Voldoen aan wet- en regelgeving
Noodzakelijke verplichting of USP?
In het vorige artikel kwam naar voren dat het voldoen aan wet- en regelgeving, naast een noodzakelijk verplichting, ook een kans kan zijn; een kans om het beter te doen en tevens te gebruiken als 'unique selling point'. Aan bod kwam het inrichten van het ISMS in een startende organisatie waarbij de focus primair ligt op productontwikkeling. Daarbij werd uitgelicht welke stappen ondernomen zijn om juist in die opstartfase te zorgen dat 'security by design' en 'privacy by design' een logisch gegeven is en hoe je ervoor zorgt dat het ISMS flexibel is opgezet.
Op het moment van schrijven heeft HealthConnected haar hercertificering van de NEN 7510 en ISO 27001 behaald en daarnaast ook de ISAE3402 type II-verklaring. Op de planning staat de ISO 27701 (privacy) en zijn we gestart met een onderzoek om te voldoen aan de MDR.
Dit soort trajecten kunnen zorgen voor een hoge druk op de organisatie wanneer het ISMS niet flexibel genoeg is.
Continue verandering
Een goed ISMS is vloeibaar.
Het ISMS moet in staat zijn om de continue verandering in de omgeving makkelijk op te vangen en te faciliteren zonder al te veel tijd in beslag te nemen. Tegelijkertijd moet het strikt genoeg zijn om aan de normen te kunnen blijven voldoen. Dit is een zéér uitdagende balans. Die veranderende omgeving bestaat uit de interne (groeiende) organisatie, de klant, partners, leveranciers en de overheid. Als de interne organisatie groeit krijg je te maken met nieuwe persoonlijkheden, nieuwe inzichten en ook daardoor vanzelfsprekend ook met nieuwe meningen.
Het ISMS dient flexibel genoeg te zijn zodat al deze variabelen niet leiden tot nieuwe risico's, zoals medewerkers die hun 'eigen ding' gaan doen. Een groeiende organisatie krijgt ook nieuwe klanten die nieuwe wensen hebben en eisen stellen die ook effect hebben op het ISMS. Klanten moeten namelijk zelf ook aan allerlei wettelijke eisen voldoen. Vooral in de zorg zijn deze wettelijke eisen erg complex (of erg onduidelijk en soms zelfs dubbelzinnig). De partners en leveranciers hebben invloed op het ISMS omdat er gegevens worden uitgewisseld. Ook zij moeten voldoen aan dezelfde normen die wellicht weer net anders geïnterpreteerd worden. En tot slot de overheid, die niet alleen bestaat uit de Nederlandse overheid maar ook de Europese overheid. Hierbij gaat het voornamelijk om de Wegiz, de daaruit voortvloeiende verplichtingen en de EHDS.
Gelaagdheid in het ISMS
Onze piramidestructuur
Bij HealthConnected hebben we daarom een piramidestructuur ingericht:
- het basisbeleid schept de kaders en is daardoor erg strikt;
- daaronder de beleidsdocumenten die minder strikt zijn ingericht;
- tot slot daaronder werkinstructies die erg aan verandering onderhevig zijn.
Deze structuur is vervolgens weer afgestemd op de organisatiestructuur van het HealthConnected zodat privacy- en informatiebeveiliging op elke laag binnen het bedrijf een plek krijgt.
Laag 1: Het basisbeleid
Het basisbeleid kan bestaan uit het privacy- en informatiebeveiligingsbeleid, een handboek privacy- en informatiebeveiliging en de risicoanalyse. Dit schept de kaders voor het hele bedrijf, is nauwelijks aan verandering onderhevig en dit beleid bevindt zich op de laag van de directie en de CISO.
