Videocollege Informatieveiligheid voor bestuurders

Martina Bartelink zit in een studio met schermen waarop je digitale processen kunt zien

Als bestuurder ben je eindverantwoordelijk voor de digitale veiligheid van jouw organisatie. Dat is belangrijk om de continuïteit van zorg aan je cliënten te garanderen. Maar ook om een crisis, boetes, of ongewenste media-aandacht te voorkomen. Wat moet en kan je als bestuurder doen om de informatie binnen jouw organisatie veilig te houden? In het videocollege ‘Informatieveiligheid’ vertellen we je wat jouw rol als bestuurder is.

Het belang van cybersecurity

De zorg wordt door cybercriminelen niet ontzien. Het aantal cyberaanvallen op de zorgsector neemt in Europa steeds verder toe. Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, publiceerde eerder al een dreigingsbeeld voor de zorg. Naast een overzicht van de bedreigingen van de afgelopen tijd, biedt het document ook adviezen voor zorgorganisaties om de informatieveiligheid in de eigen organisatie te regelen.

Videocollege Informatieveiligheid

In het videocollege ‘Informatieveiligheid’ neemt adviseur Martina Bartelink ons mee: wat is informatieveiligheid eigenlijk en welke rol speel jij als bestuurder? Het videocollege bestaat uit een introductie, zes inhoudelijke video’s en een afronding. Om te beginnen bekijk je hieronder de inleiding. Een overzicht van de inhoud van dit college vind je hier.

Hieronder staan de video’s met aanvullende informatie en vragen die je jezelf kunt stellen na het kijken. Heb je alle video's bekeken? Dan heb je een overzicht van de verschillende aspecten van informatieveiligheid waar jij als bestuurder verantwoordelijk voor bent.

De termen informatieveiligheid, digitale veiligheid en cybersecurity worden door elkaar heen gebruikt, maar betekenen in de context van deze videoreeks hetzelfde.

1. Beleid en bestuur

Ik ben bestuurder, en nu?

Wat bedoelen we precies met informatieveiligheid? En wat is de NEN norm 7510? In de eerste video van dit videocollege gaan we in op jouw verantwoordelijkheden als bestuurder en waar je aan moet denken als het gaat om de informatieveiligheid van jouw organisatie.

De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet erop toe dat je als organisatie je informatieveiligheid op orde hebt. In onderstaande video legt de inspectie zelf uit wat er van jou als bestuurder verwacht wordt, en hoe de inspectie kijkt naar informatieveiligheid.

Na het kijken van de video

Vragen, informatie & handige tools

Hoe kun jij voor jouw organisatie antwoord geven op onderstaande vragen bij een audit of een bezoek van de inspectie? En wat is jouw antwoord op een informele vraag van een collega-bestuurder die op zoek is naar voorbeelden? Ga eens op zoek in je eigen organisatie als je niet zeker bent van je antwoorden.

Heeft jouw organisatie een informatiebeveiligingsbeleid?
Heb je een Information Security Management Systeem (ISMS)?
Volg je een PDCA-cyclus voor het informatieveiligheidsbeleid?

Naslagwerk

Bijlage 1A: Informatie over het toetsingskader e-health van IGJ en de NEN7510
Tekst van de video (volgt)
Factsheet van IGJ n.a.v. 10 bezochte VVT instellingen

Handige tools

Z-Cert heeft een handige tool om de volwassenheid van jouw organisatie op de NEN7510 na te gaan. Deze tool is bedoeld voor een CISO of beleidsmedewerker met informatieveiligheid als aandachtsgebied.

Heb je een vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl.

2. Rollen en functies

Wie is verantwoordelijk voor beveiliging?

Wie speelt er een rol bij informatieveiligheid? En welke functies moet je in jouw organisatie in ieder geval aanwijzen? Dat hoor je in video twee van dit videocollege.

Na het kijken van deze video:

Vragen, informatie & handige tools

Vragen naar aanleiding van het kijken van de video’s

Wie is in jouw organisatie de verantwoordelijke voor de beveiliging en gezondheidsinformatie? Check eens of deze persoon de goede positie en juiste competenties heeft, maar ook de tijd om onafhankelijk en coördinerend op te treden. En komt de informatie over informatieveiligheid en incidenten van deze persoon terug in je ISMS (Information Security Management Systeem) en PDCA-cyclus?

