Een vierde en laatste artikel in de serie over zorg en informatieveiligheid. Als afscheid nemend ict-manager bij een middelgrote zorginstelling heb ik de afgelopen drie jaar veel geleerd. De onderstaande les it-ethiek heb ik verzameld uit eigen dilemma’s en dat van mijn collega’s in andere zorginstellingen.
Als informatiebeveiliging je interessegebied is kijkt men soms argwanend naar hoe je een project gaat invullen. Een opmerking dat security geen hoofdrol mag krijgen ligt voor de hand. Geen nood, ik kan mij prima inhouden. Maar juist omdat ik mij netjes heb ingehouden vind ik dat we aan het eind van alle projecten toch nog wel even de organisatiebrede naleving van informatiebeveiligingsnorm NEN7510 kunnen bespreken.
Informatiebeveiliging
Verschillende zorgorganisaties scoren beroerd slecht op de de informatiebeveiligingsnorm. Beleid, procedures, awareness en de organisatie rondom informatiebeveiliging zijn hier en daar flink onder de maat. Nu gooi ik een flinke steen in de vijver van het beveiligingsmeer: Doet die maat er nog toe als het water aan de lippen staat? Als de bezuinigingen zover gaan dat de zorgbehoevende cliënt op straat gezet wordt?
In die situatie heb je weinig kans dat er interesse is voor een IB beleid, procedures, awareness-programma’s of beveiligingsmiddelen. Zeker ook niet als er al jaren geen zichtbaar incident is geweest. Er is geen interesse bij het management en niet bij het personeel. De uren zijn op, het geld is op, het is kiezen of delen. Daar sta je dan met je goede intenties en een voorstel IB-beleid in je handen.
SABSA
Met mijn SABSA-risicomanagementtheorieën probeer je dat dan aan te vliegen door terug te gaan naar het bedrijfsbeleid. Wat wil je als organisatie nou eigenlijk bereiken, wat zijn je waarden en waar liggen je normen. En… eigenlijk levert dat meer op dan ik had verwacht. Het kan het zo maar gebeuren dat je tussen de regels door een antwoord kunt destilleren:
Bij een krimpend budget verschuift de core business zich naar het primaire proces en stijgt de risk appetite, bij een dramatische inkomstendaling ontstaat tunnelvisie en een normverschuivende overlevingsdrang.
Nu we op het niveau van overleven komen verbleken de angstwekkende verhalen van informatiebeveiligers, (informatie)risico’s die niet direct hard het primaire proces raken zijn van (extreem) secundair belang. De behoefte om op korte termijn de zorg te kunnen blijven bieden overwint.
Schraplijst
Sommige informatiebeveiligers vinden dat onacceptabel. Maar ik ga even in de rol van een risicomanager staan… Stel, de bevalling van jouw vrouw kondigt zich plots aan op de A2, vier weken te vroeg. Je weet dat je als de wiedeweerga naar het ziekenhuis moet. Ik kan mij zo voorstellen dat je dan wel even te hard rijdt, je pakt nog net even dat rode licht, je parkeert asociaal. Je hebt je eigen schraplijst met zaken die jouw ultra primaire doel in de weg staan. Je neemt risico’s die je anders niet zou nemen, maar in deze situatie begrijpt iedereen dat. De norm verschuift, je mag nu klaarblijkelijk grotere risico’s aangaan. Wie accepteert jouw verhaal dat de bevalling fout ging omdat jij vond dat je je netjes aan de snelheid moest houden?
Een toenemend aantal zorginstellingen komt nu, na een aantal bezuinigingsrondes en verschraling van de zorg die situatie terecht. De overheid betaalt steeds minder, de cliënt heeft geen geld en ouders kunnen de zorg niet op zich nemen. De norm gaat verschuiven. Je geeft het geld niet uit aan een functionaris gegevensbescherming maar besteedt het aan het redden van de zorg voor je cliënten.
Ik hoor de informatiebeveiliger (begrijpelijk) nu al denken: ja, totdat het fout gaat. Maar dan geef ik toch de overweging mee: een cliënt zonder zorg op straat of wel zorg kunnen bieden maar met een groter risico dat een hacker een kopie trekt van zijn persoonsgegevens. Zo simpel ligt het soms.
Een “duivels dilemma” misschien, maar de kaalslag die je omschrijft in de zorg, zorgt er voor dat de “echte” zorg er alleen nog maar is voor de “elite” het plebs (lees iedereen onder modaal) heeft straks amper nog zorg laat staan een dossier.
En natuurlijk is het niet leuk dat je medische (persoonsgegevens) op straat liggen maar aan de andere kant wie heeft er wat aan?
Oké, dan weet de hele wereld misschien ineens dat je kanker hebt.
Het enige vervelende is misschien dat als je verzekeraar alle gegevens ziet je premies opeens extra omhoog gaan?
M.a.w wat is de “waarde” van bepaalde gegevens?
Niet dat je niets moet doen om het te voorkomen, maar doen we af en toe niet te krampachtig als het om persoonsgegevens gaat?
Als hacken niet lukt door “iemand” die bepaalde gegevens wil hebben, dan “koop” je ze toch middels een corrupte insider?
Ik denk dat juist dat laatste een veel groter gevaar is.