Laag 2: De beleidsdocumenten
Het onderliggend beleid kan bijvoorbeeld bestaan uit wijzigingsbeheer, beheerbeleid, toegangsbeheer, continuïteit, support en ontwikkelbeleid. HealthConnected heeft dit beleid, na het opzetten ervan, zo snel mogelijk belegt bij gedelegeerde verantwoordelijken binnen de organisatie zodat zij 'feeling' krijgen met en bewuster worden van privacy- en informatiebeveiliging binnen hun werkgebied. Dit helpt de CISO om de soms moeilijke materie en noodzakelijke wijzigingen eerder geaccepteerd te krijgen.
Deze beleidsdocumenten zijn vaker aan verandering onderhevig dan het basisbeleid en bevindt zich op de laag van het management/ teamleiders. Veranderingen aan dit beleid kunnen zelfstandig worden doorgevoerd, eventueel in overleg met de CISO. Als CISO dien je dan deze verantwoordelijken te betrekken bij de audits en je laat hen de auditor te woord staan. Zij moeten namelijk in staat zijn hun eigen beleid te verdedigen en te horen wat de auditor erover te zeggen heeft. Zij moeten ook op de blaren kunnen zitten als het niet adequaat genoeg is. Op deze manier wordt privacy- en informatiebeveiliging pas écht een onderdeel van de bedrijfsvoering wat uiteindelijk ten goede komt van de patiënt.
Laag 3: De werkinstructies
Dan hebben we de werkinstructies. Dit zijn eigenlijk niet echt beleidsdocumenten maar zijn wel cruciaal om risico's te verlagen. Hierin staan werkafspraken, omschrijvingen en handelingen die medewerkers met elkaar afspreken en ook zo uitvoeren. De werkinstructies zijn regelmatig aan verandering onderhevig en bevinden zich op de laag van alle medewerkers. Het onderhouden van de werkinstructies dient dan ook door die medewerkers te gebeuren die de werkinstructies zelf uitvoeren.
De laag van de CISO
Tot slot; zorg er als CISO voor dat je in de gaten houdt wanneer beleid voor het laatst is gewijzigd. Als dit te lang geleden is dan vraag je aan de verantwoordelijke om een naar het beleid te kijken met de vraag of dit nog wel up-to-date is. Dit kan een jaar zijn, of soms ook minder, afhankelijk van de context van het document.
Risico’s intern en extern
De zwakste schakel
Waar gehakt wordt vallen spaanders. Dat is niet anders bij HealthConnected, een ICT-bedrijf in de eerstelijnszorgsector. Daarmee hebben we eigenlijk ook gelijk geconstateerd dat de zwakste schakel op het gebied van privacy- en informatiebeveiliging de mens zelf is. Dat is niet erg zolang iedereen zich hiervan bewust is. Je kunt het best leren door vallen en opstaan, dus door het maken van blunders en fouten. Een voorwaarde daarvoor is dat de omgeving waarin die blunders worden gemaakt een veilige omgeving is; dat je die fouten mag maken mits je er ook van leert. Leren kan pas wanneer je beseft wat de risico's zijn als gevolg van je eigen handelen.
De risicoanalyse
Om meer context en begrip in de organisatie te krijgen over de risico's die gepaard gaan met de bedrijfsvoering is het voor de CISO noodzakelijk om de hierboven genoemde verantwoordelijken te betrekken bij de risicoanalyse. Zij zijn bij uitstek in staat om de risico's te identificeren binnen hun werkgebied mits er door de CISO de juiste vragen worden gesteld. Het is dus belangrijk om als CISO te beseffen dat je die kennis moet halen door het stellen van kritische vragen en dat je niet alles kunt weten. En op hun beurt kunnen de verantwoordelijken zich pas écht verantwoordelijk voelen wanneer zij ook de gevolgen snappen van de risico's in de bedrijfsvoering.
Als je het op deze manier doet profiteer je er als CISO van dat risico's in kaart worden gebracht die anders verborgen zouden blijven. Het is een win-winsituatie die alleen maar ten goede komt van de bedrijfsvoering. Daarnaast kan dit proces ook een heel erg interessant en dynamisch proces zijn: je spart, filosofeert en zoekt gezamenlijk naar oplossingen. Hoe groter het bedrijf, hoe belangrijker dit wordt. Want als CISO heb je hiermee stakeholders in het bedrijf die er vanzelf voor zorgen dat nieuwe medewerkers zich aan het vastgestelde beleid houden.