Naslagwerk

Bijlage 2A: De verschillende rollen en functies op een rij. Wie doet wat?
Bijlage 2B: Een voorbeeld van het informatiebeleidsplan van Sevagram (2020)
Tekst van de video (volgt)

Heb je een vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl.

3. Balans

Welk risico past bij jou en jouw organisatie?

Informatieveiligheid is niet enkel het afwerken van een checklist. Maatregelen moeten passen bij jouw organisatie. Je bent bezig met risicomanagement. In deze video hierover meer uitleg.

Na het kijken van deze video:

Vragen, informatie & handige tools

ragen naar aanleiding van het kijken van de video’s:

Wat is jouw visie op werkbaarheid en beleid op innovatie van de zorg versus veiligheid? Check eens voor je eigen organisatie of de grootste veiligheidsrisico’s in beeld zijn, of er passende maatregelen zijn voor deze risico’s, en of je kritisch bent of maatregelen passen bij het soort organisatie dat je wilt zijn.

Naslagwerk

Bijlage 3a: beknopte uitleg van risicomanagement
Tekst van de video (volgt)

Handige tools

Download hier een format voor een risicoanalyse op basis van de NEN7510. Deze tool is bedoeld voor een CISO of beleidsmedewerker met informatieveiligheid als aandachtsgebied.

Heb je een vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl.

4. Bewustzijn

Stuur je medewerkers een phishingmail

Veilig gedrag van medewerkers is cruciaal voor informatiebeveiliging. Maak het voor hen gemakkelijk door zoveel mogelijk vooraf te regelen en zorg voor goede kennis en begrip over veilig gedrag. Daarover meer in video 4 over bewustzijn.

Na het kijken van deze video:

Vragen, informatie & handige tools:

Vragen naar aanleiding van het kijken van de video’s:

Ga eens na in jouw organisatie hoe er wordt gezorgd voor informatieveilig gedrag. Zijn de digitale systemen en veiligheidsmaatregelen in jouw organisatie voldoende gebruiksvriendelijk? Of worden er toch geregeld ‘workarounds’ toegepast en waarom? Weten medewerkers wat belangrijk is in hun gedrag en welk gedrag welke risico's met zich meebrengt?

En kijk als bestuurder ook naar jezelf: werk jij altijd digitaal veilig en zo nee, waarom niet?

Naslagwerk

Tekst van de video (volgt)

Handige tools

Het project Informatieveilig gedrag in de Zorg heeft een wegwijzer gemaakt hoe te komen tot informatieveilig gedrag in de zorg. Lees er hier meer over:

Brochure over de wegwijzer en de aanpak
Toelichting bij en links naar de wegwijzer ‘Aan de slag met informatieveilig gedrag’ (voor beleidsmedewerkers)

Heb je een vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl.

5. Monitoring

Voorkom risico's door monitoring

Monitoring en controle hoort bij je PDCA-cyclus op de bestuurstafel. Waar moet je als bestuurder aan denken op het gebied van monitoring? Dat legt Martine uit in video 5 van dit videocollege.

Na het kijken van deze video:

Vragen, informatie & handige tools

Vragen naar aanleiding van het kijken van de video’s:

Is in jouw organisatie de monitoring in lijn met je risicoanalyse? Worden de resultaten van de monitoring standaard meegenomen in je PDCA-cyclus? Wie is er verantwoordelijk voor de diverse manieren van monitoren? En kloppen de afspraken met de diverse leveranciers goed?

Naslagwerk

In deze video geeft Wim Hafkamp, directeur van Z-Cert, een presentatie voor bestuurders over informatieveiligheid. Vragen aan je CISO, gedrag van medewerkers, en monitoring komen aan de orde (duur ca.15 minuten)
Tekst van de video (volgt)

Handige tools

Vooral voor staf- en beleidsmedewerkers:

De Handreiking Penetratietesten geeft inzicht in het stappenplan en de aandachtspunten voor het inzetten van penetratietesten, ofwel pentesten.
Het NCSC heeft een whitepaper securitytesten geschreven die een goede aanvulling is op deze handreiking. Deze whitepaper gaat met name over het proces dat een opdrachtgever van een securitytest moet doorlopen.
Bekijk op de ActiZ Kennisbank hoe datalekken via oude domeinnamen te voorkomen.

