Sharing is caring? Kwalitatief onderzoek naar de manier waarop zorginstellingen hun interne communicatie over privacybescherming en informatiebeveiliging inrichten om te kunnen opereren conform de nieuwe privacywet- en regelgeving.
Summary
Individuen en organisaties leven volgens het principe ‘sharing is caring’. Het liefst delen we zoveel mogelijk
gegevens met elkaar. Individuen om elkaar op de hoogte te stellen van hun dagelijks leven; organisaties om
beter in te spelen op de klant. Dit gaat ten koste van de privacy van individuen. Daarom heeft de overheid de
wetgeving rondom privacy en informatiebeveiliging aangepast. Er komen strengere regels en er komt meer
verantwoordelijkheid voor organisaties. Met deze regels maken we de overstap van het principe ‘sharing is
caring’ naar het principe ‘care before you share’.
In dit onderzoek staat dit tweede principe centraal en wordt gekeken hoe interne communicatie een
rol kan spelen bij de invulling van de privacywet- en regelgeving rekening houdend met nieuwe aspecten als de
meldplicht datalekken en de Algemene Europese Verordening voor de Gegevensbescherming. Om beter zicht
te krijgen op dit thema is verdiept in de zorgsector waar ook bijzondere persoonsgegevens een rol spelen.
Het doel van dit onderzoek was om richtlijnen te creëren voor de zorgsector om hun interne
communicatie rondom privacybescherming en informatiebeveiliging in te kunnen richten. De hoofdvraag die
hierbij hoorde was: Hoe kunnen zorginstellingen hun interne communicatie rondom privacybescherming en
informatiebeveiliging zo inrichten dat zij conform de huidige wet- en regelgeving opereren?
Om een antwoord te formuleren op deze hoofdvraag is eerst in het theoretisch kader verder
onderzocht wat de algemene privacywet- en regelgeving inhoudt en welke rol communicatie bij de invulling
van deze wetgeving kan vervullen. Vervolgens zijn twee deelstudies gedaan.
In de eerste deelstudie is een documentanalyse uitgevoerd op de bestaande documenten over de
privacywet- en regelgeving en is gekeken welke aansluitingen er waren met communicatie. Uit deze bestaande
documenten zijn communicatierichtlijnen afgeleid welke een basis vormden voor de interviews in deelstudie 2.
Deze communicatierichtlijnen geven bovendien een globaal antwoord op de hoofdvraag, omdat zij op basis van
de huidige wet- en regelgeving geformuleerd zijn. De geformuleerde communicatierichtlijnen luidden als volgt:
1. Actieve betrokkenheid van het bestuur
2. Privacy krijgt een hoge prioriteit in de organisatie
3. Er is een risico-inventarisatie gedaan
4. De risico’s van een beveiligingsissue zijn in beeld bij het bestuur
5. Er is op basis van de risico-inventarisatie een beleidsdocument informatiebeveiliging opgesteld
6. Er wordt regelmatig gecommuniceerd over het beleidsdocument informatiebeveiliging
7. Er wordt gewerkt aan het verhogen van beveiligingsbewustzijn in de organisatie
8. Er zijn duidelijke procedures aanwezig voor het behandelen van beveiligingsincidenten
9. Er wordt regelmatig over deze procedures gecommuniceerd
10. De gekozen maatregelen worden regelmatig geëvalueerd
11. Het beleid wordt na evaluatie indien nodig aangepast
Deze richtlijnen zijn vrij globaal. Om beter zicht te krijgen op hoe invulling gegeven wordt aan het interne
communicatiebeleid rondom privacybescherming en informatiebeveiliging zijn ter aanvulling interviews
gehouden met experts en functionarissen gegevensbescherming van zorginstellingen. Deze twee groepen
gaven aan op welke manier zij invulling gaven aan de geformuleerde communicatierichtlijnen uit deelstudie 1.
Met behulp van deze antwoorden kregen de communicatierichtlijnen uit deelstudie 1 meer lading en kon er
een inhoudelijker antwoord geformuleerd worden op de hoofdvraag. Ook bleek tijdens de interviews dat een
aantal richtlijnen minder toepasbaar waren of eenvoudig samengevoegd konden worden. Dit leidde tot een
aantal communicatieadviezen voor de zorgsector. Deze uitkomsten vormden tevens het antwoord op de
hoofdvraag en worden hieronder genoemd.
1. Zorg voor actieve betrokkenheid van het bestuur
Een zorginstelling kan actieve betrokkenheid realiseren door een bestuurslid portefeuillehouder van privacy te
maken of door leden van de bestuursstaf onderdeel te maken van het privacyteam. Andere mogelijkheden zijn
om het bestuur verantwoordelijk te maken voor meldingen om op deze manier incidenten bespreekbaar te
maken op bestuursniveau en risico’s van beveiligingsincidenten scherp in beeld te houden.
