Waarom zorgmedewerkers uw beveiligingsbeleid negeren (en u de rekening betaalt)
Gepost door
Rob Veen
Wanneer zorgmedewerkers beveiligingsregels overtreden (zoals wachtwoorden delen of WhatsApp gebruiken voor patiëntfoto's), is dit vaak een symptoom van onwerkbaar IT-beleid ('Shadow IT'). Hoewel organisaties vaak denken dat de fout bij de medewerker ligt, wijst de juridische realiteit anders uit. De Autoriteit Persoonsgegevens beboet de organisatie (Verwerkingsverantwoordelijke), niet het individu. Het verhalen van schade op de werknemer is volgens art. 7:661 BW vrijwel onmogelijk, tenzij sprake is van opzet of bewuste roekeloosheid. Een NEN 7510 interne audit moet daarom niet alleen toetsen op kennis van regels, maar vooral op de werkbaarheid ervan.
Loop een willekeurige verpleegafdeling op en kijk goed rond.
Grote kans dat u ergens een geeltje op een monitor ziet plakken. Misschien geen wachtwoord, maar wel een extensienummer of een inlogcode voor de medicijnkast. Kijk hoe een arts inlogt: typt hij echt een complex wachtwoord van 14 tekens in, of gebruikt hij de pas van een collega die al ingelogd staat omdat dat 30 seconden scheelt?
Als CISO of bestuurder is uw eerste reactie waarschijnlijk frustratie. "We hebben ze getraind! Ze hebben de gedragscode getekend! Waarom snappen ze het niet?"
Stop met die gedachte.
Uw medewerkers zijn niet onwillig. Ze zijn pragmatisch. Ze hebben een primaire taak: patiënten helpen. Als uw NEN 7510-beleid die taak in de weg staat, dan wint de zorg. Altijd.
In dit artikel draaien we de rollen om. We kijken niet naar hoe we medewerkers "beter kunnen africhten", maar naar de juridische realiteit van onwerkbaar beleid.
De Juridische Realiteit: Wie is er nu echt aansprakelijk?
Veel bestuurders leven in de veronderstelling dat ze gedekt zijn door een geheimhoudingsverklaring en een streng IT-reglement. "Als Pietje dan toch zijn wachtwoord deelt, is het zijn schuld."
Hier moeten we een scherp onderscheid maken tussen externe boetes en interne aansprakelijkheid.
1. De externe rekening (Autoriteit Persoonsgegevens)
De AP handhaaft bij de Verwerkingsverantwoordelijke. Dat is de zorginstelling. Als een verpleegkundige data lekt door een fout, krijgt de organisatie de boete. U kunt niet tegen de AP zeggen: "Stuur de factuur maar naar de medewerker." U had organisatorische maatregelen moeten nemen om de fout te voorkomen.
2. De interne schade (Arbeidsrecht)
Kunt u die schade dan verhalen op de medewerker?
In de regel: Nee.
Volgens Artikel 7:661 van het Burgerlijk Wetboek is de werknemer niet aansprakelijk voor schade toegebracht tijdens het werk, tenzij er sprake is van opzet of bewuste roekeloosheid.
De lat voor "bewuste roekeloosheid" ligt in de jurisprudentie extreem hoog.
Situatie A: Een verpleegkundige deelt haar wachtwoord met een invaller omdat de invaller anders niet bij het dossier van een acute patiënt kan.
Oordeel: Waarschijnlijk geen roekeloosheid. De medewerker handelde in het belang van de patiënt (conflict van plichten) en de werkgever had het accountbeheer niet op orde.
Situatie B: Een arts gebruikt WhatsApp voor een 'second opinion'.
Oordeel: Als de werkgever geen werkbaar, veilig alternatief biedt, zal een rechter zelden oordelen dat de arts aansprakelijk is voor het datalek. De zorgplicht van de arts (goede zorg leveren) weegt zwaar.
Conclusie: U kunt de verantwoordelijkheid niet afschuiven op de werkvloer. Als uw beveiliging niet werkbaar is, is het falen van die beveiliging uw risico.
De 3 Oorzaken van 'Shadow IT' (Frictie = Risico)
Waarom ontstaan die geeltjes en gedeelde accounts? Niet uit luiheid, maar uit wrijving.
In de NEN 7510 audit wordt vaak gevraagd: "Is er beleid?"
De echte vraag moet zijn: "Is het beleid uitvoerbaar in de nachtdienst?"
1. De "Wachtwoord-moeheid" vs. Acute Zorg
Een zorgmedewerker logt tientallen keren per dag in.
Het Beleid: "Complexe wachtwoorden, elke 90 dagen wijzigen, automatisch uitloggen na 5 minuten."
De Realiteit: Dit vertraagt het zorgproces te veel.
De Workaround: Artsen loggen niet uit, of gebruiken elkaars sessie. In een reanimatie-setting is 2 minuten wachten op Windows geen optie.
2. De "WhatsApp" Val (Communicatie)
Zorg is teamwork. Foto's en snel overleg zijn cruciaal.
Het Beleid: "Gebruik geen privé-apps."
De Realiteit: De organisatie biedt alleen trage e-mail of een onhandige EPD-module.
Het Risico: Iedereen wijkt uit naar WhatsApp. Hoewel de app zelf versleuteld is, voldoet het beheer niet aan de AVG (metadata opslag in VS, geen verwerkersovereenkomst, adresboek-sharing). U verliest als organisatie de controle over waar patiëntdata staat.
3. De "Invaller" Chaos
De zorg draait op flexwerkers en ZZP'ers.
Het Beleid: "Accountaanvraag duurt 5 werkdagen."
