Zorgorganisaties hebben weinig tijd op de werkvloer en veel gevoelige data in het EPD. Een phishing-simulatie die werkt op kantoor, faalt op de verpleegafdeling. Het programma moet kort zijn, herkenbaar voor de zorgcontext en aantoonbaar conform NEN 7510.
NEN 7510 en awareness
NEN 7510-2:2017 vereist in hoofdstuk 7 dat medewerkers training krijgen over informatiebeveiliging passend bij hun functie. Een jaarlijkse e-learning is het minimum. Een phishing-simulatie elke vier maanden bewijst aan auditoren dat awareness geen papieren control is. Bewaar uitkomsten gepseudonimiseerd voor de NEN-audit.
Scenario's die wel landen
Een nepmail van Vecozo over een vernieuwd certificaat haalt hogere klikrates dan een algemene Microsoft-resetmail. Andere bruikbare scenario's: nepfactuur van een medische leverancier, mail van HR over roosterwijziging, nepbericht over de nieuwe parkeerregeling. Vermijd mails die patientveiligheid raken: dat schaadt vertrouwen in IT.
Korte modules op de werkvloer
Trainingsmodules van vijf minuten, beschikbaar op de mobiele telefoon, halen meer voltooiingen dan een uur klassikaal. Een verpleegkundige op nachtdienst zit niet zes maanden te wachten op de awareness-week. Korte interventie direct na een klik werkt het best: een uitlegscherm, geen verwijt.
EPD-impact bij compromise
Een gephishte zorgmedewerker met EPD-rechten geeft een aanvaller toegang tot duizenden dossiers. Dat is een datalek met hoog risico, vrijwel altijd te melden aan AP en aan betrokkenen. De simulatie maakt deze redenering concreet: een klik op uw mail kost ons een melding aan duizend patienten.
Bestuur en medisch staf
De raad van bestuur en medisch specialisten zijn doelwit van CEO-fraude en gerichte aanvallen. Voor deze groep werkt een aparte sessie van 30 minuten met live-voorbeelden van aanvallen op andere zorginstellingen. De FG van de organisatie sluit aan en bespreekt de meldplicht.
Verwant: Freelance zorg consultant, Freelance Cybersecurity consultant inhuren.