2. Zorg voor prioriteit van privacy
Om volgens de huidige privacywet- en regelgeving te kunnen opereren moet een zorginstelling aan kunnen
tonen dat privacy hoge prioriteit heeft. Dit kan een zorginstelling bijvoorbeeld doen door een
privacywerkgroep of een goed opgeleide (extra) functionaris voor de gegevensbescherming aan te stellen, door
privacy op de agenda te zetten van vergaderingen, door budget vrij te maken voor privacy of door het
onderdeel te maken van het functioneren van de medewerker.
3. Breng risico’s van beveiligingsissues in kaart en stel op basis daarvan een
informatiebeveiligingsbeleid op
Een zorginstelling kan risico’s in kaart brengen door een Privacy Impact Assessment te doen of
privacynulmeting afhankelijk van het stadium waarin de instelling zich bevindt. Een Privacy Impact Assessment
is uitgebreider dan een nulmeting, waardoor een instelling aan meer eisen moet voldoen. Op basis van deze
risicoanalyse kan een zorginstelling vervolgens een informatiebeveiligingsbeleid opstellen, waarbij de hoogste
prioriteit uitgaat naar de hoogste risico’s en hoe deze worden aangepakt. Belangrijk bij dit punt is dat er niet
alleen gelet wordt op de risico’s op een boete of op risico’s van technische aard, maar dat ook organisatorische
risico’s worden meegenomen, zoals mogelijke reputatieschade en het verlies van patiëntvertrouwen.
4. Communiceer over het informatiebeveiligingsbeleid en werk aan het verhogen van
beveiligingsbewustzijn
Een zorginstelling kan gebruik maken van verschillende communicatiemiddelen om te communiceren over het
informatiebeveiligingsbeleid. Zo kan een zorginstelling voorlichting geven, presentaties houden of een
brochure maken, waarin uitleg gegeven wordt over het informatiebeveiligingsbeleid. Op deze manier kan
kennis over het informatiebeveiligingsbeleid en de bijbehorende regels gemakkelijk verspreid worden over de
organisatie. Voor het verhogen van beveiligingsbewustzijn moet een zorginstelling nog een stapje verder gaan.
Hiervoor is namelijk ook de motivatie van medewerkers nodig om volgens de nieuwe wet- en regelgeving te
handelen. Dit betekent dat het simpelweg presenteren van het beleid op verschillende manieren niet
voldoende is. Het is ook nodig om medewerkers te trainen in de nieuwe wet- en regelgeving en
bewustwordingscampagnes in te zetten. Ook gebouwrondes kunnen helpen bij het creëren van bewustwording
van medewerkers, omdat ze op deze manier zien dat de regels gehandhaafd worden. In een grote organisatie is
het wellicht handig een ambassadeurssessie te organiseren en van elke afdeling iemand als
privacyambassadeur in te zetten. Zo hoeft de organisatie niet elke medewerker apart te informeren, maar
kunnen de privacyambassadeurs het onderwerp onder de aandacht brengen en houden op hun afdeling.
Herhaling en variatie zijn sleutelwoorden bij communicatie. Niet iedereen neemt informatie op dezelfde
manier tot zich, dus hou hier rekening mee bij het organiseren van de interne communicatie.
5. Stel duidelijke procedures op voor het behandelen van beveiligingsincidenten en
communiceer hierover
Om beveiligingsincidenten te behandelen moeten in een zorginstelling duidelijke procedures aanwezig zijn. Zo
moet bijvoorbeeld duidelijk zijn wie waarvoor verantwoordelijk is en wanneer er een melding moet worden
gedaan bij de Autoriteit Persoonsgegevens. Daarom is het belangrijk om dit vast te leggen en duidelijk te
communiceren naar de organisatie. Dit kan op dezelfde manier als gecommuniceerd wordt over het
informatiebeveiligingsbeleid. Zorg in ieder geval dat medewerkers weten waar ze een melding kunnen doen en
betrek medewerkers ook in het proces door terug te koppelen aan hen wat er met de meldingen gebeurd is.
6. Evalueer regelmatig het informatiebeveiligingsbeleid en pas het beleid indien nodig aan
Om het informatiebeveiligingsbeleid up-to-date te houden is het van belang continu te kijken naar
verbeterpunten in het beleid. Zeker met de komst van de Algemene Europese Verordening is het van belang de
privacywet- en regelgeving continu te checken en te kijken of er nog steeds in lijn met deze wetgeving
gehandeld wordt.