Informatiebeveiliging. Het klinkt ingewikkeld. En, vooral, als héél veel werk en administratieve rompslomp. Het is dan ook een onderwerp dat aan veel bestuurstafels vakkundig wordt ontweken. Toch komt het moment dat de hete aardappel moet worden opgepakt. Maar door wie? Kunnen we de IT-manager een dag per maand vrijspelen om ermee aan de slag te gaan? Werkt er toevallig een ambitieuze (en goed betaalbare) collega bij de Servicedesk die kan ondersteunen? “Eh…over drie maanden zijn jullie wel klaar, toch?”

Ja, je moet ergens beginnen, de goede bedoelingen oppoetsen, de koe bij de hoorns vatten. Alleen: ‘zomaar’ starten, leidt meestal niet naar de gewenste finish. Bijvoorbeeld omdat het concept informatiebeveiliging eigenlijk niet goed wordt begrepen. Vaak wordt het puur technisch (“Fred, timmer de systemen he-le-maal dicht”) uitgelegd, maar techniek is maar een klein onderdeel van het geheel. Komt bij dat de ingewikkeld geformuleerde normteksten (zie NEN 7510) het er niet veel makkelijker of duidelijker op maken. Waar het écht om draait, is dat je als organisatie antwoorden formuleert op vijf vragen, namelijk:

• Welke informatie proberen we precies te beschermen?
• Waartegen proberen we ons te beschermen? Onbeschikbaarheid? Fouten? Onbevoegde inzage? Niet voldoen aan wet- en regelgeving?
• Wanneer vinden wij zelf dat onze informatie voldoende beschermd is?
• Welke risico’s lopen we met onze informatie?
• Welke maatregelen treffen we om risico’s tot een bij ons passend niveau te reduceren?

Informatiebeveiliging draait niet om het afvinken van een technische actielijst. En je kunt evenmin volstaan met standaardmaatregelen die op elke organisatie en sector van toepassing zijn. Het gaat erom dat je de kroonjuwelen van jouw organisatie passend beschermt. Ongeacht of die in een kluisje in de cloud liggen, op post-its zijn gekrabbeld of in het koppie van een collega zijn opgeslagen. En: wat ‘passend’ is, bepaal je zelf. Dat begrijpen, werkt bevrijdend. Weg met stoffige beleidsdocumenten die niemand leest! Weg met onnodige en onneembare digitale hindernissen! Weg met ingewikkelde normenkaders en teksten! Laten we in plaats daarvan onderzoeken wat wij zelf belangrijk en acceptabel vinden, en hoe we dit op een praktische manier kunnen borgen. Tuurlijk, het is voor elke organisatie ‘een moetje’ om de informatiebeveiliging goed in te richten. Enerzijds omdat dit een wettelijke verplichting is, maar vooral omdat passend beleid je in staat stelt om prettig én veilig te werken. Zorgcollega’s zullen je dankbaar zijn, je portemonnee ook. Dus ja, eigenlijk is informatiebeveiliging zowel een ‘moetje’ als een ‘wilje!’

In de juridisch en organisatorisch complexe ouderenzorg is bescherming van cliëntgegevens een trending topic. Met als centrale vraag: welke behandelaar mag onder welke condities toegang hebben tot deze gegevens? Zoals vaak, gaat het erom dat belangen goed worden gewogen, zodat we de juiste balans vinden tussen het recht op privacy enerzijds en het voldoen aan informatiebehoeften anderzijds. Effectieve zorg is immers alleen mogelijk als behandelaars over cliëntgegevens beschikken.

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat persoonlijke informatie uitsluitend mag worden verwerkt als daar een legitieme reden voor is. De noodzaak tot een medische behandeling is zo’n legitieme reden. Daarbij geldt wel dat, hoe legitiem de reden ook is, slechts de minimale hoeveelheid gegevens dient te worden gebruikt om het doel te bereiken. In de context van de ouderenzorg betekent dit dat een behandelaar toegang mag hebben tot cliëntgegevens als dit noodzakelijk is voor het verlenen van de benodigde zorg. Een mogelijk complicerende factor      is dat behandelaars vaak een grotere caseload hebben dan bijvoorbeeld zorgteams. Zij zien dus meer cliënten. Maar: als toegang kan worden gedefinieerd en  gerechtvaardigd als universele norm binnen de zorgverlening, dan is dit ethisch en wettelijk verantwoord.

