GGZ inGeest: lessons learned informatieveiligheid en privacy

GGZ inGeest: lessons learned informatieveiligheid en privacy

Een aantal maanden terug kreeg Tobias van Oerle een ambitieuze vraag van GGZ inGeest over 'informatieveiligheid en privacy'. Als programmamanager ging Tobias aan de slag! Het resultaat? Een visie op privacy is essentieel. Ontdek de succesvolle lessons learned en tips van behaalde resultaten bij GGZ inGeest die het gevolg zijn van een aantal moeilijke keuzes die zijn gemaakt.

Informatieveiligheid en privacy

Een aantal maanden terug kreeg Tobias van Oerle een ambitieuze vraag van GGZ inGeest over 'informatieveiligheid en privacy'. In minder dan een jaar wil de zorginstelling significante verbeteringen doorvoeren van zowel de privacybescherming als informatieveiligheid. De mens (patiënt en medewerker) staat centraal. Als programmamanager ondersteunde Tobias de zorginstelling in het bepalen van een visie, het geven van richting, het maken én uitvoeren van een plan.

Privacy nulmeting

Maar waar begin je? "We zijn gestart met een nulmeting die meteen duidelijk maakte dat er werk aan de winkel was. De organisatie was nog weinig gestructureerd bezig met het onderwerp. Er bleek weinig expertise op dit onderwerp aanwezig te zijn. Deze meting is de basis voor het plan dat beschrijft hoe de GGZ-instelling: Privacybescherming en Informatiebeveiliging structureel kunnen verbeteren” vertelt Tobias.

Visie op privacy

"Om te voorkomen dat we simpelweg de AVG en NEN-normen implementeren hadden we richting nodig. We stelden samen met de direct betrokkenen en de organisatie een visie op privacy op. Deze visie is niet nieuw, vernieuwend of baanbrekend maar juist toegespitst op de bestaande organisatievisie waarbij cliënten, naasten en medewerkers centraal staan" vervolgt Tobias. De visie is voor de raad van bestuur, de directie en medewerkers herkenbaar. Dit zorgt ervoor dat het ‘eigen’ is. We passen ons doel aan: “Het structureel verbeteren van de Privacybescherming en Informatiebeveiliging in lijn met de visie”.

Aansluiting en prioritering

Na het succescol opstellen van de privacyvisie en het inrichten van een programma-opzet gaat GGZ inGeest met M&I/Partners aan de slag met de inhoud. De privacyvisie geeft kaders en richting en de eerdere nulmeting bepaalt de prioritering in de stappen en inhoud. "Tobias vertelt te gaan certificeren voor de NEN7510, NEN7512 en NEN7513 en willen voldoen aan de AVG. We starten met focus op de grootste risico’s:

  1. Bewustzijn (met name: clean desk & clean screen)
  2. Digitale communicatie (e-mail / whatsapp)
  3. Autorisatiebeheer
  4. Archieven

Hoge risico’s

Naast de projecten die zich in de breedste zin richten op certificering en de AVG starten er nog drie projecten die zijn toegespitst op deze hoge risico’s: Digitaal Identiteits- en Toegangsbeheer, Veilige Communicatie en Veilig Archiveren. Ook wordt er over de hele breedte van het programma een Awareness-campagne gestart om het informatieveiligheid en privacy bewustzijn bij de medewerkers te vergroten. 

Datalekken zijn positief

De Awareness-campagne steekt GGZ inGeest laagdrempelig, casusgericht in. Ze gebruiken intranetpolls om medewerkers in discussie te brengen over informatieveiligheid en privacy stellingen en hangen posters op locaties. Ook worden er worden phishing-acties uitgevoerd en presentaties door de interne informatieveiligheid en privacy experts gegeven."Dit salvo aan communicatie heeft snel effect op het privacy-bewustzijn van de medewerkers. Informatieveiligheid en privacy w erden een toenemend gespreksonderwerp, er kwamen en komen meer vragen van medewerkers en men begon elkaar op dingen te wijzen. Er is beweging, het onderwerp is bekend en wij worden gevonden om te ondersteunen" benadrukt Tobias.

