Databeveiliging moet naar directieniveau

Sinds afgelopen week kunnen zorginstellingen beboet worden bij het lekken van data. Echter, het onderwerp ‘databeveiliging’  staat bij instellingen nog veel te laag op de agenda, zo blijkt uit het nieuwe nummer van Lucide.

De Eerste Kamer keurde op 26 mei de wetswijziging Meldplicht Datalekken goed. Hiermee breidde zij de bestuurlijke boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP) flink uit. Elke organisatie die persoonsgegevens verzamelt, bewerkt of registreert, moet onder deze wetswijziging datalekken verplicht melden bij het CBP, en in bepaalde gevallen ook bij de betreffende personen wier gegevens gelekt zijn.

Tot voor kort vormden datalekken alleen een risico op aanzienlijke reputatieschade, onder deze wetswijziging kunnen bij falend beleid ook boetes worden opgelegd, tot maximaal 810 duizend euro. Bovendien kunnen bestuurders en managers bij falend ICT-beleid dat tot datalekken of diefstal heeft geleid, ook persoonlijk worden aangepakt.

Menselijke kant

Wie denkt dat dit gegeven in de zorg tot grootscheepse professionalisering in de omgang met data heeft geleid, heeft het mis.

Op 8 juni publiceert BDO Accountants voor de eerste maal haar Informatiebeveiligingsscan Zorg, waaruit blijkt dat in de meeste zorgorganisaties het onderwerp databeveiliging is gedelegeerd naar de ICT-afdeling. Die voert netjes typische ICT-maatregelen als websitebeveiliging en passwordbeheer uit. Maar, zegt Julien Spronck, bij BDO verantwoordelijk voor de scan: “kijken we naar de menselijke kant van informatiebeveiliging – medewerkers loggen in met elkaars gegevens; specialist neemt dossiers op een usb mee naar huis – dan blijkt dat daar nauwelijks aandacht aan wordt besteed.”

Directieniveau

Juist die menselijke kant van databeveiliging, die in de zorg – waar veel verschillende individuen met patiëntgegevens omgaan – van groot belang is, vraagt een organisatiebrede aanpak, vanuit de directie. Spronck: “En die mist bijna overal.”

Toen BDO zijn onderzoek deed, was bovengenoemde wetswijziging nog in voorbereiding. Dat geldt nu ook nog voor de nieuwe wetgeving op het gebied van digitaal gegevensbeheer die vanuit de Europese Unie onderweg in en waar nog veel hogere boetes uit voort zullen gaan vloeien. Gevraagd in hoeverre zorginstellingen zich op de aankomende wetgeving aan het voorbereiden waren, antwoordde 40 procent van de respondenten daar bevestigend op.

Hoe verminder je het risico?

Als organisaties kunnen aantonen dat ze alles hebben gedaan om problemen te voorkomen, hebben ze het risico op boetes en claims geminimaliseerd. Het integreren van de Active Directories, het verlengen van Identity & Access Management met naar de cloud, het beheren van mobile devices en data encryptie zorgt voor een sterke vermindering van het risico. QS solutions ziet dat het belangrijk is om medewerkers met behulp van slimme beveiligingsoplossingen te beschermen tegen onbewust onveilig handelen. Dé uitdaging voor de IT-afdeling!

Bron:http://www.skipr.nl/actueel/id22590-databeveiliging-moet-naar-directieniveau.html