Informatiebeveiliging

Security Awareness in de zorg is enorm belangrijk én verplicht vanuit de NEN 7510

Security Awareness in de zorg is enorm belangrijk én verplicht vanuit de NEN 7510
Als je in de zorg werkt, is het je vast niet ontgaan dat informatiebeveiliging tegenwoordig een belangrijke prioriteit is. Gezien de enorme hoeveelheid persoonlijke gezondheidsinformatie die zorginstellingen dagelijks verwerken, is het van belang dat elke medewerker – van arts tot administratie – de risico’s begrijpt en weet hoe ze zich hiertegen moeten beschermen. NEN 7510, dé norm voor informatiebeveiliging in de zorg, speelt hierbij een belangrijke rol.
Dit artikel is voor het laatst bijgewerkt op
9/12/2024

Wat houdt NEN 7510 precies in?

NEN 7510 is ontworpen voor zorginstellingen en legt vast welke maatregelen je moet treffen om informatiebeveiliging te beheersen. Een belangrijk onderdeel hiervan is bewustwording. Volgens de norm moeten alle medewerkers – en waar relevant, ook contractanten – een passende training krijgen bij indiensttreding. Daarnaast zijn regelmatige bijscholingen over het informatiebeveiligingsbeleid en procedures verplicht.

Waarom is security awareness in de zorg belangrijk?

Wist je dat in 2023 maar liefst 25.694 datalekken zijn gemeld bij de Autoriteit Persoonsgegevens? Nog schokkender: de zorgsector spant de kroon met 8.929 meldingen. En dat zijn alleen de gerapporteerde gevallen. De realiteit is dat veel datalekken nooit aan het licht komen. Toch staat de zorgsector niet eens in de top 10 van meest gemelde cyberaanvallen.

Het laat zien hoe kwetsbaar de zorgsector is, vooral als het gaat om menselijke fouten. 90% van de incidenten wordt veroorzaakt door medewerkers. Zij spelen dus de belangrijkste in de beveiliging van gevoelige data, en juist daarom is security awareness zo belangrijk. We moeten investeren in bewustwording, niet alleen om juridische risico’s te beperken, maar vooral om de privacy en veiligheid van patiënten te waarborgen.

De NEN 7510 normeisen met betrekking tot awareness

In de NEN 7510 norm zitten verschillende onderdelen van Security Awareness. Bijvoorbeeld beheersmaatregel A.7.2.2. De norm vraagt dat organisaties waar persoonlijke gezondheidsinformatie wordt verwerkt, ervoor zorgen dat zowel nieuwe als bestaande medewerkers regelmatig op de hoogte worden gebracht van informatiebeveiligingsprocedures. Dit geldt ook voor derde contractanten, onderzoekers, studenten en vrijwilligers. Bij het niet naleven van deze procedures moeten medewerkers op de hoogte worden gebracht van de disciplinaire gevolgen.

A.7.2.2 Bewustzijn, opleiding en training

Beheersmaatregel: Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en ‐training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

Zorgspecifieke maatregel: Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat onderwijs en training over informatiebeveiliging worden gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en ‐procedures van de organisatie worden verstrekt aan alle werknemers en, indien relevant, derde‐ contractanten, onderzoekers, studenten en vrijwilligers die persoonlijke gezondheidsinformatie verwerken.

De norm vraagt bovendien concreet om training van medewerkers bij indiensttreding bij je organisatie. Op die manier zijn ze, bij het aan boord komen, al bekend met het informatiebeveiligingsbeleid binnen de organisatie en zijn ze gewezen op de risico’s van het niet naleven daarvan.

Security awareness ook relevant voor andere beheersmaatregelen

Daarnaast stelt de norm dat het belangrijk is om voldoende maatregelen te treffen voor de risico's vanuit je risicoanalyse. Denk aan malware, continuïteit, melden van incidenten of het beheersen van je leveranciers.

We nemen als voorbeeld het beperken van malware en je medewerkers hiervan bewust maken. Dit betekent dat je meerdere acties moet ondernemen, waaronder:

  • Zorg dat medewerkers altijd de nieuwste updates en patches installeren, en creëer voldoende netwerkscheiding.
  • Stel duidelijke regels op voor het installeren van software.
  • Implementeer detectiemogelijkheden, zodat verdachte activiteiten vroegtijdig worden opgemerkt.
  • Ontwikkel een reactieplan om te bepalen wat je moet doen bij een malware-infectie.
  • Versterk de endpoint-beveiliging, bijvoorbeeld door apparaten te versleutelen.
  • Beperk het gebruik van verwijderbare media, zoals USB-sticks, in lijn met maatregel A.8.3 van de norm.
  • Beheer en beperk de toegang tot gegevens en bestanden.

Welke maatregelen kun je treffen om security awareness te verhogen?

Het is belangrijk om te beginnen met bewustwordingstrainingen bij de indiensttreding van nieuwe medewerkers. Maar deze training moet een continu proces zijn. Door het hele jaar door trainingen aan te bieden, kunnen medewerkers zich blijven wapenen tegen nieuwe bedreigingen zoals phishing en ransomware.

Een krachtig hulpmiddel hierbij is Guardey, een platform dat medewerkers traint door middel van spelelementen. Dit maakt trainingen niet alleen leerzaam, maar ook leuk en effectief, waardoor medewerkers steeds beter worden in het herkennen van cyberrisico’s. Zo blijven ze alert en beschermt de organisatie zich beter tegen mogelijke datalekken

Probeer Guardey 14 dagen gratis 🕹️

Begin nu met het trainen van je team voor de prijs van een bakje koffie! ☕

Vraag gratis demo aan
Kilian Houthuijzen
Commercieel Manager & Partner
085 773 60 05
Naar nieuwsoverzicht

Gerelateerde artikelen

Nieuws
Waarom een AVG-scan belangrijk is voor jouw organisatie
lees meer
Klantcase
Klantcase: Cybersecurity week bij GOOSE VPN
lees meer
KAM Certificeringen is nu Fendix

Wij zijn partner van