Informatieveiligheid begint met digitaal vaardige medewerkers

Door de decentralisaties in de zorg hebben gemeenten met meer informatiesystemen en -stromen te maken. De hierdoor toegenomen privacygevoeligheid vraagt om extra aandacht voor informatieveiligheid. Techniek is dan belangrijk, maar nog belangrijker zijn medewerkers die digitaal voldoende vaardig zijn om bewust met die informatieveiligheid om te kunnen gaan.

Baseline Informatiebeveiliging Gemeenten

De decentralisaties zijn voor veel gemeenten een aanleiding om met de Baseline Informatiebeveiliging Gemeenten (BIG) aan de slag te gaan. Hoe ver men met de implementatie is, verschilt echter sterk per organisatie. Knelpunten die we regelmatig tegenkomen zijn:

  • Wat wordt precies de taak- en functieomschrijving voor de Chief Information Security Officer (CISO) en diens plaats in de organisatie?
  • Hoe borgen we informatieveiligheid in processen en in de organisatie?
  • Hoe overtuigen we het MT dat informatieveiligheid van strategisch belang is?

Informatieveiligheid kan beter

De eerste Rekenkameronderzoeken bevestigen dat informatieveiligheid bij alle gemeenten op de agenda staat. Tegelijkertijd blijkt uit diezelfde rapporten dat er nog veel verbeterd kan en moet worden: de overheid is koploper bij het Meldpunt Datalekken. Verbetering van de informatieveiligheid is zeker niet alleen een kwestie van techniek. Integendeel zelfs. Informatieveiligheid moet binnen de hele organisatie en bij alle processen de volle aandacht krijgen. Een cruciale opgave daarbij is het informatieveiligheidsbewustzijn van medewerkers te vergroten.

Digitale gevaren niet zomaar zichtbaar

Als de achterdeur van het gemeentehuis buiten openingsuren open staat, kan in principe iedereen dat zien en de deur snel sluiten. Digitale gevaren zijn vaak veel slechter zichtbaar. Daardoor denken we bijna automatisch dat we techniek nodig hebben om ze op te lossen. Voorbeelden zijn betere en meerdere typen firewalls, betere antivirussystemen, information rights management modules en zo door. Het zijn allemaal zaken die een medewerker niet zomaar zelf kan regelen.

Techniek is maar het halve antwoord

De meeste datalekken ontstaan echter niet door technische fouten, maar doordat mensen afspraken niet nakomen, werkprocessen niet goed volgen of doordat die werkprocessen de informatieveiligheid niet voldoende beschermen. Voorbeelden zijn: op een verkeerde link gedrukt, per ongeluk een bijlage met BSN-nummers in het zorgdossier gedeeld, toch even een privé e-mailadres gebruikt en zo door. Ook bij dit type voorvallen roepen we vaak om betere IT-beveiliging. Maar met ICT-instrumenten kunnen we onze eigen tekortkomingen maar voor een zeer beperkt deel verbloemen.

Investeer in medewerkers!

Organisaties die de informatieveiligheid willen verbeteren moeten daarom vooral investeren in hun medewerkers. Een moderne publieksprofessional moet niet alleen vakbekwaam zijn, maar ook digitaal voldoende vaardig om bewust met informatieveiligheid om te kunnen gaan. Verder hoort openheid een kernwaarde te zijn, ook als zaken niet goed gaan. Liever een organisatie die weet waar haar kwetsbaarheden liggen dan te kiezen voor struisvogelpolitiek. Want als je weet waar je kwetsbaarheden liggen, kun je de problemen vervolgens ook structureel aanpakken.

Wij delen kennis, tips en adviezen. Blijf op de hoogte.
Meld u aan voor de nieuwsbrief.

Of volg ons op LinkedIn.