Sharing is caring? Kwalitatief onderzoek naar de manier waarop zorginstellingen hun interne communicatie over privacybescherming en informatiebeveiliging inrichten om te kunnen opereren conform de nieuwe privacywet- en regelgeving.

Abstract

Individuen en organisaties leven volgens het principe ‘sharing is caring’. Het liefst delen we zoveel mogelijk gegevens met elkaar. Individuen om elkaar op de hoogte te stellen van hun dagelijks leven; organisaties om beter in te spelen op de klant. Dit gaat ten koste van de privacy van individuen. Daarom heeft de overheid de wetgeving rondom privacy en informatiebeveiliging aangepast. Er komen strengere regels en er komt meer verantwoordelijkheid voor organisaties. Met deze regels maken we de overstap van het principe ‘sharing is caring’ naar het principe ‘care before you share’.

In dit onderzoek staat dit tweede principe centraal en wordt gekeken hoe interne communicatie een rol kan spelen bij de invulling van de privacywet- en regelgeving rekening houdend met nieuwe aspecten als de meldplicht datalekken en de Algemene Europese Verordening voor de Gegevensbescherming. Om beter zicht te krijgen op dit thema is verdiept in de zorgsector waar ook bijzondere persoonsgegevens een rol spelen. Het doel van dit onderzoek was om richtlijnen te creëren voor de zorgsector om hun interne communicatie rondom privacybescherming en informatiebeveiliging in te kunnen richten. De hoofdvraag die hierbij hoorde was: Hoe kunnen zorginstellingen hun interne communicatie rondom privacybescherming en informatiebeveiliging zo inrichten dat zij conform de huidige wet- en regelgeving opereren?

Om een antwoord te formuleren op deze hoofdvraag is eerst in het theoretisch kader verder onderzocht wat de algemene privacywet- en regelgeving inhoudt en welke rol communicatie bij de invulling van deze wetgeving kan vervullen. Vervolgens zijn twee deelstudies gedaan. In de eerste deelstudie is een documentanalyse uitgevoerd op de bestaande documenten over de privacywet- en regelgeving en is gekeken welke aansluitingen er waren met communicatie. Uit deze bestaande documenten zijn communicatierichtlijnen afgeleid welke een basis vormden voor de interviews in deelstudie 2. Deze communicatierichtlijnen geven bovendien een globaal antwoord op de hoofdvraag, omdat zij op basis van de huidige wet- en regelgeving geformuleerd zijn. De geformuleerde communicatierichtlijnen luidden als volgt:

1. Actieve betrokkenheid van het bestuur 2. Privacy krijgt een hoge prioriteit in de organisatie 3. Er is een risico-inventarisatie gedaan 4. De risico’s van een beveiligingsissue zijn in beeld bij het bestuur 5. Er is op basis van de risico-inventarisatie een beleidsdocument informatiebeveiliging opgesteld 6. Er wordt regelmatig gecommuniceerd over het beleidsdocument informatiebeveiliging 7. Er wordt gewerkt aan het verhogen van beveiligingsbewustzijn in de organisatie 8. Er zijn duidelijke procedures aanwezig voor het behandelen van beveiligingsincidenten 9. Er wordt regelmatig over deze procedures gecommuniceerd 10. De gekozen maatregelen worden regelmatig geëvalueerd 11. Het beleid wordt na evaluatie indien nodig aangepast

Deze richtlijnen zijn vrij globaal. Om beter zicht te krijgen op hoe invulling gegeven wordt aan het interne communicatiebeleid rondom privacybescherming en informatiebeveiliging zijn ter aanvulling interviews gehouden met experts en functionarissen gegevensbescherming van zorginstellingen. Deze twee groepen gaven aan op welke manier zij invulling gaven aan de geformuleerde communicatierichtlijnen uit deelstudie 1. Met behulp van deze antwoorden kregen de communicatierichtlijnen uit deelstudie 1 meer lading en kon er een inhoudelijker antwoord geformuleerd worden op de hoofdvraag. Ook bleek tijdens de interviews dat een aantal richtlijnen minder toepasbaar waren of eenvoudig samengevoegd konden worden. Dit leidde tot een aantal communicatieadviezen voor de zorgsector. Deze uitkomsten vormden tevens het antwoord op de hoofdvraag en worden hieronder genoemd.

1. Zorg voor actieve betrokkenheid van het bestuur Een zorginstelling kan actieve betrokkenheid realiseren door een bestuurslid portefeuillehouder van privacy te maken of door leden van de bestuursstaf onderdeel te maken van het privacyteam. Andere mogelijkheden zijn om het bestuur verantwoordelijk te maken voor meldingen om op deze manier incidenten bespreekbaar te maken op bestuursniveau en risico’s van beveiligingsincidenten scherp in beeld te houden.

