SafeNet heeft onlangs na een datalek de klantloyaliteit onderzocht. Grofweg de helft van respondenten geeft aan geen zaken meer te willen doen met een organisatie die recentelijk een datalek heeft gehad. Hoe dat in de zorg precies zit, en in hoeverre bijvoorbeeld een ziekenhuis feitelijk financiële schade oploopt door zo’n opstelling, is niet direct duidelijk. Maar dát er een effect is, wel. En dat brengt ons dicht bij de mogelijkheid om de return-on-investment van beveiliging te kwantificeren: behoud van klanten.
Afkeer
Ik heb herhaaldelijk gemerkt dat binnen zorginstellingen een zekere afkeer ontstaat, of al bestaat, jegens informatiebeveiligers. Dit wordt gevoed door de ‘kan-niet-mag-niet’-opstelling van veel security officers, die adoptie van nieuwe technologie bemoeilijken zo niet onmogelijk maken. Ik kijk altijd met verwondering naar dit soort patstellingen, geboren uit volstrekt onbegrip en met geen enkel zicht op verbetering.
Noodzakelijk kwaad
Waar gaat het fout? Allereerst bij de business, ofwel de lijnorganisatie. Die moet ophouden beveiliging van informatie als een noodzakelijk kwaad te zien. Informatiebeveiliging is eigenlijk de kwaliteitscontrole op ict-voorzieningen. Het is net als het schoonhouden van de OK en het certificeren van medische apparatuur essentieel om de vitale processen in de zorg goed te laten verlopen. Het is gewoon niet de bedoeling dat als een apparaat zijn metingen aan een arts toont, elke willekeurige voorbijganger ze ook kan zien. Dat snapt iedereen.
Risico’s
Er komt een tijd waarin apparatuur niet de markt op mag als die niet inherent veilig is. Zo ver zijn we nog niet en apparaten zijn dus te misbruiken. Dat betekent niet dat er geen nieuwe apparaten of nieuwe technologie kan worden geïntroduceerd. Het betekent alleen dat je moet willen vaststellen dat apparatuur voldoet aan je eigen beveiligingseisen alvorens je ermee gaat werken. Aan de kant van de informatiebeveiligers gaat vooral dit fout. Nieuwe technologie is niet per definitie slecht. Houd op met die ‘kan-niet-mag-niet’-mentaliteit. Informatiebeveiliging draait om risicomanagement. Een informatiebeveiliger brengt de risico’s in kaart, maar het is de organisatie die bepaalt welke risico’s acceptabel zijn en welke niet. Wet- en regelgeving dragen bij aan die beoordeling, maar voor een belangrijk deel doet de organisatie dit vanuit haar eigen missie, visie, strategie en tactiek. Als de organisatie wil innoveren en daarom bepaalde risico’s accepteert, is dat in principe prima.
Obstakel of enabler?
Alleen als beide kampen hun eigen rol ten aanzien van informatiebeveiliging goed invullen én de rol van het andere kamp begrijpen en accepteren, kan informatiebeveiliging in plaats van een obstakel een enabler worden voor zorginnovatie. En met behoud van klanten.
In mijn ervaring beschouwen zorgprofessionals informatiebeveiliging niet als een noodzakelijk kwaad. De argumenten die Erik aanvoert worden echt wel begrepen.
Echter, om beveiliging te zien als een enabler is wel een hele grote sprong. Beveiliging is voor de gebruiker altijd een drempel. Dat is immers het doel. Die drempel is er ook niet voor niets. Een goed ingerichte en toegepaste beveiliging is voor de klant echter wel vaak een voorwaarde voor gebruik.
Dat mag dus wat kosten, niet alleen financieel maar ook in gebruik.
Ik doe altijd, vrijwillig mijn autogordel om als ik in een auto stap en wil onder normale omstandigheden niet in een auto rijden zonder gordels.
Zelfs in een bus voelt de afwezigheid van een gordel wat naakt.
De aanwezigheid van die autogordel is een wettelijk geregelde randvoorwaarde.
Zo is het ook met informatiebeveiling.