We nodigden privacy & security professionals Lynn de Vries (Rijnstate ziekenhuis) en Charlotte Straus (Merem medische revalidatie) uit om hun ervaringen en best practices uit cybersecurity en privacy awareness trainingen in de Nederlandse zorgsector te delen.
Bekijk het volledige webinar op YouTube.
Wat zijn de uitdagingen bij het creëren van een goede en duurzame security- en privacycultuur binnen zorgorganisaties?
De uitdaging waar de medische revalidatie voor staat, net als andere gezondheidsorganisaties, is het gebrek aan tijd maar ook het gebrek aan interesse in deze onderwerpen. ‘NanoLearning van Junglemap behandelt deze onderwerpen met voorbeelden die zowel in het privé- als op het werk herkenbaar zijn. Bijvoorbeeld het gebruik van veilige wachtwoorden en de kenmerken van phishingmails, zegt Charlotte Straus. Een van de oplossingen om het probleem van tijd aan te pakken, is het aanbieden van ‘snacks’ op het gebied van privacy en veiligheid. Licht verteerbare lessen die geen tijd van je agenda vergen; ze nemen slechts 2 tot 3 minuten in beslag.
Naast alle verplichte medische opleidingen die zorgprofessionals hebben, concurreert privacy- en security awarenesstraining hier eigenlijk mee. Zoals Lynn de Vries ook vermeldt; ‘We moeten voorzichtig zijn met patiënt- en medewerkersgegevens en het belang daarvan steeds herhalen. Denk ook goed na bij het versturen van bewustwordingslessen en hoe je dit aanpakt. We maken het zo laagdrempelig mogelijk, maar tegelijkertijd sturen we een link in een e-mail, terwijl we onze mensen vertellen om niet op links in e-mails te klikken.’
Charlotte Straus voegt daar nog aan toe; ‘Communicatie staat hier centraal. We zijn al een tijd geleden begonnen met het aankondigen van de bewustwordingstraining door te sturen vanaf welk e-mailadres de lessen worden verzonden, op welk moment de medewerkers de NanoLearning in hun inbox ontvangen en - met een screenshot - hoe een les en/of de e-mail eruit komt te zien. Dat geeft ze een veilig klikgevoel en helpt onze medewerkers bij het starten en afronden van de lessen.’
Over een goede cybersecuritycultuur gesproken, zegt Arno van den Hof, Algemeen Directeur voor Junglemap in de Benelux; ‘het kost tijd en moeite om een fatsoenlijke cybersecurity cultuur te creëren. Ik heb niemand ooit horen zeggen dat ze uitkijken naar de security- of privacytraining, omdat dit gewoon niet de meest geliefde onderwerpen zijn om over te leren.' Hoewel organisaties worden gehackt en getroffen door ransomware, moeten we heel voorzichtig zijn. De gezondheidszorg verwerkt veel gevoelige gegevens en mensen kunnen fouten maken. Zo zijn mensen nu eenmaal, maar door te leren van fouten kan een goede veiligheidscultuur ontstaan.
Over risico's en ontwikkelingen vanuit de hackerkant zegt Lynn de Vries; ‘De methoden die criminelen gebruiken, worden steeds geavanceerder. Wat betekent dat we nog bewuster moeten zijn. Zo zijn phishingmails niet meer zo makkelijk te herkennen als voorheen. We zijn erg blij als mensen ons benaderen met de vraag of een e-mail veilig is, omdat dit betekent dat ze op de hoogte zijn van de risico's. Phishingpogingen vinden dagelijks plaats, dus je moet weten wat de mogelijke bedreigingen zijn en hoe u erop kunt reageren.
Charlotte Straus voegt daar nog aan toe; ‘Het is een doorlopende trend en zal in de toekomst nog belangrijker worden.’
Hoe kunnen we goed gedrag op het gebied van cybersecurity en privacy bevorderen in een omgeving met een toch al uitdagende werkdruk?
Naast wat hierboven is gezegd, voegt Arno van den Hof toe; ‘Mensen zijn na een week al meer dan de helft vergeten van wat ze hebben geleerd in de traditionele e-learning die vaak minstens een half uur in beslag neemt. Door de informatie op te splitsen in kleinere stukjes, onderwerpen in komende lessen te relateren en herhaling te gebruiken, helpen we mensen onthouden wat ze hebben geleerd.’ Deze onderwerpen zijn te belangrijk om slechts één of twee keer per jaar te trainen.
Charlotte Straus: “We krijgen complimenten van medewerkers over de leermethode die we hanteren en het aantal interne meldingen van (mogelijke) privacy- en/of security incidenten neemt iets toe. Dat is een goede zaak, waardoor mensen verdachte zaken gaan herkennen en een melding gaan doen.’ ‘We zien ook dat externe accountants de bewustwordingsmethode die we gebruiken waarderen.’ Daar voegt Lynn de Vries nog aan toe; 'We tonen naleving door middel van bewustwordingstrainingen, het is een continu proces. Als we mensen kunnen helpen hun voltooiingspercentages te verhogen, helpen we graag! We zijn blij dat ze ons vragen stellen en proactiever worden.'
Hoe kunnen we bewustwordingstrainingen opzetten – als er voortdurend tijdgebrek is?
Lynn de Vries vertelt ons dat medewerkers soms zeggen dat ze geen tijd hebben om de training te doen en dat ze het niet prettig vinden dat ze een herinnering krijgen als ze de lessen niet afmaken. ‘Nu gaan mensen als team samen lessen volgen, het duurt maar 3 minuten en het helpt om gesprekken over privacy en veiligheid op gang te brengen. Dit sneeuwbaleffect is precies wat helpt om belangrijke onderwerpen te onthouden.’
Zowel Charlotte Straus als Lynn de Vries zijn het eens over het positieve effect van rapporteren in het NanoLearning-platform. ‘De voltooiingspercentages zijn veel hoger dan traditionele e-learnings en openingspercentages van nieuwsbrieven die we binnen de organisatie versturen.’ Daarnaast wijst Charlotte Straus erop dat voor de NEN7510, de norm voor informatiebeveiliging in de zorg, in Nederland moeten organisaties laten zien wat ze doen aan het structureel creëren van bewustwording. ‘De auditor waardeert de methode die we nu gebruiken.’
Afsluitend licht Arno van den Hof toe; ‘Medewerkers de lessen laten maken, dat is wat je wilt bereiken. Organisaties worstelen om de focus op bewustzijn te behouden en herhaling is een geweldige manier om mensen te helpen dingen te onthouden. De voltooiingspercentages zijn meestal niet zo hoog. AI maakt het met bijvoorbeeld deepfake voice en video moeilijker om scams te herkennen. De technologie gaat snel en criminele organisaties zullen er slecht gebruik van maken en ons proberen te misleiden. We moeten meer dan ooit bewust zijn, en het zal in de toekomst nog belangrijker worden. De impact neemt met verloop van de tijd toe.’