VOORWOORD

In je werk als professional ben je dagelijks bezig met vertrouwelijke informatie. Als medewerker bij Stichting De Bijzondere Onderneming (SDBO) zul je vaak beslissingen moeten nemen en keuzes moeten maken. Je spreekt met collega’s, met ketenpartners, zorgvragers en andere disciplines. Je werkt met zorgvrager gebonden informatie en rapporteert hierover. Je gaat met vertrouwelijke informatie om, maar weeg je in het werken met vertrouwelijke informatie ook de risico’s af? Controleer je bijvoorbeeld altijd of het door jouw verstuurde document daadwerkelijk bij de juiste persoon is aangekomen? Gebruik je altijd een beveiligde usb-stick?

Je moet je realiseren dat je bij de verwerking van gegevens (opslaan, verzenden, e.d.) rekening dient te houden met de relevante wetgeving. Voor SDBO is dit de Wet Bescherming Persoonsgegevens, de strafwettelijke regelgeving en de voor onze beroepsgroep geldende regels uit de gezondheidszorg. Op grond van deze wetgeving ben je verplicht tot geheimhouding en dien je zorgvuldig om te gaan met de aan jou toevertrouwde informatie. Dit betekent o.a. dat deze gegevens beveiligd moeten zijn tegen inzage door onbevoegden, diefstal, misbruik en openbaarmaking.

Dat je hier niet altijd aan denkt is begrijpelijk en daarom is dit protocol geschreven. Hoe meer je zich bewust bent van het belang van informatiebeveiliging, hoe beter incidenten voorkomen kunnen worden. Deze bewustwording willen wij bereiken door het informeren van medewerkers. Elke medewerker heeft zijn eigen verantwoordelijkheid.

Vaak werk je je rapportage uit op kantoor, vanuit huis, vanuit openbare gelegenheden of vanuit de woning van een zorgvrager. Je werkt je rapport uit, print stukken en verzendt deze per e-mail. Als je dit op een veilige manier doet, is er niets aan de hand. Maar je dient je er altijd van bewust te zijn dat er geen andere, niet bevoegde personen geconfronteerd worden met informatie die aan jou is toevertrouwd.

Met dit protocol willen wij al onze medewerkers verplichten om de aanbevelingen in dit protocol goed door te lezen, op te volgen en uit te voeren. Hiermee hoopt het management van SDBO dat wij met elkaar op een verantwoorde wijze met vertrouwelijke informatie omgaan.

Inleiding

De vijf grootste uitdagingen voor informatiebeveiliging in de zorg worden door Gerard Stroeve als volgt beschreven:

1. Bewustwording bij het personeel

Op de vraag naar de allergrootste uitdaging is het antwoord eensluidend: bewustwording bij het personeel. Het blijkt voor organisaties moeilijk om het personeel organisatie breed bewust te maken van informatiebeveiliging. En, minstens zo belangrijk, hoe hou je dit bewustzijn op pijl? 

1. Bestuurlijke aandacht 

De primaire taak van een zorginstelling is het verlenen van zorg, dat zal niemand bediscussiëren. Maar dat een betrouwbare informatiehuishouding daar een voorwaarde voor is, lijkt niet iedereen vanzelfsprekend te vinden. Dat uit zich in beperkte budgetten, tijd en middelen. Als er al bestuurlijke aandacht is, concentreert zich dit in de praktijk vaak op de vertrouwelijkheid rond digitale gegevens van de zorgvrager. Helaas is dit een erg smalle benadering van een veel breder onderwerp. Onterecht wordt informatiebeveiliging uitsluiten bij de afdeling IT geparkeerd.

