het was echt interessant om te horen hoe andere zorgbedrijven
hun security geregeld hebben.’
Drie tips
Dobias van Ingen, CTO bij HPE Aruba, en Eric Neurink, ICT Coördinator / Privacy Officer bij Zorgcentrum De Posten gaven beiden een korte presentatie en stelden dat er verschillende oplossingen zijn om jezelf, je data en je organisatie optimaal te beschermen. Het gaat dan om het creëren van veiligheid op drie niveaus: processen, hardware & software en bewustwording bij je medewerkers. Zij gaven onder andere onderstaande drie concrete tips:
- Regel /formaliseer vaste punten zoals privacy statements, toestemmingsverklaringen en bijvoorbeeld beleidsdocumenten voor cameratoezicht.
- Secure printen en afval: waar, wanneer en veilig. Denk ook aan afval voor vertrouwelijk papier en baxterzakjes.
- Om je medewerkers bewuster te maken: houd instructies zo simpel mogelijk en herhaal, herhaal, herhaal.
Conclusie
De groep was een mix van IT’ers, managers en een bestuurder. Tijdens de gesprekken werd al snel duidelijk dat een bestuurder vooral organisatiebreed naar security kijkt en een IT’er zich beperkt tot netwerksecurity. Logisch? Best wel. Maar tijdens interne discussies zijn mensen zich daar niet altijd even bewust van. Bovendien is de vertaling van een strategisch directiebesluit naar een concrete IT-actie niet altijd even simpel. Loop jij daar ook tegenaan? Neem dan contact op met Joon Bronsgeest, onze IT-specialist als het gaat om zorginstellingen en Azure. Want die vertaalslag maken, daar zijn wij goed in en we adviseren je met alle plezier hierover.
