Privacy en informatiebeveiliging
Datalek
In 2021 zijn de nodige inspanningen verricht om de Privacy en informatiebeveiliging goed op orde te houden en verder te verbeteren. Er zijn 15 datalekken intern gemeld in 2021. Dit is een afname ten opzichte van de 26 meldingen in 2020. Het betreft in de helft van de gevallen onjuist gebruik van e-mail (verkeerd geadresseerden bijvoorbeeld). Bij één datalek lag de schuld bij een externe partij. Inzage en in zorgdossiers of mappen komt ook meermaals voor. Er waren geen meldingen die in aanmerking kwamen om te melden aan de Autoriteit Persoonsgegevens.
Om datalekken met de mail te voorkomen is in november 2021 na een succesvolle pilot het Zivver-mailprogramma geïmplementeerd. Medewerkers kunnen hiermee ook veilig naar externen mailen door middel van tweefactor authenticatie en encryptie.
Vergrote awareness
Er is in 2021 meer aan ‘awareness’/bewustwording gedaan bij medewerkers en er wordt zorgvuldiger omgaan met privacy en informatiebeveiliging. Zo wordt in elke nieuwsbrief aandacht besteed aan informatiebeveiliging (behandelde onderwerpen: mailen met Zivver, belang van uitvoeren updates, hoe herken je phishing).
NEN7510
Begin 2021 is er een audit uitgevoerd om te kijken hoe de Raphaëlstichting ervoor staat ten opzichte van de normen van de NEN7510. Deze nul-meting heeft een aantal aandachtspunten en verbeterpunten opgeleverd. Deze worden komende jaren in volgorde van belangrijkheid opgepakt.
Delen van kennis
Eind 2021 is de Raphaëlstichting aangesloten bij het Servicepunt Privacy & informatieveiligheid Connect4Care. Voordelen hiervan zijn kennisuitwisseling tussen zorginstellingen, gebruik van een kennisbank, bij nieuwe ontwikkelingen samen optrekken, workshops, etc.
Nieuwe functionaris informatiebeveiliging en privacy
Er een nieuwe functionaris informatiebeveiliging en privacy aangeworven in 2021. Deze werkt samen met de Functionaris gegevensbescherming van de Raphaëlstichting.
Audits
Conclusies audits op privacy en informatiebeveiliging:
– Bij 83% van de audits is geconstateerd dat betrokkenen niet allemaal goed op de hoogte zijn van het beleid rondom privacy en AVG. Dit uit zich in het feit dat de meeste medewerkers niets afweten van communicatie hierover (folders), wat een datalek is en hoe men daarbij moet handelen.
– Bij 50% is geconstateerd dat men geen uitvoering geeft aan het beleid rondom het verwijderen van downloads.
– Bij 17% werd geconstateerd dat er informatie verstuurd wordt via WhatsApp op privé telefoons en foto’s van cliënten bewaard worden op laptops.
– Wat betreft de werkwijze rondom het veilig mailen naar externe partijen wordt één keer aangegeven dat deze werkwijze onwerkbaar is in het geval er meerdere documenten verstuurd moeten worden.
Actiepunten 2022
- Awareness over privacy en informatiebeveiliging vergroten onder medewerkers (nav uitkomsten audits).
- Instroom- en uitstroomprocedure medewerkers wordt geoptimaliseerd en privacy en informatiebeveiliging krijgt hierbij ook de nodige aandacht (bijvoorbeeld kan gedacht worden aan centrale registratie van systeemtoegang van medewerkers). Daarnaast zorgen dat medewerkers bij instroom nog beter geïnformeerd over de do’s en don’ts.
- Veel vragen van medewerkers komen centraal binnen bij Functionaris informatiebeveiliging en privacy. Het is ons streven dat de aandachtsfunctionarissen op de locaties meer bekendheid gaan krijgen als vraagbaak.
- Streven is dat meer medewerkers gebruik gaan maken van een wachtwoordmanager, waardoor hergebruik van wachtwoorden wordt beperkt.
- NEN 7510 actieplan maken/uitvoeren door werkgroep.
Terug naar vorige pagina