Waar gaat het vaak mis?

Informatiebeveiliging richt zich op de 3 basisvereisten van een betrouwbaar ICT-systeem:

• Beschikbaarheid (informatie is beschikbaar als het nodig is)
• Integriteit (informatie is juist)
• Vertrouwelijkheid (informatie is alleen beschikbaar voor bevoegden)

In het geval van een datalek is er sprake van een incident m.b.t. de vertrouwelijkheid.

Op dit punt komen we een nare tegenstelling tegen die bij informatiebeveiliging vaak om de hoek komt kijken. Het afschermen van gegevens betekent namelijk vaak dat de toegang bemoeilijkt wordt door extra veiligheidsmaatregelen. Denk aan inloggen met aparte software, complexe wachtwoorden of tokens met wisselende codes, et cetera. Goede beveiliging staat dus regelmatig haaks op gemak.

Datalekken komen soms voort uit de focus op het ‘gemakkelijk’ kunnen delen van informatie (bedoeld voor een selecte groep), of bijvoorbeeld uit een fout of gemakzucht in het configureren van de digitale omgeving. In de dagelijkse praktijk zie ik vaak dat beveiligingsincidenten worden veroorzaakt door keuzes waarbij gemak wordt verkozen boven veiligheid.

WGBO

In hetzelfde nieuwsbericht wordt geschreven over de Wet Geneeskundige Behandelovereenkomst.

Deze wet zorgt regelmatig voor lastige situaties. Zo dienen zorgverleners privacygevoelige gegevens geheim te houden. Wat nu als je duizenden papieren dossiers wil inscannen? Mag je dan een ‘derde’ inschakelen om de nietjes uit het papier te halen zodat het scannen eenvoudiger gaat? Mag een helpdeskmedewerker (eventueel op afstand) met een arts meekijken die een bepaalde patiëntkaart niet kan printen?

Per situatie moeten de risico’s in kaart worden gebracht, en passende maatregelen worden genomen. Oplossingen moeten passen binnen het wettelijk kader en een betrouwbare ICT-voorziening opleveren.

Indien je vragen hebt over bovenstaande of ondersteuning wenst bij het in kaart brengen van gegevensstromen, uitvoeren van een beveiligingsscan en/of opstellen van een calamiteitenplan, neem dan gerust contact op met mij.