DPA B-Able | Security awareness binnen Instituut Verbeeten, van directie tot operatie

Publicatiedatum

21 november 2014

Business Unit

DPA B-Able

Locatie

Tilburg

Onderzoeksgegevens, behandel- en persoonlijke patiëntgegevens en personele gegevens zijn waardevolle informatie voor Instituut Verbeeten. Deze gegevens mogen niet in de verkeerde handen vallen. Daarmee is het goed beveiligen en waarborgen van de veiligheid van deze ‘kroonjuwelen’ van dit specialistische ziekenhuis voor topklinische zorg een doel op zich. Met dit gedachtengoed is een project opgestart om de bewustwording binnen het instituut te vergroten. En dan met name de bewustwording van alle medewerkers op het gebied van de veiligheid en bescherming van de diverse soorten informatie.

Patiëntveiligheid gelinkt aan awareness

“Wij linken patiëntveiligheid aan awareness”, zegt Toon Trouw, als Facilitair Manager verantwoordelijk voor alle facilitaire dienstverlening en beveiliging binnen Instituut Verbeeten. Volgens Trouw zal het creëren van awareness in de organisatie uiteindelijk bijdragen aan de patiëntveiligheid, één van de belangrijkste bedrijfsdoelen van het ziekenhuis. Een van de zaken die de bescherming van deze gegevens uiteindelijk in het geding kunnen brengen is het niet goed afsluiten van een computer waar patiëntgegevens op staan. Dit kan lijden tot persoonlijke schade voor de patiënt of reputatieschade van het instituut. Dat moet op elk niveau in de organisatie duidelijk worden.

Minder risico’s door bewustzijn

DPA B-Able hielp bewustzijn te creëren bij de medewerkers, een beleid voor informatieveiligheid op te stellen en zo een basis te leggen voor een goede dagelijkse bedrijfsvoering met minder risico’s. Met behulp van een nulmeting is bepaald wat het niveau van het bewustzijn onder de medewerkers was. Daarna zijn de acties bepaald om het niveau te verhogen. Met een wetenschappelijk onderbouwde methode en de SecuriMeter werd vervolgens het niveau gemeten.

Eén van de ontwikkelde middelen was een video die de risico’s van niet zorgvuldig omgaan met de kritieke bedrijfsinformatie toont. Denk aan het niet goed beveiligen van een USB-stick, die per ongeluk ergens achtergelaten wordt. Of het niet goed afsluiten van een computer bij het verlaten van een werkplek. Vooral in het geval van Instituut Verbeeten met veel flexwerkplekken een belangrijke zaak.

De awareness-video is veelvuldig getoond, van de Raad van Bestuur en de stafmedewerkers tot de medewerkers in het primaire proces. Naar aanleiding van de video is in een aantal sessies voor het middenkader een presentatie gegeven. Zo kwam een interactieve werking tot stand, met soms hevige discussies. Na het zien van de film is het niveau opnieuw gemeten om te beoordelen of er sprake was van bewustzijnsverhoging. Hiertoe zijn in de SecuriMeter vooraf geformuleerde vragen SMART meetbaar gemaakt.

Het niveau behouden

“Ons initiële doel om bewustzijn bij de medewerkers te creëren, hebben we in ieder geval bereikt.” Zaak om dit bewustzijn op een goed niveau te houden en ook nieuwe medewerkers na indiensttreding op dit niveau krijgen. Hoofd P&O Tiny van der Klooster heeft in het nieuwe-medewerkers-beleid opgenomen dat alle nieuwe medewerkers het informatiebeveiligingsbeleid ontvangen met een leaflet waarin de meest belangrijke zaken zin samengevat. Ook wordt de video periodiek getoond. “Met de SecuriMeter-methodologie van DPA B-Able, de meetmethodes en de ontwikkelde materialen kunnen we jaarlijks een nieuwe meting doen om te zien op welk niveau we zitten. Het project heeft met name de mensen intern getriggerd om bewuster met informatie om te gaan.”

Awareness op het hoogste niveau

De mens is een cruciale schakel in de beveiliging van informatie. Toon Trouw: “Door mensen bewust te maken van wat een handeling kan veroorzaken, kun je al veel oplossen. We zijn dan ook blij met de methodieken die DPA B-Able heeft aangedragen om de awareness continu te blijven meten.” Door de top-down benadering wordt elk niveau in de organisatie bereikt. En door per organisatielaag meetbare doelstellingen te definiëren kan je het bewustzijnsniveau aantoonbaar verhogen. Daarmee wordt het geen vaag en ontastbaar iets, maar een feitelijk en stuurbaar item.

Raad van Bestuur-lid Gerard Tijmes spreekt de medewerkers en leidinggevenden rechtstreeks aan. “Informatiebeveiliging begint bij jou! Onderzoekdata en behandelgegevens van patiënten moeten juist en volledig zijn, en beschikbaar op het juiste moment. De gegevens dienen zo beveiligd te zijn, dat ze alleen gezien en gebruikt worden door de personen die hiervoor toestemming hebben.”

Over Instituut Verbeeten

Instituut Verbeeten levert als specialistisch ziekenhuis topklinische zorg op het gebied van radiotherapeutische oncologie en nucleaire geneeskunde, vanuit zijn drie vestigingen in Noord-Brabant. Het instituut werkt vanuit de overtuiging dat de patiënt centraal staat en recht heeft op zorg van hoogwaardige kwaliteit. De manier waarop met patiënten wordt omgegaan, is de kracht van het instituut. In de benadering van en contacten met patiënten streven alle betrokkenen binnen Instituut Verbeeten zoveel mogelijk persoonlijke aandacht voor de patiënten na.