De uitdaging: informatiebeveiliging naar een hoger niveau brengen
Wij hebben de eerste digitale stap al vroeg gezet. We zijn In 2015 namelijk al overgestapt naar de cloud en behoorden daarmee tot de eerste zorgorganisaties die volledig ver-SaaSd waren en met Microsoft 365 werkten.
Hoewel onze eigen IT-afdeling, bestaande uit vier medewerkers, onmisbaar is voor specifieke expertise, werkzaamheden op de diverse locaties en het treffen van de nodige beveiligingsmaatregelen, ontbrak het ons aan diepgaande kennis op het gebied van informatiebeveiliging. Terwijl het zorgvuldig omgaan met de gevoelige gegevens van onze patiënten voor ons een fundamentele verantwoordelijkheid is.
Daarnaast merkten we dat de duimschroeven vanuit wet- en regelgeving steeds strakker werden aangedraaid, en dat ook het bestuur en de toezichthouders meer grip op compliance wilden. Het was duidelijk dat informatiebeveiliging naar hetzelfde volwassenheidsniveau moest groeien als onze digitale werkomgeving.
De gewenste oplossing: zelf de regie nemen
We besloten zelf de regie te nemen, terwijl we ons eerder vooral richtten op het voldoen aan de eisen van de accountant. Omdat we wisten dat we specifieke kennis nodig hadden, wees een van onze partners ons op Legian voor de externe inhuur van een CISO. Met de komst van NIS2 werd al snel duidelijk dat het niet bij deze eerste stappen kon blijven. Het was nodig om dieper op de materie in te gaan, wat een flinke uitdaging bleek.
We zijn geen kleine, maar ook geen grote speler. Daarom werk ik het liefst met partners van vergelijkbare omvang: daadkrachtig en zonder onnodige lagen. Omdat we veel zelf oppakken, hadden we dan ook behoefte aan proactieve consultants met een hands-on mentaliteit.
Samenwerken draait om vertrouwen. Wij werken vanuit een regiemodel met partners: aanbesteden of kiezen voor de laagste prijs past niet bij ons. Ik geloof in partnerschap, niet in uitknijpen. Zelf een CISO aannemen was een optie, maar de kans om iemand van Legian’s kaliber aan te trekken is klein. Bovendien heeft Legian altijd gelijkwaardige vervangers beschikbaar als een consultant niet beschikbaar is. Wat ook fijn is, is dat ik bij contact met mensen spreek en niet met afdelingen. Alle betrokkenen tonen eigenaarschap.
Het resultaat: van project naar automatisme
Sinds we Legian inschakelen, merken we dat er mensen zijn bijgekomen die ondernemend, prettig in de omgang, bevlogen en inhoudelijk sterk zijn. Omdat ze bij het matchen niet alleen op expertise letten, maar ook op klanttype en cultuur, ontstaat er altijd een goede match.
We begonnen op het gebied van wet- en regelgeving met een gap-analyse, waarna we een gebudgetteerd projectvoorstel en roadmap opstelden met de vraag: “Hoe worden we NIS2-compliant?” Daarbij werd proactief geadviseerd om te streven naar NEN7510-certificering, een framework voor het borgen van informatiebeveiligingsbeleid. De gap bleek groter dan verwacht, waardoor een stevig programma noodzakelijk was. Inmiddels maken we een flinke inhaalslag.
Waar patiëntendossiers vroeger in kluizen lagen, lijkt digitalisering alles makkelijker te maken. In de praktijk blijkt dat anders: door dat gemak is het besef van risico’s juist afgenomen. Hoewel de certificering uiteindelijk de kers op de taart is, is het nog belangrijker dat informatiebeveiliging nu volledig in onze processen is verankerd en een automatisme is geworden. Een mooie prestatie!
''Dankzij het advies van Legian is informatiebeveiliging nu in onze processen verankerd en een automatisme geworden.''
Philip Blumendal, manager Vastgoed, ICT en Facilitair bij Lievegoed
Tip(s) voor anderen: draagvlak creëren, investeren, profiteren
Zorg voor draagvlak in de hele organisatie, van raad van bestuur tot ondersteunend personeel, want je bent eindverantwoordelijk voor je data en dat mag je niet onderschatten. Informatiebeveiliging gaat veel verder dan de vraag: “Staat mijn server veilig?” Als je het goed hebt geregeld, zijn je procedures voor incident response en business continuity duidelijk en direct toepasbaar in geval van een incident. Dit is geen traject van een paar weken, maar een continu proces. In het begin kost het energie, maar later levert het veel op. Denk bovendien goed na over de organisatorische inrichting en zet je middelen slim in.
