AVG noodzaakt zorgorganisaties om Shadow IT in kaart te brengen

Shadow IT in uw organisatie

Iedere dag wisselen medewerkers (in de zorg) belangrijke informatie uit met collega’s, medewerkers van andere zorgaanbieders, zorgkantoren, verzekeraars of gemeenten. In veel gevallen zal gebruik gemaakt worden van e-mail, maar in sommige gevallen zijn bestanden te groot om via de mail te versturen. Een logische oplossing die gebruikers dan kiezen zijn gratis Cloud services. Het kan zijn dat de gebruiker beperkingen ervaart bij zakelijke applicaties of dat hij deze te ingewikkeld vindt. De gebruiker zoekt daarom naar een alternatief. In de zorg willen we persoonsgegevens en de privacy waarborgen van de patiënten, maar zogenaamde ‘Shadow IT’ brengt risico’s met zich mee. Fizr vindt net als u privacy een belangrijk onderwerp en wij kunnen samen met u kijken naar de informatieprocessen en naar (de naleving van) beleidsafspraken binnen uw organisatie.

Een definitie van Shadow IT

Alle (software) applicaties en (hardware) apparatuur die niet officieel is goedgekeurd door de organisatie.

Compliance en veiligheid

In bijna alle zorgorganisaties is sprake van Shadow IT, maar het kan gevolgen hebben voor uw organisatie. Non compliance en geen toezicht op adequate beveiliging zijn belangrijke risico’s die betrekking hebben op privacy, van bijvoorbeeld patiëntgegevens, binnen uw organisatie.

Wanneer consumenten (software) applicaties of ICT-apparatuur voor zakelijk gebruik worden ingezet, zonder dat hiervoor toestemming is gegeven, kan er data uitlekken en loopt een zorgaanbieder het risico om niet meer ‘compliant’ te zijn en dus niet meer aan de Algemene verordening gegevensbescherming (AVG) wet te voldoen. Als medewerkers op eigen computers of systemen in de Cloud werken, verliest u een deel van de controle over de beveiliging van data en weet u niet of u aan de AVG-regels voldoet. Is het voor uw organisatie duidelijk welke apps in de Cloud data verwerken en waar die data wordt opgeslagen?

Shadow IT inzichtelijk maken

Het is begrijpelijk dat Shadow IT plaatsvindt op de werkvloer. Meestal ontstaat Shadow IT uit noodzaak of door het streven naar extra gebruiksgemak. Allereerst is het van belang om een aantal zaken inzichtelijk te maken en uzelf een aantal vragen te stellen.

Weet u:

- welke (Cloud) applicaties u in huis heeft?

- welke externe (software) applicaties uw medewerkers mogelijk gebruiken?

- welke afspraken zijn gemaakt over het gebruik van (software) applicaties?

- waar uw data is opgeslagen?

- hoe uw data wordt beheerd/beveiligd?

- of uw apparaten goed worden beheerd?

Privacy Impact Assessment

Een instrument dat wordt ingezet bij zorgorganisaties om vooraf de privacy risico’s en gegevensverwerking in kaart te brengen is een Data Protection Impact Assessment (DPIA). In het Nederlands wordt dit het gegevensbescherming en effectenbeoordeling instrument genoemd. Dit instrument is verplicht voor zorgorganisaties, omdat de gegevensverwerking binnen deze organisaties een verhoogd privacy risico oplevert voor patiënten. Uw organisatie verwerkt namelijk gevoelige gegevens, uw organisatie verwerkt op grote schaal (bijzondere) persoonsgegevens of uw organisatie verwerkt gegevens over kwetsbare personen. Na het opstellen van een DPIA kunt u verder met het beheersbaar maken van Shadow IT en uw medewerkers faciliteren om op een juiste manier om te gaan met privacygevoelige data.

Kortom, alle apparatuur en applicaties dichttimmeren kan niet. Net zomin als dat het onmogelijk is om “nee” te zeggen tegen Shadow IT, maar het is wel van belang dat in kaart wordt gebracht welke niet geautoriseerde programma’s en apparatuur wordt gebruikt en hoe er met patiëntgegevens wordt omgegaan binnen uw zorgorganisatie. Transparant zijn is de beste strategie en een DPIA is een instrument die hiervoor wordt gebruikt. Shadow IT dient te worden benaderd vanuit een breder perspectief dan alleen een ICT-vraagstuk rondom de risico’s van informatiebeveiliging, immers: risico = kans x impact.

Fizr kan met u kijken naar de mogelijkheden om de impact te verminderen, zodat werknemers goed hun werk kunnen doen zonder dat zij gehinderd worden door beveiligingsmaatregelen. Soms zijn technische oplossingen noodzakelijk, maar dit is altijd maar een deel van de oplossing. Wij leveren onder andere de diensten aan zorgaanbieders om mee te helpen met het opstellen van een DPIA en om informatieprocessen in kaart te brengen en te stroomlijnen.

Heeft u behoefte aan een sparringpartner op het gebied van privacy en/of (informatie)processen? Neem dan contact met ons op: info@fizr.nl