Vaak wordt gezegd dat het grootste risico zich bevindt tussen de stoel en het toetsenbord, oftewel de medewerker. Maar medewerkers weten in de meeste gevallen niet eens dat ze iets onveiligs of met een groter risico doen. Daarom gaan we bij het maken van een security-beleid uit van een drie-eenheid: mens, techniek en processen. Wil je de informatieveiligheid en weerbaarheid verhogen, zorg er dan voor dat technisch de zaken op orde zijn, je je processen onder het veiligheidsvergrootglas houdt en je medewerkers uitgerust zijn met de juiste kennis en stimulering in gedragsverandering. Door deze drie-eenheid aan te houden, worden je zorgmedewerkers op de juiste manier gefaciliteerd om daadwerkelijk veilig te werken.
Kleine informatiesessies, groot effect
Een verandering in medewerkersgedrag wordt het beste over een lange periode ingebed. Herhaling is daarom essentieel. Kleine invloeden gedurende een lange termijn hebben het meeste effect. Denk bijvoorbeeld aan een maandelijkse opfrisser van tien minuten waarbij ingespeeld wordt op actualiteiten en zorgcases die herkenbaar zijn voor de medewerker. Omdat zorgprocessen hoog efficiënt zijn ingeregeld en in de praktijk alle tijd geleverd moet worden aan uitmuntende zorg, past deze aanpak het best. Je houdt de belasting laag en de toegankelijkheid hoog. Met een kleine tijdsinvestering per medewerker per maand bereik je ook meer dan met een lange, periodieke sessie, omdat het minder impact heeft op de zorg voor de patiënt. Tegelijkertijd kun je blijvend bijscholen: cybersecurity en het zorg-vakgebied zijn immers continu in beweging. Hiermee sla je twee vliegen in één klap.
Wek risico’s tot leven
Hiernaast is het belangrijk om de grootste risico’s in kaart te brengen. Elke zorgmedewerker moet snappen wat de regels zijn en waarom deze er zijn. Daarnaast moet het helder zijn wat informatie, en vooral de combinatie van bepaalde informatie, waard is. Wanneer je kennis aanbrengt en uitlegt hoeveel informatie waard is, kunnen medewerkers risico’s beter inschatten en veiligere keuzes maken.
Ook helpt het om elkaars keuzes te begrijpen. Zo kennen zorgrisico’s en it-risico’s niet altijd dezelfde zwaarte. Neem een patiëntkritiek systeem dat niet uit kan vanwege het patiëntrisico. Maar als deze over lange tijd niet geüpdatet wordt, heeft dit een onveilige en mogelijk levensbedreigende situatie tot gevolg. Om consequenties helder uit te leggen, helpen gaming-elementen. Neem je medewerkers mee in de wereld van een hacker. Laat zien hoe data op het darkweb verkocht wordt. Dan komt deze digitale wereld ook voor hen tot leven.
Meet en faciliteer kennis
Wringt de schoen meer bij de processen, de techniek of bij de kennis en het gedrag van je medewerkers? Door dit te onderzoeken en te meten, weet je wat er moet gebeuren om verandering teweeg te brengen. Door na een periode van aanpassingen maken, informatievoorziening en training kun je aan de hand van metingen zien wat goed gaat en waaraan nog gewerkt moet worden. Meet in een securityawareness-campagne het huidige kennisniveau, de veranderbereidheid en de leerbelasting die de medewerkers aankunnen.
Medewerkers willen veilig werken, maar weten vaak niet hoe. Door bij de start van de campagne onderzoek te doen, ontdek je ook of medewerkers mogelijk onveilige keuzes maken omdat de juiste tooling ontbreekt of omdat het proces voor onveilige situaties zorgt.
Werkstijlverandering
Gedrag verander je niet in een keer. Met het passende securityawareness-traject zorg je ervoor dat je medewerkers een werkstijlverandering doormaken. Omdat er cyclisch gewerkt wordt aan kennisverdieping en -verbreding, raken privacy en security ingebed in het dagelijks werk. Door kleine tijdsinvesteringen per maand te vragen, wordt dit verweven met de efficiënt ingerichte zorg. Er gaat weinig tijd verloren om deze zorg te leveren. Daarnaast begrijpen je medewerkers de noodzaak en voeren veiligheidshandelingen uit vanuit automatisme en intrinsieke motivatie.
Kortom, ze zijn onbewust bekwaam geworden. Zo houd je de digitale deur van je zorginstelling gesloten en de informatievoorziening open en gezond.
(Auteur Sonja de Vries is social business consultant bij Ilionx.)
Reacties
Sonja is een social business consultant wat interessant klinkt maar heeft ze ook enige ervaring in de zorg? Ik stel de vraag omdat ik vanuit de praktijk wat puntjes zie die ronduit gezegd gewoon onzin zijn. Neem bijvoorbeeld de regels, hoeveel hiervan zijn er van boven opgelegd zonder idee over de realiteit op de werkvloer?
De intrinsieke motivatie van zorgverleners ligt niet bij de ICT, die ligt bij de mensen en ik blijf dus voor ze applaudisseren want jokers in Den Haag begrijpen nog altijd niet dat het automatisme van levensreddende hulp om de handeling gaat en niet om de rekening. Wat betreft werkbaarheid is er sprake van overregulering in de zorg als we naar de administratieve last kijken door het idee dat we efficiënte zorgprocessen hebben als we de details gaan managen.
Misschien dat de ‘gaming’ van de beademing helpt aangaande de empathie want ik ben benieuwd hoeveel mensen deze eerste hulp weigeren als er geen zekerheid is over de digitale veiligheid. En ik ben een groot voorstander om een soort ZHKH onderdeel te maken van een elke middelbare school opleiding.