2. Zorg voor prioriteit van privacy Om volgens de huidige privacywet- en regelgeving te kunnen opereren moet een zorginstelling aan kunnen tonen dat privacy hoge prioriteit heeft. Dit kan een zorginstelling bijvoorbeeld doen door een privacywerkgroep of een goed opgeleide (extra) functionaris voor de gegevensbescherming aan te stellen, door privacy op de agenda te zetten van vergaderingen, door budget vrij te maken voor privacy of door het onderdeel te maken van het functioneren van de medewerker.

3. Breng risico’s van beveiligingsissues in kaart en stel op basis daarvan een informatiebeveiligingsbeleid op Een zorginstelling kan risico’s in kaart brengen door een Privacy Impact Assessment te doen of privacynulmeting afhankelijk van het stadium waarin de instelling zich bevindt. Een Privacy Impact Assessment is uitgebreider dan een nulmeting, waardoor een instelling aan meer eisen moet voldoen. Op basis van deze risicoanalyse kan een zorginstelling vervolgens een informatiebeveiligingsbeleid opstellen, waarbij de hoogste prioriteit uitgaat naar de hoogste risico’s en hoe deze worden aangepakt. Belangrijk bij dit punt is dat er niet alleen gelet wordt op de risico’s op een boete of op risico’s van technische aard, maar dat ook organisatorische risico’s worden meegenomen, zoals mogelijke reputatieschade en het verlies van patiëntvertrouwen.

4. Communiceer over het informatiebeveiligingsbeleid en werk aan het verhogen van beveiligingsbewustzijn Een zorginstelling kan gebruik maken van verschillende communicatiemiddelen om te communiceren over het informatiebeveiligingsbeleid. Zo kan een zorginstelling voorlichting geven, presentaties houden of een brochure maken, waarin uitleg gegeven wordt over het informatiebeveiligingsbeleid. Op deze manier kan kennis over het informatiebeveiligingsbeleid en de bijbehorende regels gemakkelijk verspreid worden over de organisatie. Voor het verhogen van beveiligingsbewustzijn moet een zorginstelling nog een stapje verder gaan. Hiervoor is namelijk ook de motivatie van medewerkers nodig om volgens de nieuwe wet- en regelgeving te handelen. Dit betekent dat het simpelweg presenteren van het beleid op verschillende manieren niet voldoende is. Het is ook nodig om medewerkers te trainen in de nieuwe wet- en regelgeving en bewustwordingscampagnes in te zetten. Ook gebouwrondes kunnen helpen bij het creëren van bewustwording van medewerkers, omdat ze op deze manier zien dat de regels gehandhaafd worden. In een grote organisatie is het wellicht handig een ambassadeurssessie te organiseren en van elke afdeling iemand als privacyambassadeur in te zetten. Zo hoeft de organisatie niet elke medewerker apart te informeren, maar kunnen de privacyambassadeurs het onderwerp onder de aandacht brengen en houden op hun afdeling. Herhaling en variatie zijn sleutelwoorden bij communicatie. Niet iedereen neemt informatie op dezelfde manier tot zich, dus hou hier rekening mee bij het organiseren van de interne communicatie.

5. Stel duidelijke procedures op voor het behandelen van beveiligingsincidenten en communiceer hierover Om beveiligingsincidenten te behandelen moeten in een zorginstelling duidelijke procedures aanwezig zijn. Zo moet bijvoorbeeld duidelijk zijn wie waarvoor verantwoordelijk is en wanneer er een melding moet worden gedaan bij de Autoriteit Persoonsgegevens. Daarom is het belangrijk om dit vast te leggen en duidelijk te communiceren naar de organisatie. Dit kan op dezelfde manier als gecommuniceerd wordt over het informatiebeveiligingsbeleid. Zorg in ieder geval dat medewerkers weten waar ze een melding kunnen doen en betrek medewerkers ook in het proces door terug te koppelen aan hen wat er met de meldingen gebeurd is.

6. Evalueer regelmatig het informatiebeveiligingsbeleid en pas het beleid indien nodig aan Om het informatiebeveiligingsbeleid up-to-date te houden is het van belang continu te kijken naar verbeterpunten in het beleid. Zeker met de komst van de Algemene Europese Verordening is het van belang de privacywet- en regelgeving continu te checken en te kijken of er nog steeds in lijn met deze wetgeving gehandeld wordt.