Oktober is cybersecuritymaand. In die maand is er extra aandacht voor de oorzaken en gevolgen van inbreuk op digitale gegevens. Maar weet je dat er ook andere momenten zijn waarbij er inbreuk kan plaatsvinden op gegevens? Nico van Bergen Bravenboer, onze Coördinator Informatie beveiliging en kwaliteit, vertelt je meer over het veilig omgaan met papieren documenten waarin gegevens staan die beschermd moeten worden tegen ongeautoriseerde toegang.
Welke papieren documenten moeten beschermd worden?
Vanuit veel systemen is het mogelijk om informatie af te drukken, vaak hebben we niet in de gaten dat de printjes gegevens bevatten die beschermd moeten worden tegen ongeautoriseerde toegang. Daar waar we wel bewust zijn over de bescherming van informatie die in systemen zit, zoals een gezondheidsinformatiesysteem, door authenticatie en autorisatie van gebruikers zijn we ons minder bewust dat bij het printen van gegevens in een verslag, brief, receptenbriefje of document dezelfde autorisatie van toepassing is. Immers de informatie die is geprint is gelijk aan de informatie die in het systeem staat.
Maar ook het kladblokje dat gebruikt wordt om snel even wat aantekeningen te maken kan onder dezelfde autorisatie vallen als de informatie (persoons)gegevens bevat die beschermd moeten worden, denk hierbij aan het even snel opschrijven van naam en geboortedatum.
Hoe om te gaan met deze papieren documenten?
Het is belangrijk om te zorgen dat geprinte informatie op dezelfde manier wordt beschermd als digitale informatie. Vaak zijn het simpele stappen die gezet kunnen worden om de omgang met papieren documenten veilig te maken en te houden.
Stap 1:
Zorg dat er aparte prullenbakken of een papiercontainer is voor papieren documenten die niet meer nodig zijn waarop beschermde gegevens staan zoals persoonsgegevens. Deze documenten moeten daarna grondig vernietigd worden waardoor de informatie niet meer herkenbaar is.
Stap 2:
Maak binnen de organisatie afspraken over clean desk, zorg ervoor dat documenten niet rondslingeren en altijd veilig opgeborgen worden als de kamer of het bureau wordt verlaten. Veilig opbergen kan in een afgesloten kast of bureaulade.
Stap 3:
Probeer zo weinig mogelijk informatie te printen en dit alleen te doen als het noodzakelijk is, hiermee verklein je het risico op ongeautoriseerde toegang omdat er minder papier kan ‘rondslingeren’.
Stap 4:
Maak een classificatietabel voor soorten informatie en informatiedragers. Met deze tabel maak je duidelijk welke informatie welke classificatie krijgt en hoe je met deze informatie moet omgaan. Vaak wordt er een indeling gebruikt voor soort informatie in ‘openbaar’, ‘bedrijfsinformatie’ en ‘vertrouwelijk’. Vanuit de NEN7510 moet gezondheidsinformatie altijd het label vertrouwelijk krijgen. Informatiedragers wordt vaak verdeeld in ‘digitaal in systemen’ zoals gezondheidsinformatiesysteem, ‘portabel dragers’ zoals USB-stick, laptop, telefoon en ‘geprinte informatie’ zoals brieven, receptenbriefje, verslagen en kladblokjes.
Stap 5:
Label informatie zodat duidelijk is welke classificatie de informatie heeft. Kijk of het mogelijk is om de vastgestelde classificatie van informatie vast te leggen op de papieren documenten, door bijvoorbeeld een watermerk op te nemen in de afdruk van documenten.
Veilig omgaan met informatie
Veilig omgaan met informatie is het doel van normen zoals NEN7510 (informatiebeveiliging in de zorg) en NTA7516 (Medische informatica – Eisen voor veilige e-mail en chatapplicaties (uitwisseling van ad-hoc berichten met persoonlijke gezondheidsinformatie)), deze kunnen helpen bij het voldoen aan wetgeving zoals de AVG (Algemene Verordening Gegevensbescherming). De normen zijn er voor de zorgorganisatie om structuur te bieden aan het goed inrichten van informatiebeveiligingsbeleid en het daarbij behorende Information Security Management System (ISMS) die gebaseerd is op de Plan-Do-Check-Act (PDCA) cyclus. Door continue het systeem van informatiebeveiliging door te lichten zorg je ervoor dat de organisatie in control komt en blijft.
Daarnaast bestaan de normen uit maatregelen die toegepast kunnen en moeten worden om de informatie daadwerkelijk te beschermen tegen inbreuken op Beschikbaarheid, Integriteit en Vertrouwelijkheid. Heb je vragen over het onderwerp ‘Veilig omgaan met papieren documenten’ of wil je meer weten over het (blijvend) voldoen aan wet- en regelgeving zoals de AVG, NEN7510 en NTA7516? Neem dan contact op met de Servicedesk van GERRIT: 085-7604076 of per mail.