Interne betrokkenheid

De projecten leunen in de uitvoering op de eigen interne experts aangevuld met coördinatie door extere informatieveiligheid en privacy inhuur van M&I/Partners. "Binnen ieder project en in het overkoepelende programma, haken we zowel cliënten als medewerkers aan als de ‘betrokkenen’. Een afvaardiging van de cliëntenraad en een aantal vrijwilligers met cliëntervaring denken mee over de producten en nemen deel aan overleggen. Medewerkers geven input in werkgroepen, denken mee via het intranet en tijdens workshops" vervolgt Tobias.

Veel van wat vanuit de AVG en NEN vereist is, weten de medewerkers maar doen ze nog veelal onbewust en ongestructureerd. Beschrijven en structureren is dus de uitdaging. "Bij het opstellen van documenten toetsen we doelmatigheid, doelgroep en omvang continu. We willen geen lappen tekst wanneer een alinea of vijf gouden priacyregels voldoen. De interne experts, ongeacht functie of schrijfvaardigheid, schrijven de stukken zelf. Hierdoor zorgen we voor een hoog niveau van inhoudelijke betrokkenheid bij het onderwerp en taalgebruik dat past bij de organisatie."

Een visie is essentieel 

"We zijn nu een half jaar onderweg. Er waren tegenvallers, er was twijfel en we zijn soms vertraagd. Maar er zijn vooral ook keuzes gemaakt, knopen doorgehakt en er is vooruitgang geboekt. Terugblikkend kunnen we veilig zeggen dat de tijd nemen om een privacyvisie op te stellen essentieel is om het te ‘verkopen’. Presentaties en gesprekken die we hebben gaan niet meer over het ‘waarom’ maar gaan over het ‘hoe'.  Op alle niveaus in de organisatie, van directie tot in de behandelkamer, staat het onderwerp op de agenda en zijn mensen gemotiveerd om hier werk van te maken. Naast het werken vanuit de visie hebben we nog een belangrijke keuze gemaakt, we zeggen geen 'nee'. We zetten niets zomaar dicht. We gaan in gesprek en praten pas over stoppen met een werkwijze of een applicatie als we samen een alternatief hebben."

Doorzetten

"Voorlopig moeten we doorzetten. Inmiddels is de oplossing voor veilig communiceren live en wordt deze volop gebruikt binnen de organisatie. Een aantal andere grote deadlines zoals het behalen van de NEN-certificering ligt nog voor ons en naar verwachting volgen er nog meerdere grote uitdagingen daarna."

Lessons learned en tips

De behaalde resultaten bij GGZ inGeest zijn het gevolg van een aantal moeilijke keuzes die we hebben gemaakt. Deze passen we inmiddels met succes ook toe op andere plekken en zien daar al vergelijkbare resultaten!

  • Start vanuit je privacyvisie en organisatievisie. Zo zet je privacy op de kaart bij bestuur en management en heb je een voor de organisatie herkenbaar verhaal.
  • Communiceer doelgroepgericht. Erken het verschil in medewerkers en werkzaamheden en pas je boodschap en communicatie hier op aan. Zorg er voor dat je zichtbaar bent op de werkvloer, ga langs!
  • Hou het luchtig en laagdrempelig; privacy (en de AVG) is behoorlijk complex en soms verwarrend, zorg daarom dat je intern heel concreet, laagdrempelig (en leuk!) communiceert over privacy. Zo weet iedereen wat er wordt verwacht.
  • Zeg geen nee. Denk mee over veilige, nieuwe (andere) werkwijzen om privacy te beschermen. Een organisatie die alleen maar nee zegt, verliest betrokkenheid van de medewerkers.
  • Bepaal en bewaak je scope. Er is zoveel te doen en te verbeteren, zorg dat je weet waar je risico’s zitten, maar maak keuzes in wat je nu doet en wat nog even moet wachten. Hou je  aan de keuzes die je maakt.