De Realiteit: De ZZP'er wordt vandaag gebeld om morgen te werken.
De Workaround: De afdelingsmanager geeft de inloggegevens van een zieke collega.
Het Gevolg: NEN 7513 (logging) is waardeloos geworden, want u weet niet wie er daadwerkelijk achter de knoppen zat.
De AuditDirect Aanpak: Stop met Preken, Start met Oplossen
Een traditionele interne audit constateert: "Medewerkers delen wachtwoorden. Fout."
Vervolgens organiseert u een "Awareness Training". Iedereen knikt ja, en de volgende dag doen ze precies hetzelfde omdat het probleem (tijdgebrek) niet is opgelost.
Bij AuditDirect geloven we niet in symptoombestrijding. Wij auditen de oorzaak.
De "Gemba Walk" Audit
Wij doen onze audits op de werkvloer (de 'Gemba'). Wij observeren.
Hoe vaak moet een verpleegkundige inloggen?
Waarom kiest men voor WhatsApp?
Wat gebeurt er als de printer vastloopt?
Als wij een workaround vinden, straffen we niet. We vragen: "Waarom is dit nodig?"
Technische Oplossingen voor Cultuur-problemen
Vaak is de oplossing niet "meer regels", maar "betere techniek".
Identity & Access Management (SSO):
Vervang typen door Proximity Badges. Pasje tegen de lezer + pincode = binnen in 2 seconden. Dit lost de "open sessie" risico's op zonder frustratie.Faciliteer Secure Messaging:
Bied een veilig alternatief dat net zo goed werkt als WhatsApp (zoals Siilo, Smartpaging of BeterDichtbij). Als de veilige optie makkelijk is, stopt het gebruik van de onveilige optie vanzelf.Het "Break-Glass" Account:
Erken dat noodsituaties bestaan. Creëer een nood-procedure waarmee men zonder account bij het dossier kan, maar waarbij dit gelogd en gealarmeerd wordt. Dit voorkomt preventief wachtwoorden delen "voor het geval dat".
Compliance Audit vs. Reality Audit
Audit Aspect | De Papieren Audit (Traditioneel) | De Realiteits-Audit (AuditDirect) |
Wachtwoorden | "Is er een wachtwoordbeleid?" | "Hoeveel minuten per dag verliest de zorg aan inloggen?" |
Gedrag | "Zijn de gedragscodes getekend?" | "Welke 'workarounds' zijn noodzakelijk om de zorg te leveren?" |
Oplossing | "Meer training en regels." | "Betere UX (User Experience) en techniek (SSO)." |
Focus | "De medewerker maakt een fout." | "Het proces ondersteunt de medewerker onvoldoende." |
Begrippenlijst
Workaround: Een informele werkwijze om een obstakel in het officiële proces te omzeilen. In IT-security vaak een teken van slecht procesontwerp, niet van onwil.
Shadow IT: Het gebruik van software (zoals WhatsApp, privé-laptops) zonder beheer door de IT-afdeling.
Opzet / Bewuste Roekeloosheid: De juridische ondergrens (art 7:661 BW) om schade op een werknemer te verhalen. Dit vereist dat de werknemer wist dat schade zou ontstaan en dit op de koop toe nam. Een "domme fout" valt hier zelden onder.
Privacy by Design (als UX): Beveiliging zo inbouwen dat het de standaard, makkelijkste optie is.
Beveiliging is Dienstverlening
Een NEN 7510 certificaat dat leunt op onwerkbare regels is een kaartenhuis. Bij de eerste crisis stort het in. Uw medewerkers willen veilige zorg leveren. Ze willen alleen niet dat de beveiliging hen vertraagt.
Als bestuurder bent u juridisch en financieel aan zet. Kiest u voor een papieren werkelijkheid, of voor een werkbare praktijk?
Wilt u een interne audit die niet wijst met het vingertje, maar helpt om veiligheid en werkbaarheid te verzoenen?
👉Vraag direct een NEN 7510 Interne Audit aan bij AuditDirect
Veelgestelde Vragen over Personeel & Security
1. Is de medewerker aansprakelijk bij een datalek?
In veruit de meeste gevallen: Nee. De werkgever draagt het bedrijfsrisico. Alleen bij aantoonbare opzet (diefstal van data) of grove roekeloosheid (meermaals gewaarschuwd specifiek gedrag negeren) maakt u kans bij de rechter. Een fout door tijdsdruk of onwetendheid is voor rekening van de zaak.
2. Mag ik WhatsApp verbieden?
U mag en moet als organisatie kaders stellen aan welke tools gebruikt worden voor patiëntdata. De Autoriteit Persoonsgegevens stelt dat u de regie moet hebben over de data. Bij consumenten-apps zoals WhatsApp ontbreekt die regie (metadata, opslaglocatie, beheer). Het verbieden heeft echter alleen zin als u een werkbaar alternatief biedt.
3. Hoe ga ik om met ZZP'ers en toegang?
Behandel ZZP'ers qua beveiliging hetzelfde als medewerkers. Zorg voor een versneld ('fast-track') onboarding-proces voor toegang. Het is veiliger om een ZZP'er een tijdelijk account met beperkte rechten te geven, dan toe te staan dat ze meeliften op het account van een ander (want dan vervalt uw logging en bewijslast).
Geraadpleegde Bronnen:
Burgerlijk Wetboek (BW). Artikel 7:661 (Aansprakelijkheid werknemer).
Autoriteit Persoonsgegevens (AP). De menselijke factor in beveiliging en controle op de werkvloer. autoriteitpersoonsgegevens.nl
NEN 7510-1:2017 (Paragraaf 7: Menselijke bronnen).