1. Risicomanagementproces 

Veel zorginstellingen worstelen met de implementatie van een beveiligingsproces, het zogenaamde ISMS (information security management system). Het ISMS is een kwaliteitsproces waarbinnen continu de afweging wordt gemaakt tussen risico en maatregelen. Het inrichten hiervan vormt de kern van de NEN 7510-norm, die zorginstellingen dienen te implementeren. In de praktijk doorlopen zorginstellingen het proces meestal slechts eenmalig als project. Het daadwerkelijk borgen van de diverse processtappen blijkt voor veel instellingen een grote uitdaging.

1. Wet en regelgeving

Er is een groot aantal wetten en regels op het vlak van de bescherming van informatie. Dit zijn zorgspecifieke bepalingen zoals de WGBO, Wet BIG en de WBSN-z, maar ook  algemene wetgeving als de WBP, de auteurswet en de archief wet. Het is in de praktijk lastig om inzicht te krijgen in al deze bepalingen en zicht te houden op veranderingen in wet- en regelgeving.

1. Diverse inhoudelijke thema’s

Naast bovengenoemde governance-uitdagingen zijn er diverse inhoudelijke thema’s die een grote uitdaging vormen. Hoe gaat u bijvoorbeeld om met mobility, BYOD, het nieuwe werken, privacy of cyber-security? Om maar een paar thema’s te benoemen. Een valkuil is om deze thema’s ad hoc te behandelen. Het risicomanagementproces kan juist input opleveren die helpt passende keuzes te maken op het gebied van informatiebeveiliging. Helaas zorgen deze vijf uitdagingen er soms voor dat het proces tot stilstand komt of zelfs niet eens wordt opgestart. Een algemeen advies in dit is toch vooral te beginnen met het inrichten, borgen en periodiek doorlopen van het beveiligingsproces, ook al is het in beperkte vorm. Belangrijk is wel om het consequent toe te passen.

Wat je zelf kunt doen:

1. Sla geen vertrouwelijke informatie op je privé laptop of -computer op. Verlies u laptop, tablet, smartphone of usb-stick nooit uit het oog. Laat de laptop of tablet nooit achter in de kofferbak van uw auto, maar ook niet in de woonkamer op de tafel zonder dat u daarbij bent. Uw kinderen kunnen zomaar bij deze vertrouwelijke informatie komen. Een recent incident heeft weer aangetoond dat een steen snel door een raam is gegooid. Gevolg: een gestolen laptop waarop een aantal zorgvrager- en organisatie vertrouwelijke informatie stond.
2. Kies een veilig wachtwoord (combinatie van cijfers, letters, kleine- en hoofdletters, minimaal acht tekens, cijfers en leestekens).
3. Het spreekt voor zichzelf dat SDBO alle tablets, laptops en computers heeft voorzien van noodzakelijke beveiligingsmaatregelingen (firewall aan en een up-to-date antivirus-, beveiligingsprogramma). Vertrouwelijke informatie dient zo snel mogelijk in het digitale intranet van SDBO te worden geplaatst. Er wordt dagelijks een back-up gemaakt van de centrale server. Bij vervanging van uw computer, laptop of tablet zorgt onze ICT-er voor het veilig schoonmaken (formatteren) zodat er geen vertrouwelijke informatie achterblijft. Dit regelt u met personeelszaken. Dit is echter geen garantie. In Ede is een bedrijf wat zich gespecialiseerd heeft in het vernietigen van oude computers. Hier zijn echter door SDBO geen afspraken mee gemaakt. Doorgaans zal onze ICT-er zorgen voor een veilige afvoer.
4. Vervoer je rapportage/dossiers in een deugdelijk af te sluiten tas/koffer en niet in een plastic tasje, zoals helaas maar al te vaak gebeurt. Laat belangrijke rapportages en verslagen zoveel mogelijk op een veilige plek achter op kantoor, scan het bij voorkeur in zodat het digitaal in het dossier staat opgeslagen. Doe de papieren versie in de papierversnipperaar.
5. Bespreek geen zaken van de zorgvrager en onderzoekgegevens per (mobiele) telefoon in een voor publiek bestemde openbare ruimte zoals station, bus, café, restaurant of in je eigen auto wanneer je een passagier bij je in de auto hebt zitten.
6. Clean desk: zorg er ook thuis voor dat vertrouwelijke stukken goed opgeborgen zijn. Vergeet ook niet de printer en de prullenbak na te kijken of daar per ongeluk vertrouwelijke stukken zijn achtergebleven.
7. Blijf kritisch op wat je per e-mail verzendt. Zie werkinstructie Zippen (veilig versturen van documenten per mail). E-mail kan ongemerkt worden onderschept of in een onbewaakt moment net naar een verkeerd adres worden (door)gestuurd. Gaat het om vertrouwelijke informatie (zoals rapportage, verslagen op zowel zorgvrager- als organisatie niveau), verzend deze dan niet via e-mail. Ga ervan uit dat e-mailberichten door anderen bekeken kunnen worden. Wees bewust van de risico’s die deze informatie in een andere omgeving teweeg kan brengen. Ook op het oog onschuldige informatie, zoals een gsm-nummer of een foto kan misbruikt worden als het in verkeerde handen valt. Verstuur e-mail alleen naar de direct betrokkenen, houd het zakelijk en verzend niet meer gegevens dan nodig is. In de volgende paragraaf gaan wij je informeren op welke wijze je dan wel rapportage en verslagen kunt aanbieden bij SDBO intranet.

