Veilig werken in de praktijk
Bewustwording en het bewustzijn van medewerkers rondom informatieveiligheid is cruciaal bij veilig werken. Veel digitale inbraken gebeuren bijvoorbeeld via phishing (met zgn. ransomeware) waarbij medewerkers op ‘linkjes’ (tekst of plaatjes) in e-mails klikken of besmette bijlagen openen. Er hoeft maar één inbraakpoging succesvol te zijn om een hele organisatie plat te leggen!
Binnen de praktijk moeten alle medewerkers, bijvoorbeeld door periodieke voorlichting, op de hoogte zijn van de geldende richtlijnen en gedragsregels rondom informatieveiligheid.
Daarnaast is het belangrijk dat binnen de praktijk:
- de relevante nieuwsberichten, campagnes en webinars van de ROHA worden gevolgd;
- de relevante informatie voor medewerkers intern in de praktijk wordt gedeeld;
- er gebruik wordt gemaakt van relevant campagnemateriaal vanuit de ROHA.
Personeelsgids
Om te beginnen is het van belang dat medewerkers op de hoogte zijn van de spelregels in het algemeen en over informatieveiligheid in het bijzonder, binnen de praktijk. Hiervoor kan je een personeelsgids of handboek (of een document van gelijke strekking) gebruiken. In dit document neem je ook het beleid, de procedures en instructies rondom informatieveiligheid binnen jouw praktijk op.
Zie voor voorbeeldteksten die je kan gebruiken in je eigen ‘personeelsgids’.
In- en uit-dienst
Veiligheid begint aan de poort. De zorg voor de juiste medewerker op de juiste plek en met de juiste instructies en werkafspraken is een goede start. Daarnaast is het belangrijk dat bij functiewijzigingen en bij het vertrek van een medewerker de juiste handelingen worden verricht. Denk bijvoorbeeld aan het intrekken/verwijderen van autorisaties. Om dit in goede banen te leiden kan je gebruik maken van de door de ROHA opgestelde in- en uit-dienst procedure en de bijbehorende checklist.
Autorisatiematrix
Het is belangrijk dat je als praktijk een duidelijk overzicht hebt van waar je medewerkers toegang tot hebben (programma’s, applicaties, providers, etc.) en op welke manier zij daar toegang tot hebben. Kortom: waar is welke medewerker voor geautoriseerd?
Gebruik hiervoor dit template autorisatiematrix.
Overeenkomsten
Belangrijk onderdeel van het contract met een interne of externe medewerker is de geheimhoudingsverklaring.
Deze voorbeeldtekst kan je gebruiken voor een geheimhoudingsverklaring bij interne medewerkers en deze bij externe medewerkers.
Als een telefoon en/of laptop van de praktijk in bruikleen wordt gegeven aan de medewerker, moet hiervoor een overeenkomst ondertekend worden.
Gebruik hiervoor deze modelovereenkomst.
Ook bij de uitgifte van fysieke toegangsmiddelen (badges, sleutels, kaarten) moet een overeenkomst ondertekend worden. Gebruik hiervoor deze modelovereenkomst.
De 10 geboden
Er zijn 10 duidelijke regels rondom informatieveiligheid die eigenlijk iedere praktijkmedewerker moet weten. We hebben ze voor het gemak ‘de 10 geboden’ genoemd.
Je kan deze opnemen in je eigen personeelsgids, ophangen in je praktijk en zorgen dat deze 10 regels bij alle medewerkers onder de aandacht komen.