Veel security-officers bij zorgorganisaties weten hoe belangrijk de menselijke factor in informatiebeveiliging is. Ook bij bestuur en management begint dit door te dringen. Er wordt dus met goede bedoelingen al best veel gedaan, ook als men niet goed weet hoe een effectieve benadering eruit ziet. Als je dit niet goed aanpakt verspil je kostbare tijd van zorgmedewerkers, is de informatie niet veiliger na jouw acties, en krijgen mensen een hekel aan de afdeling informatiebeveiliging. Met een goede aanpak krijg je veel meer resultaat. Daarvoor geef ik je nu zeven tips.

1. Stop met mensen wegzetten als de zwakste schakel

Vaak wordt gezegd dat de mens de zwakste schakel is in informatiebeveiliging. Is dat nou nodig?? Als eerste: is het als zorgmedewerker motiverend als er zo over je gesproken wordt? Ga je dan echt beter je best doen? Krijg je meer vertrouwen in de mensen die dat over je zeggen? Ik vermoed nee, nee en nee. Verder: als informatiebeveiligers hebben we het vaak lastig gemaakt om het goed te doen. Vind je het dan gek dat mensen die gewoon hun werk willen doen voor de makkelijkste weg kiezen? Mag iemand misschien ook nog eens een fout maken? Maak de mens onderdeel van het systeem. Houd rekening met hoe mensen werken bij het ontwerpen van processen en systemen, dus maak het veilige gedrag het voor de hand liggende gedrag. Heb je niet achteraf nog een bewustwordingscampagne nodig.

2. Hackers hebben de kansberekening al gemaakt

Bij de vorige tip vermeldde ik al dat mensen soms fouten maken. Met bewustwordingsacties probeer je de kans te verkleinen dat medewerkers iets fout doen. Hackers hebben al lang de analyse gemaakt hoe ze die kans op fouten juist kunnen vergroten. Op welke momenten mensen zijn afgeleid, haast hebben, vermoeid zijn. Daar spelen ze met hun phishingmails, telefoontjes en andere acties op in! Om de kans op fouten te verkleinen is bewustwording een basis, maar niet altijd genoeg. Gedrag wordt gestuurd door meer dan kennis. Analyseer waar het fout kan gaan en baseer je acties daarop.

3. Gedragsverandering is een vak

Zou jij aan een psycholoog vragen om je firewall te configureren? Waarschijnlijk niet, want daarvoor is technische kennis nodig die bijna geen enkele psycholoog bezit. Omgekeerd verwachten we wel vaak dat technisch onderlegde security-officers of juridisch geschoolde FG’s aan de slag gaan met het beïnvloeden van gedrag. Dan denken we dat als we mensen iets uitleggen, dat ze hun gedrag wel gaan aanpassen. Zo simpel is het helaas niet. Voor meer effect vraag je mensen met verstand van gedragsverandering om hierbij te ondersteunen.

4. Zet risicomanagement in

Kern van NEN 7510 is dat je maatregelen kiest op basis van een risicoanalyse. Waar een onacceptabel risico is, is actie nodig. Jaren geleden was het bij informatiebeveiliging best practice om een standaard lijstje controls te implementeren. Dat vakgebied is volwassener geworden en verschoven naar het gebruik van standaarden gebaseerd op risicoanalyse. Met bewustwording en gedrag zijn veel organisaties nog niet zo ver. Onderwerpen en bewustwordingsacties worden dan gekozen omdat anderen ze op lijstjes hebben gezet. Of op gevoel: “wat een leuke escaperoom!”. Beter is het om te inventariseren welke risico’s er zijn, die (mede) veroorzaakt worden door gedrag, en dan te prioriteren en maatregelen te nemen.

5. Kennis is een basis

Alleen kennis zal in veel gevallen niet direct leiden tot gedragsverandering. Toch is een basisniveau van kennis een voorwaarde om informatieveilig gedrag te stimuleren. Dit helpt medewerkers om slimmere keuzes te maken met betrekking tot informatieveiligheid en privacy. Ook kunnen zij vragen van patiënten/cliënten over dit onderwerp beantwoorden. Een basis van kennis leggen doe je door alle medewerkers via verschillende kanalen te bereiken. Samenwerking met opleidingen en communicatie is handig. Een e-learning kan onderdeel zijn om op een efficiënte wijze een stap te zetten. Deze stap wordt effectiever als je daaromheen het gesprek stimuleert, bijvoorbeeld door het bespreken van casussen in het werkoverleg, of door mensen de e-learning met z’n tweeën te laten doorlopen.

6. Begrijp gedrag

Als we ongewenst gedrag zien, willen we direct acties verzinnen om dit gedrag aan te pakken. De stap die daarbij vaak wordt overgeslagen is eerst de oorzaken van het gedrag te onderzoeken en te begrijpen. Gedrag is complex, mensen zijn niet zo rationeel als je zou denken. Naast kennis is er soms meer nodig om mensen daadwerkelijk hun gedrag te laten aanpassen. Werkt het systeem onhandig, zegt de leidinggevende dat het niet hoeft of vraagt de familie van de cliënt om te WhatsAppen? Ga in gesprek met je collega’s om de onderliggende redenen van gedrag te achterhalen. Belangrijk hierbij is een open houding, kom luisteren. Wees nieuwsgierig, en laat voor deze keer jouw uitleg achterwege.

7. Stel vast of je effect hebt

Hoofdstuk 9 van NEN 7510-1 schrijft voor dat je de getroffen maatregelen beoordeelt op hun  doeltreffendheid. Bij bewustwording worden meestal vooral de inspanningen gemeten. Hoeveel berichten zijn er geplaatst, hoeveel mensen hebben een training of e-learning gevolgd, hoeveel bijeenkomsten heeft de werkgroep gehad, hoeveel nieuwsbrieven zijn er verspreid? Dit zegt natuurlijk wel iets over de mate van aandacht die het onderwerp krijgt, maar of je informatie nu veiliger is, dat weet je dan nog niet. Pas met een doeltreffendheidsmeting stel je vast of je effect hebt: is het gedrag daadwerkelijk veranderd? En draagt dat ook echt bij aan veiliger informatie?

Aanpakken maar! Nu heb je zeven mooie tips om meer succes te hebben met het managen van de menselijke factor in informatiebeveiliging, als onderdeel van de implementatie van NEN 7510. Laat deze tips niet liggen, pak ze aan! Al neem je er maar eentje. Implementeer en kijk wat de resultaten zijn. Ik vind het heel leuk om te horen hoe deze tips je geholpen hebben. Wil je meer weten over dit onderwerp? Kom dan naar een van de gratis webinars in maart 2023 met als onderwerp:  Drie veelgemaakte fouten met bewustwording in de zorg. Klik hier voor meer informatie. Heb je de webinars gemist en ben je wel nieuwsgierig, neem dan contact op. Heb je vragen of opmerkingen naar aanleiding van deze tips? Deel ze hieronder of neem contact op!   Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)