Wie op een verantwoorde manier gebruik wil maken van internet, moet zich bewust zijn van de mogelijkheden en risico’s die dat met zich meebrengt. Internet biedt heel veel voordelen, maar er zijn ook risico’s.  De grens tussen werk en privé kan gemakkelijk vervagen. Weet dus waar je bent, wie er achter de site zit, weet wie de doelgroep daarvan is en wat je doel is als je deelneemt aan bijvoorbeeld een platform.  Realiseer je zich dat internetlezers vrij gemakkelijk achter je identiteit kunnen komen door profielen van andere informatiesporen op het net met elkaar te linken. Werken op internet is werken in een glazen huis, hou dat steeds in je achterhoofd.

Zakelijk of privé   

In artikel 7 van de grondwet staat dat iedereen recht heeft op vrije meningsuiting. Dit betekent dat iedereen op het internet mag zeggen en schrijven wat hij of zij wil. Kritisch zijn mag. Zorg dat je zelf wel bewust bent van het feit dat uitspraken jaren later terug gelezen kunnen worden. Je hebt een groot bereik, anderen kunnen op je bijdrage reageren, je bent persoonlijk zichtbaar en je hebt direct contact met andere deelnemers.

Daarnaast is het belangrijk om je bewust te zijn van je positie van waaruit je dingen zegt. Doe je privé een uitspraak of reageer je vanuit je onafhankelijke positie als verslaglegger, of vanuit je functie als medewerker van SDBO. Velen zullen gebruik maken van LinkedIn, waarbij een zakelijk e-mailadres wordt gebruikt, maar waarbij je ook contact onderhoudt met vrienden en kennissen. Of je schrijft op je werk, maar wel op persoonlijke titel, een stuk voor een bepaalde site. Treed je dan op als privépersoon, een onafhankelijk rapporteur of als medewerker van SDBO? Kortom, de scheiding tussen privé en zakelijk is niet altijd helder. Bekijk daarom steeds in welke hoedanigheid je optreedt, weeg risico’s af en gebruik je gezond verstand.

Wat kun je zelf doen:

1. Bedenk altijd: bijdragen op internet blijven vaak jarenlang staan en kunnen gemakkelijk door ander media worden overgenomen.
2. Geef nooit vertrouwelijke of persoonlijke informatie.
3. Blijf binnen de wettelijke kaders van het auteursrecht.
4. Onthoud je van uitspraken die beledigend kunnen zijn.
5. Stel jezelf de vraag: zou ik me op mijn gemak voelen als mijn bijdrage morgen in de krant staat?