Need to know

Er zijn ook in die situatie grenzen. Behandelaars moeten zich bewust zijn van – en voegen naar – het need to know principe, dat ook is vastgelegd in de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Hierin is bepaald dat (cliënt-gerelateerde) informatie alleen mag worden gedeeld met zorgverleners die direct betrokken zijn bij de behandeling van die cliënt. Los van het recht op toegang, dient bovendien te worden nagedacht over het beheer van de gegevens. Hoe is het recht op toegang ingericht en geborgd?

Aristoteles knows best

Een methodische aanpak, ondersteund door technologie, kan gegevenstoegang niet alleen faciliteren en  reguleren, maar biedt ook de mogelijkheid om controlemechanismen in te bouwen. Daarbij gaat het er nadrukkelijk om dat niet alleen wordt gefocust op compliance (zijn we compliant? tijd voor koffie!), maar ook rekening wordt gehouden met ethische aspecten. Bovendien is het cruciaal om het juiste evenwicht te vinden tussen servicegerichtheid en het grotere doel van de organisatie. Meebewegen met dagdagelijkse behoeften of surfen op X-trends, is makkelijk, maar zoals Aristoteles al opmerkte: “het doel van het leven is om een doel te hebben.” En in dit geval is het doel om effectieve zorgverlening mogelijk te maken, zonder de privacy van de cliënt aan te tasten. Met een evenwichtige, goed geïnformeerde en ethisch verantwoorde benadering, kunnen we ervoor zorgen dat behandelaars in de ouderenzorg toegang hebben tot de juiste cliëntgegevens, maar alleen onder de juiste condities. Techniek kan daar een ondersteunende rol in spelen.

Waarom verplicht wijzigen?

Nieuwe wachtwoorden zijn veiliger dan oude wachtwoorden. Simpelweg omdat ze nog niet around the block zijn geweest. Dat is de aanname die aan het frequente wijzigingsbeleid ten grondslag ligt. Helaas is dat inzicht sterk achterhaald. En onjuist, omdat het ervan uitgaat dat alle mensen rationeel handelen en feitelijk onfeilbaar zijn. Niemand noteert wachtwoorden in een schriftje. Niemand plakt post-its op laptops of monitors. En niemand kiest de geboortedatum van het meest recente (klein)kind als wachtwoord.

De risico’s van minimale aanpassingen

Daar komt bij dat mensen wachtwoorden vaak minimaal aanpassen als ze hiertoe worden verplicht. Bijvoorbeeld door (eureka!) een cijfer aan het oude wachtwoord toe te voegen. Dat levert een reëel veiligheidsrisico op, want onderzoek van Lorrie Cranor, informatica​​​​​ ​professor aan de Carnegie Mellon University, toont aan dat minimale wijzigingen het aanvallers juist makkelijker maken om het nieuwe wachtwoord te kraken. Bijvoorbeeld omdat het oorspronkelijke wachtwoord wél gecompromitteerd is. En alle vervolgen zich laten raden. Geheim1 wordt Geheim2 wordt Geheim3. ​Enzovoorts. ​

Multifactor to the rescue

De opkomst van multifactor​ ​authenticatie (MFA) slaat een nieuwe deuk in het idee dat frequent wijzigen wenselijk of zelfs noodzakelijk is. MFA voegt een extra beveiligingslaag toe door – in aanvulling op het wachtwoord – een tweede vorm van verificatie te vereisen. Denk aan een sms-code of een biometrische scan. Dit betekent dat ‘zwarte hoeden’ die onverhoopt een wachtwoord bemachtigen, nog steeds bij de poort worden geweerd. Dit vermindert de noodzaak van frequent wijzigen aanzienlijk.

Recht naar het punt

Het regelmatig wijzigen van wachtwoorden, was nooit een bijzonder goed idee. Het introduceert namelijk meer risico’s dan het wegneemt. Met de grootschalige introductie van ‘dubbelloops’ beveiligingsmethoden, zoals multifactor​ ​authenticatie, is het helemaal outdated. Tijd dus om niet het wachtwoord, maar het onderliggende beleid aan te passen door te kiezen voor effectieve beveiligingsmaatregelen die zorgverlening beter beschermen. En ook nog een hoop gedoe en irritatie bij medewerkers wegnemen.