20 november 2024
Zuyderland Ziekenhuis verhoogt informatieveiligheid: Een meerjarenplan met medewerkersbetrokkenheid als sleutel
In een tijdperk waar het beschermen van informatie steeds belangrijker wordt, heeft Zuyderland Ziekenhuis de afgelopen drie jaar een aanzienlijke inspanning geleverd om de informatieveiligheid te versterken. Het ziekenhuis, dat een cruciale rol speelt in de gezondheidszorg van Zuid-Limburg, heeft zich niet alleen gericht op technologische verbeteringen, maar vooral op het betrekken van alle 11.000 medewerkers in het beveiligingsproces.
De drijfveer: meer dan een certificering
De bewustwordingscampagne die Zuyderland drie jaar geleden in samenwerking met Security awareness organisatie Awareways startte, is voortgekomen uit zowel externe eisen als interne motivatie. Hoewel de NEN7510-certificering een belangrijke stimulans was, was het ook duidelijk dat de organisatie haar volwassenheidsniveau op het gebied van informatieveiligheid wilde verhogen. “We merkten dat bewustzijn rond cyberdreigingen zoals ransomware en phishing onvoldoende leefde binnen de organisatie,” vertelt Information Security Officer Maroche Delnoy, verantwoordelijk voor de security awareness aanpak. “Dat zorgpersoneel minder bekend is met digitale risico’s dan medewerkers die dagelijks achter een computer zitten, was voor ons een reden om hier structureel iets aan te doen.”
Technologische innovaties om veilig werken te faciliteren
Naast bewustwording heeft Zuyderland ook geïnvesteerd in technologische oplossingen om veilig werken beter te faciliteren voor medewerkers. Medewerkers worden aangemoedigd om gebruik te maken van een wachtwoordkluis en om hun accounts extra te beveiligen met tweefactorauthenticatie (2FA). Daarnaast wordt er een tool ingezet voor veilig e-mailverkeer, om te voorkomen dat gevoelige gegevens in verkeerde handen vallen. Deze maatregelen maken het voor medewerkers makkelijker om veilig te werken, maar de echte uitdaging ligt in het veranderen van de houding en werkwijzen.
Medewerkersbetrokkenheid: de sleutel tot succes
Wat Zuyderland onderscheidt, is de focus op medewerkersbetrokkenheid. “Informatieveiligheid wordt vaak als een IT-feestje gezien,” zegt Maroche. “Maar het raakt alle onderdelen van de organisatie, en dat moeten we blijven benadrukken.” Dit besef leidde tot een brede bewustwordingscampagne, waarbij trainingen en phishingsimulaties centraal staan. De trainingen richten zich op thema’s zoals phishing, wachtwoordbeheer en het veilig omgaan met patiëntgegevens. Via rapportages van Awareways, zoals klikpercentages van phishingsimulaties, wordt de voortgang gemonitord en besproken met afdelingshoofden.
Een opvallend resultaat is de cultuurverandering binnen het ziekenhuis. Waar informatieveiligheid voorheen als de verantwoordelijkheid van de IT-afdeling werd gezien, wordt het nu breder gedragen binnen de organisatie. “Het is mooi om te zien dat afdelingshoofden nu zelf het gesprek aangaan met medewerkers over veilig werken, bijvoorbeeld als iemand zijn scherm niet vergrendelt,” aldus Maroche. Verder is de cultuurverandering zichtbaar in de daling van het klikpercentage op phishingsimulaties: deze is teruggebracht van 25 procent naar 14 procent.
Naar een digitale zorgplicht
Informatiebeveiliging is een verlengstuk geworden van de zorgplicht die Zuyderland draagt. Waar het ziekenhuis er altijd voor heeft gezorgd dat patiënten fysiek veilig het ziekenhuis kunnen verlaten, is er nu ook een “digitale zorgplicht” ontstaan. Dit betekent dat de bescherming van digitale patiëntgegevens net zo belangrijk is als de fysieke zorg. “We zien dat medewerkers dit steeds beter begrijpen en dat het meer onderdeel wordt van hun dagelijkse werkzaamheden,” zegt Maroche.
Conclusie
Zuyderland Ziekenhuis toont met hun aanpak aan dat effectieve informatieveiligheid verder gaat dan alleen technologie. Door medewerkers actief te betrekken, een cultuur van verantwoordelijkheid te creëren, en doorlopend te investeren in zowel training als technologie, heeft het ziekenhuis een solide fundament gelegd voor de bescherming van cliëntgegevens in de toekomst. Dit programma dient als voorbeeld voor andere zorginstellingen die hun informatieveiligheid willen verbeteren en hun medewerkers daarbij als bondgenoten willen beschouwen.