Security & Privacy: samen bouwen aan vertrouwen
Je beeldscherm vergrendelen als je wegloopt van je bureau. Vertrouwelijke informatie versleuteld mailen. Voor medewerkers is dit steeds meer het nieuwe normaal. En niet voor niets: de bescherming van persoonsgegevens en gevoelige cliëntinformatie heeft binnen Kwintes hoge prioriteit. Dat vraagt om technische oplossingen én om bewustwording. In 2024 hebben het Security Office en de Privacy Officer daar hard aan gewerkt. Met resultaat.
De kroonjuwelen van Kwintes – zo noemt Security Officer Mark van den Bogaard de cliëntdossiers, persoonsgegevens en -dossiers van medewerkers. Samen met Privacy Officer Pleuniek Bosch werkt hij aan passende bescherming van deze kostbare data. ‘Het is belangrijk dat we cliëntdossiers en andere vertrouwelijke informatie heel goed beschermen, maar voor goede zorg moeten die data voor medewerkers veilig beschikbaar zijn. Hiervoor heb je een toegankelijke en veilige omgeving nodig.’
‘Daarnaast kijken we naar de werkprocessen hieromheen: wie heeft toegang tot welke systemen, welke risico’s zien we?’ Privacy richt zich specifiek op de bescherming van persoonsgegevens, vult Pleuniek aan. ‘Daarbij volgen we de Algemene verordening gegevensbescherming (AVG). Samen brengen we veiligheidsrisico’s in beeld en ondersteunen we de organisatie in het veilig omgaan met gegevens en systemen.’
Veilig werken begint bij mensen
Beleid en processen rond informatieveiligheid liggen vast in een managementsysteem voor informatiebeveiliging (ISMS). ‘We voldoen aan alle wettelijke eisen uit de NEN 7510 rondom informatiebeveiliging’, legt Mark uit. ‘We zijn officieel gecertificeerd en laten onze systemen en protocollen elk jaar toetsen. Maar gegevens echt veilig houden, gaat over meer dan certificering. Pleuniek: ‘Het begint bij bewustzijn en gedrag van medewerkers. Hoe zij in de praktijk met vertrouwelijke gegevens omgaan, bepaalt voor een groot deel hoe veilig we écht werken.’
Bouwen aan bewustwording
In 2024 heeft Kwintes dan ook flink ingezet op bewustwording. ‘Tijdens de Dag van de Privacy wezen we medewerkers op het clean desk, clear screen-beleid. We gaven een groene, oranje of rode sticker op hun werkplek, afhankelijk van hoe privacyproof deze was. Had iemand een bureau verlaten zonder het beeldscherm te vergrendelen, dan kreeg diegene een rode sticker. Door die actie raakten we met elkaar in gesprek: wat kan je de volgende keer anders doen?’ In cybersecuritymaand oktober zette Mark en Pleuniek via posters de Gouden Security & Privacy regels in de spotlights. ‘Zo herinnerden we medewerkers aan belangrijke regels, zoals veilig mailen en alert zijn op meekijkers of meeluisteraars.’
Vanaf december konden alle medewerkers de privacy- en informatieveiligheidsquiz invullen en een e-learning volgen over privacy en informatieveiligheid. Pleuniek: ‘Via phishingtests testen we of medewerkers verdachte mails herkennen. Ook is er een gedragscode voor AI. ‘Daarin geven we medewerkers handvatten hoe ze veilig met AI-toepassingen moeten omgaan: welke informatie mag je wel en niet invoeren, met welke risico’s moet je rekening houden?’
Het is de bedoeling dat medio 2025 alle medewerkers de verplichte quiz gemaakt hebben – en zijn geslaagd met minimaal een 7.
Aandachtsfunctionarissen: dichtbij en zichtbaar
Bij veel acties kregen Mark en Pleuniek hulp van aandachtsfunctionarissen: collega’s op de zorglocaties die als ambassadeurs het onderwerp op de kaart zetten en hun team ondersteunen bij privacy- en securityzaken. ‘Zij brengen centrale acties bij hun teams onder de aandacht, voeren mini-audits uit en gaan met collega’s in gesprek. Hun betrokkenheid maakt veel verschil: zij helpen medewerkers om bewust gedrag vol te houden én te begrijpen waarom het nodig is. Zo zorgen ze ervoor dat privacy en security ook op de zorglocaties gaat leven, niet alleen op het hoofdkantoor.’ In 2024 zijn zo’n dertig aandachtsfunctionarissen getraind. Het is de bedoeling dat elk zorgteam in 2025 een aandachtsfunctionaris heeft.
Op naar 2025
De acties waren succesvol. Mark: ‘We kregen veel positieve reacties. Mensen waren ook kritisch, want soms vraagt veilig werken om extra handelingen, checks of een extra gang naar de privacy- of security officer. Maar medewerkers begrijpen hoe belangrijk het is dat gegevens beschermd worden en snappen dat die maatregelen bijdragen aan veilige zorg.’
Ook in 2025 staat privacy en security hoog op de agenda. ‘We breiden het netwerk van aandachtsfunctionarissen uit en ontwikkelen nieuwe e-learningmodules, onder andere over veilig mailen en het gebruik van AI. Daarnaast zijn we druk bezig met de invoering van de NIS2, de nieuwe Europese cyberwetgeving. Hierbij besteden we extra aandacht aan kennis en bewustwording bij management en bestuur. Het is belangrijk dat zij goed op de hoogte zijn, omdat zij vaak knopen moeten doorhakken.’
Vanzelfsprekend onderdeel
Zo wordt privacy en security steeds meer een vanzelfsprekend onderdeel in beleid en dagelijks denken en doen, zien Mark en Pleuniek. ‘Geen los loket, maar een thema waar we binnen Kwintes vanaf de start van een project als vanzelf over nadenken. Het is een gedeelde verantwoordelijkheid. Uiteindelijk maakt het gedrag van iedere medewerker het verschil’, besluit Pleuniek.
Meer over vertrouwen in 2024
Nieuwe meerjarenstrategie van Kwintes: focus en positieve energie
Ambulant WLZ-team in Almere: ‘Ik kan steeds beter resetten’