Wat je zelf kunt doen in het gebruik van nieuwe media:

1. Profielsites als LinkedIn en Facebook zijn jouw privédomein, dat echter ook kan uitstralen naar jou als professional. Geef hier geen vertrouwelijke informatie prijs. Je kunt zonder risico een profiel aanmaken.

1. Eigen weblog, eigen site

Vermeld ook hier geen vertrouwelijke informatie. Blog je over jouw vakgebied, maak je rol daarin dan duidelijk. Klap niet uit de school. Plaats geen foto’s van- of informatie over collega’s of zorgvragers zonder hun toestemming.

1. Twitter en bloggen

Maak uitspraken in besloten sfeer niet openbaar. Vermeld geen vertrouwelijke informatie.

1. Video- en fotokanalen als bijv. YouTube en Flickr (vloggen)

Gebruik je gezond verstand bij het plaatsen van filmpjes, geluidsbestanden of foto’s. Houd rekening met wie er gefilmd wordt, overleg, voor plaatsing, met de betrokkenen.

1. Wikipedia

Corrigeer onjuiste dilemma’s en informeer bezoekers over feiten, maar doe dat alleen over je eigen werkterrein en vermeld daarbij je functie. Meld dit altijd bij je coördinator.

Wat te doen bij diefstal:

En dan gebeurt het toch een keer: je bent slachtoffer van diefstal van je tablet of laptop, je laat jouw smartphone met daarop vertrouwelijke informatie in de trein achter of je tas met dossiers wordt uit je hand gerukt terwijl je van je auto naar huis of kantoor loopt. Incidenten gebeuren nu eenmaal in het dagelijkse leven, de kunst is om er zorg voor te dragen dat deze niet escaleren. Dus wat te doen? Breng onmiddellijk telefonisch iemand van het dagelijks bestuur (DB) op de hoogte. Deze zal op zijn beurt je adviseren over de stappen die er genomen dienen te worden. Er wordt onderzoek gedaan of er wordt een deskundige ingeschakeld. In overleg met jou wordt er bekeken hoe de schade zoveel mogelijk beperkt kan blijven en vervolgens wat de mogelijkheden voor verbetering zijn. Het DB brengt de Raad van Toezicht op de hoogte. Media worden door het DB of door de voorzitter van de RvT te woord gestaan.

Houd er rekening mee dat er bij ongewenste media-aandacht politieke consequenties uit een incident kunnen vloeien. Dit heeft mogelijk ook gevolgen voor jou als professional.

Datalekken:

Een datalek heb je als databestanden worden gehackt of als je onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte USB-stick is een datalek. Binnen de AVG is SDBO verplicht om binnen onze organisatie alle datalekken vast te leggen en te documenteren.

Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt niet als er geen risico’s voor (natuurlijke) personen uit voortkomen. Wel moet SDBO het datalek intern vastleggen en documenteren. Het datalek, de gevolgen van het datalek en de genomen maatregelen moeten worden beschreven.

De medewerker is verplicht elk datalek zo spoedig mogelijk te melden bij het Dagelijks Bestuur.

Als SDBO geven we graag richtlijnen op het gebied van informatiebeveiliging. Informatiebeveiliging is een verantwoordelijkheid van ons allen. Neem de tips die wij je gegeven hebben ter harte en, mocht het tot een incident komen, meld dit dan direct.

Bij eventuele vragen kun je je melden bij jouw coördinator of bij de HR-manager.

De tekst in dit protocol is ontstaan uit relevante wet- en regelgeving uit:

* Wet bescherming persoonsgegevens (Wbp)

* Wet Openbaarheid van bestuur (WOB)

* Auteurswet (AW)

* Wet Computercriminaliteit

* Code voor Informatie beveiliging

* Gedragscode e-mail en internet gebruik en gedragscode medewerkers SDBO

* Richtlijnen informatie beveiliging ministerie DJI