Heb je een vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl.

6. Crisis

Help, er is een USB-stick kwijt!

100% veiligheid bestaat niet. Er kan altijd een incident plaatsvinden. Groot of klein: je kunt je voorbereiden op een veiligheidscrisis. Leer in deze video hoe je je kunt voorbereiden.

Na het kijken van deze video:

Vragen, informatie & handige tools

Vragen naar aanleiding van het kijken van de video’s:

Check eens hoe goed jouw organisatie is voorbereid op een crisis. Is er een crisisteam en weten deze personen welke rol ze hebben in dat team? Ligt er een crisisplan en wordt deze regelmatig gecheckt? En oefent het crisisteam ook weleens een situatie? Weet jij als bestuurder de eerste stappen om te zetten bij een crisissituatie?

Naslagwerk

Lees hier meer over de rol van het Z-Cert Emergency Response Team
Tekst van de video (volgt)

Handige tools

Een checklist wat te doen wanneer je gehackt bent
Een voorbeeld van een crisisplan

Heb je een vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl

Afronding

Samenvatting & afronding

In deze video neemt Martina je een laatste keer mee in een korte overzicht van de 6 video's uit dit videocollege. Wat is jouw rol als bestuurder bij cybersecturity en wat moet je zeker voor elkaar hebben?

We hopen dat je na het kijken van dit videocollege een beter beeld hebt van informatieveiligheid en wat jouw rol als bestuurder is om te zorgen dat jouw organisatie digitaal veilig blijft. Heb je nog vraag? Is er iets onduidelijk of heb je andere feedback? Stuur het ons via academie@actiz.nl.

Mijn ActiZ

Meer weten over Informatieveiligheid?

Op de Mijn ActiZ-omgeving kunnen leden van ActiZ meer informatie over dit thema vinden.

Naar de Kennisbank

In gesprek met grote organisaties over de toekomst van de ouderenzorg

Duurzaamheid

Praat vandaag over morgen als olievlek over Nederland

Videocollege Informatieveiligheid voor bestuurders

Videocollege Informatieveiligheid voor bestuurders keyvisual

Het belang van cybersecurity

Videocollege Informatieveiligheid

Inhoud geblokkeerd

1. Beleid en bestuur

Inhoud geblokkeerd

Inhoud geblokkeerd

Na het kijken van de video

Vragen, informatie & handige tools

Naslagwerk

Handige tools

2. Rollen en functies

Inhoud geblokkeerd

Na het kijken van deze video:

Vragen, informatie & handige tools

Vragen naar aanleiding van het kijken van de video’s

Naslagwerk

3. Balans

Inhoud geblokkeerd

Na het kijken van deze video:

Vragen, informatie & handige tools

ragen naar aanleiding van het kijken van de video’s:

Naslagwerk

Handige tools

4. Bewustzijn

Inhoud geblokkeerd

Na het kijken van deze video:

Vragen, informatie & handige tools:

Vragen naar aanleiding van het kijken van de video’s:

Naslagwerk

Handige tools

5. Monitoring

Inhoud geblokkeerd

Na het kijken van deze video:

Vragen, informatie & handige tools

Vragen naar aanleiding van het kijken van de video’s:

Naslagwerk

Handige tools

6. Crisis

Inhoud geblokkeerd

Na het kijken van deze video:

Vragen, informatie & handige tools

Vragen naar aanleiding van het kijken van de video’s:

Naslagwerk

Handige tools

Afronding

Inhoud geblokkeerd

Meer weten over Informatieveiligheid?

Meer artikelen over Strategie

Masterclass “ICT in de boardroom” voor bestuurders

Masterclass Digitaal Leiderschap in de VVT

IZA Digitale paragraaf achtergrondinformatie