Extracurriculaire vaardigheden
Coaching en engelengeduld
De hierboven omschreven open structuur is onvermijdelijk maar wel moeilijk in te richten in een organisatie. Als CISO dien je namelijk idealiter te beschikken over eigenschappen die niet vanzelfsprekend zijn voor de functie. Het gaat hierom coachingsvaardigheden en engelengeduld.
“Het waarom"
Het is menselijk om moeilijke onderwerpen uit de weg te gaan. Dit is echter soms niet mogelijk, zeker niet op het gebied van privacy- en informatiebeveiliging. De enige oplossing die je kunt bieden als CISO is dat je duidelijk "het waarom" overbrengt. Wat is de reden van het beleid? Wat is de reden waarom iets op een bepaalde manier moet?
Het is voor een mens veel acceptabeler om iets te moeten doen wanneer zij weet waarom ze dat moet doen. Kortom, een groot gedeelte van het werk van een CISO is uitleggen, begrip kweken en bewustzijn creëren. Dit kan met een spelelement zoals hierboven al aangegeven. De beste methode is echter de medewerkers leren zelf te doen. Vaak komt er ook een stuk angst bij kijken; angst om het fout te doen. Of de opmerking 'ik snap het niet, dus kan ik het vast niet'. Niets is echter minder waar. Het hang van de manier af hoe je de vaak stugge en saaie informatie 'verkoopt' aan de medewerkers. En dat is wat je te doen staat als CISO om ervoor te zorgen dat het beleid ook gedragen gaat worden in de organisatie.
Het kan dus geen kwaad om als CISO een cursus coaching te volgen of op zijn minst een boek erover te lezen. Wat de CISO ook beter niet kan doen is kennis voor zichzelf houden. Daar is het bedrijf niet bij gebaat. Vertel zoveel mogelijk en leg zoveel mogelijk uit. Haal voorbeelden uit het nieuws erbij die relevant zijn binnen de bedrijfsvoering. Moedig medewerkers aan om het anders te doen dan 'wat iedereen doet omdat het makkelijk is'. Ga regelmatig het gesprek aan of stel een vraag over incidenten uit het nieuws en vraag wat medewerkers daarvan vinden. Er is genoeg te doen om het interessant en interactief te maken.
Bij de tijd
Als CISO moet je up-to-date blijven
Om dit allemaal te kunnen doen zul je als CISO wel op de hoogte moeten blijven. In Nederland is er gelukkig een overschot aan informatiebronnen, om een paar te noemen; het Nationaal Cyber Security Center (NCSC) &nearr, security.nl &nearr, de Autoriteit Persoonsgegevens (AP) &nearr, Stichting Koninklijk Nederlands Normalisatie Instituut (NEN) &nearr, Platform Informatiebeveiliging (PvIB) &nearr, Awaretrain &nearr, ICT Recht &nearr, Nederlands Genootschap Functionaris Gegevensbescherming (NGFG) &nearr, Alert Online &nearr.
Als CISO is het daarnaast belangrijk dat je betrokken blijft bij ontwikkelingen in de branche waar je werkzaam bent. Het is daarom aan te bevelen aan te sluiten bij brancheorganisaties en te participeren aan seminars en meetings binnen de branche en de overheid. Het is ook mogelijk om deel te nemen aan de werkgroepen van de NEN om mee te denken, belangen te verdedigen, anderen te ontmoeten/netwerken en toekomstige ontwikkelingen in de gaten te houden.
Op deze manier blijf je up-to-date en ben je in staat om vroegtijdig de noodzakelijke wijzigingen door te voeren en die ook te laten landen in de organisatie. Want ook de verantwoordelijken in de organisatie dienen op tijd betrokken te worden zodat ook zij op hun beurt een gedegen (jaarlijkse) risicoanalyse kunnen blijven uitvoeren.
