Waarom security-awarenesstraining?

Op veel plaatsen wordt er geschreven en gepraat over het trainen van medewerkers in bewustzijn van informatiebeveiliging (information security awareness). Waarom is dat eigenlijk belangrijk? We zetten hier vijf redenen voor je op een rijtje.

1 Vertrouwen en tevredenheid van cliënten en patiënten

Dagelijks zijn er in het nieuws berichten te horen en te lezen over persoonlijke gegevens die op straat zijn komen te liggen. Cliënten willen in de zorg een goede behandeling, maar ze willen ook weten wat er met hun gegevens gebeurt en dat er zorgvuldig mee wordt omgegaan. Om dat te bereiken moet je aan de cliënten en patiënten kunnen laten zien wat er wordt gedaan aan informatiebeveiliging. Dat kan alleen als medewerkers goed op de hoogte zijn van het hoe en waarom van informatiebeveiliging, aangestuurd door bestuur en management dat laat zien serieus te zijn op dit gebied. In veel gevallen begint de bewustzijnstraining dus op het hoogste niveau in een organisatie, want in lang niet alle gevallen is men daar overtuigd van de noodzaak.

2 Voldoen aan wet- en regelgeving

Privacywetgeving is maar één van de onderdelen waar een zorginstelling aan moet voldoen. Maar het is wel een onderwerp waarop de regels steeds strakker worden, zowel in Nederland als vanuit Europa. De huidige regelgeving uit Europa bestaat uit een Richtlijn uit 1995: “richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens”. Een richtlijn is een kader die per land wordt uitgewerkt in een wet. In Nederland is dat de Wet bescherming persoonsgegevens, die in 2015 uitgebreid is met de meldplicht datalekken en een grotere boetebevoegdheid voor het College bescherming persoonsgegevens.

In Europa wordt nu gewerkt aan een verordening over dit onderwerp. Het verschil met een richtlijn is, dat een verordening rechtstreeks van toepassing is. De verwachting is dat deze in 2015 in werking zal treden. Hieruit volgen nieuwe verplichtingen waarvan medewerkers op de hoogte moeten zijn.

3 Reputatie

Geen organisatie krijgt graag een slechte naam, en dat is wat er kan gebeuren als informatie niet goed beveiligd is. Dat betekent dat informatie toegankelijk is voor onbevoegden, of juist dat de benodigde informatie níet beschikbaar is op het juiste moment. Gevolgen zijn risico’s op slechte zorg, ontevreden cliënten en medewerkers en negatieve berichtgeving over datalekken of opgelegde boetes.

4 De zwakste schakel

In veel organisaties zijn op operationeel niveau heel wat, vaak technische, beveiligingsmaatregelen getroffen. Bekend is dat veel datalekken beginnen bij een onzorgvuldige medewerker. Social engineering is een vorm van informatie verzamelen waarbij iemand zich voordoet als een ander om zo informatie los te krijgen. Dit gebeurt via de telefoon, door binnenlopen of via de mail. Zo werd in februari 2015 bekend dat een grote digitale bankroof begon met het door medewerkers activeren van een mailtje dat met een virus geïnfecteerd was. Inzetten van tools is alleen zinvol als de mensen hun verantwoordelijkheden begrijpen.

Cartoon: Lae Schäfer

5 Naar een veiligheidscultuur

Met een bewustzijnstraining kun je het gedrag van mensen beïnvloeden zodat zij beveiligingsmaatregelen uitvoeren. Maar pas als ze resultaat zien van het gedrag, gaan ze geloven in de noodzaak van beveiliging en ontstaat er een veiligheidscultuur. Als gevolg daarvan kunnen houding en overtuigingen veranderen. Dit is een zaak van de lange adem. Uiteindelijk is het zo dat om de cultuur te veranderen, je moet beginnen met het veranderen van gedrag. Een bewustzijnstraining kan een eerste stap in dat traject zijn.

Security-awarenesstraining

Investeren in het bewust maken van medewerkers door middel van een security-awarenesstraining is een grote stap in het veilig houden van gegevens. Het gaat er niet alleen om dat de medewerkers zorgvuldig handelen, maar ook dat zij alert zijn. Pas dan zullen ze onveilige situaties signaleren, die in een lerende organisatie kunnen worden opgelost.