Gegevens in veilige handen
De privacy van cliënten en medewerkers moet goed worden beschermd. Wat doet AxionContinu om persoonsgegevens en andere informatie te beveiligen? Specialisten John Koppelaar en Frans Werring doen het uit de doeken.
De eisen en wetgeving op het gebied van privacy worden strenger en op overtreding staan flinke boetes. Zo bepaalt de AVG (Algemene verordening gegevensbescherming) dat een bedrijf of organisatie persoonsgegevens alleen mag verwerken en delen als dat echt nodig is. Terecht, zegt Frans, privacy officer (AVG-specialist). “Die gegevens zijn van de betreffende persoon, van niemand anders. Ook bij ons moeten cliënten en medewerkers erop kunnen vertrouwen dat wij daarmee uiterst zorgvuldig omgaan. We maken dus steeds de afweging die de AVG van ons eist. Een BSN hebben we niet nodig als iemand op een wachtlijst komt, dus daar vragen we niet om. Ander voorbeeld: een medewerker die geen medicatie verstrekt heeft geen toegang tot gegevens daarover, een arts wel.”
Computerprogramma’s
De tijd dat patiënt- en personeelsgegevens alleen aan het papier werden toevertrouwd is lang voorbij. Papier werd een scherm, de pen een toetsenbord en de dossierkast een server. AxionContinu gebruikt veel computerprogramma’s die persoonsgegevens bevatten, vertelt John, adviseur informatiebeveiliging. “Op de locaties maar ook in de thuiszorg werken medewerkers met telefoons en iPads waarop allerlei applicaties draaien met gevoelige informatie.”
Stuk voor stuk zijn die programma’s volgens weldoordachte zogenoemde autorisatieschema’s ingericht. John: “Vergelijk het met een kast met lades. Op elke lade hebben we een stevig slot gezet. De sleutel geven we alleen aan de medewerker die in die lade moet zijn.”
Datalek
Privacy moet binnen, maar zeker ook buiten de muren worden beschermd. Een datalek is immers de grote angst van elk bedrijf en organisatie. Persoonsgegevens komen dan op straat te liggen door een aanval van een hacker, of door een menselijke of technische fout. Geen prettig idee, dat voelt iedereen wel aan. Maar is het ook gevaarlijk? Frans: “Ja, want gegevens kunnen verloren gaan, worden gewijzigd en zelfs vernietigd. Een fraudeur kan zich ook als een ander voordoen door diens gegevens te gebruiken en zo bijvoorbeeld een bankrekening openen, een auto huren of online een aankoop doen.”
Kwetsbaarheden
Cybercriminelen zijn slim. Ze ontdekken steeds nieuwe mogelijkheden om in een netwerk te komen en daarvan misbruik te maken. John noemt het voorbeeld van de man-in-the-middle-situatie. “Een cybercrimineel wringt zich op de datalijn tussen de eindgebruiker en de omgeving waar deze bijvoorbeeld inlogt en kan dan gegevens onderscheppen. Goed beveiligde en geüpdatete apparatuur voorkomt dat.”
AxionContinu zorgt er op allerlei manieren voor dat het netwerk zo veilig mogelijk is. Om de veiligheid te vergroten gaan bij AxionContinu die spreekwoordelijke lades tegenwoordig open met meerdere sleutels, oftewel: meervoudige verificatie. “Een wachtwoord of inlogcode is niet veilig genoeg meer om die cybercrimineel buiten te houden. Meervoudige verificatie houdt in dat je met behulp van je mobiele telefoon of een vinger- of gezichtsscan een extra stap zet om in te loggen. Een veilige gedachte, zeker nu veel medewerkers meer thuis werken.”
Bewustwording
Er gebeurt meer. Programma’s die worden gebruikt houdt John tegen het licht, vóór de aankoop van nieuwe systemen keert hij ze binnenstebuiten: hoe zit het met de beveiliging? Hoe en waar worden gegevens bewaard, wie kunnen erbij en wanneer?
De techniek up-to-date houden is één kant van het verhaal, medewerkers bewust maken van risicovol gedrag de andere. Daarom spreken John en Frans collega’s regelmatig aan. Zien de twee een lege kamer met de deur wagenwijd open, dan draaien ze die weleens op slot. Treffen ze een eenzame, maar geopende computer? Hup, slot erop met schermbeveiliging. Of een medewerker kan bij terugkomst op zijn kamer een boodschap van John op zijn beeldscherm lezen: ik tik dit in Word, maar ik kan dus ook in je andere systemen.
“We doen het met een kwinkslag, maar wel serieus”, aldus Frans.
Tot slot: wat die bewustwording betreft hebben hij en John een paar tips voor cliënten. Zij gebruiken onder meer het cliëntportaal van AxionContinu om medische dossiers en afspraken in te zien. “Het ligt voor de hand, maar we zeggen het toch nog een keer: zorg dat je computer en internetverbinding up-to-date en goed beveiligd zijn. En deel nooit je wachtwoorden of inlogcodes.”
Dit artikel verscheen eerder in ContACt lente 2022.