Ambitie
Ambitie is een mooi woord, want het behelst zowel het positieve aspect van creatie als het negatieve aspect van eerzucht. Iets nieuws creëren wat van toegevoegde waarde is roept weerstand op bij wat al bestaat. Maar zonder ambitie geen evolutie; weerstand doet groeien!
Overal om je heen zie je automatisch zaken die verbeterd kunnen worden. Daarnaast is het een essentieel onderdeel van de ontwikkeling van de mens. Wanneer de omstandigheden vruchtbaar zijn kunnen er mooie creaties ontstaan. HealthConnected is zo'n creatie.
Op eigen kracht
In 2016 zijn wij, vooral uit noodzaak, het initiatief gestart om zelf software te gaan ontwikkelen voor de POH-GGZ, GB-GGZ en Ketenzorg. Deze noodzaak was voornamelijk een functionele noodzaak; de bestaande softwarepakketten op de markt boden niet de functionaliteit, flexibiliteit en het gebruiksgemak waar behoefte aan was. Veel gesprekken met bestaande leveranciers om te voldoen aan de vraag leidden niet tot het gewenste resultaat. Zelf ontwikkelen was eigenlijk nog de enige optie.
Het is een aanzienlijk grote stap om vanuit een zorginstantie een softwarebedrijf te starten in een markt die op het eerste gezicht verzadigd lijkt. De invoering van de AVG (Algemene Verordening Gegevensbescherming) op 27 april 2016 en het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ op 10 november 2017 maakten dit niet makkelijker. In deze verordeningen staat omschreven dat de normen NEN 7510, 7512 en 7513 verplicht werden voor zorgaanbieders en hun verwerkers. Complexe materie aangaande informatiebeveiliging waar we rekening mee dienden te houden.
Of was dat juist een voordeel?
Parallelle ontwikkeling
Op 18 januari 2017 zag de eerste versie van het projectplan het licht: ‘Ontwikkeling software HealthConnected’. Daarna werd het pre-audit rapport voor de NEN 7510 en ISO 27001 certificering door BSI &nearr opgeleverd. Een pre-audit laten uitvoeren was een goede zet. Het laat niet alleen zien waar je op dat moment staat ten opzichte van de verplichte wet- en regelgeving, maar ook welke weg je nog hebt te bewandelen om tot een goed managementsysteem voor informatiebeveiliging te komen. Nog een voordeel van het uitvoeren van een pre-audit is dat je de mogelijkheid hebt om met de auditor van gedachten te wisselen en vragen te stellen over de inrichting van een goed managementsysteem voor informatiebeveiliging, het zogeheten ISMS.
Het ISMS
Direct na de pre-audit is gestart met het maken van het informatiebeveiligingsbeleid waarvan de eerste versie op 15 april 2019 het licht zag. Dit beleid is het hoofddocument bij het opzetten van een ISMS binnen een bedrijf: het is ‘de kapstok’. Hierin wordt de structuur neergelegd: het doel, de reikwijdte, het proces, de rollen, de verantwoordelijkheden, de overlegstructuur en uiteraard de naleving en rapportage. Hieronder vallen weer beleidsstukken zoals: het risicoanalyseproces, het ontwikkelproces, wijzigingsbeheer, toegangsbeheer, incidentbeheer, het P&O proces en het continuïteitsplan.
Het traject van het opzetten van een ISMS is een boeiend traject, helemaal als het parallel opgezet kan worden aan het opzetten van een nieuwe organisatie. Het ISMS is een structuur om informatiebeveiliging, met al haar aspecten, beheersbaar te maken in een organisatie. De beheersmaatregelen van de NEN 7510-2 worden regelmatig gezien als een afvinklijst om een certificaat te behalen, ook wel ‘compliance by checklist’ genoemd. Wanneer je als bedrijf met deze methode een ISMS opzet ontstaat het risico dat een bedrijf op termijn geen groeipotentie heeft. Het hanteren van een dergelijke afvinklijst is een momentopname. In een continu veranderend landschap moet een organisatie kunnen anticiperen op allerlei risico's. Hier wordt ook op ge-audit! Als een auditor zijn werk namelijk goed doet wordt er niet alleen getoetst op de PDCA-cyclus van het ISMS en de proceseigenaar (vaak de CISO), maar ook of het ISMS in de structuur van het bedrijf is opgenomen.
Alle medewerkers (moeten) zijn betrokken
Weten alle medewerkers van het bestaan van het informatiebeveiligingsbeleid? Kennen alle medewerkers de spelregels voor het melden van IB-incidenten? Zijn alle medewerkers zich voldoende bewust van de risico's die zijn of haar werkzaamheden met zich meebrengen en de daaruit voortvloeiende verantwoordelijkheden?
Informatiebeveiliging is geen ‘one-man show’ en ook geen ‘ICT-aangelegenheid’. Het ISMS is goed geïmplementeerd wanneer het een vanzelfsprekend onderdeel is van de gehele organisatiestructuur. Als dit niet het geval is dan wordt het erg lastig om als bedrijf verder te groeien in de hedendaagse cultuur van wet- en regelgeving rondom informatiebeveiliging en privacy.
Termen als ‘security by design’ en ‘privacy by design’ kunnen alleen ten uitvoer gebracht worden als bij alle medewerkers hierover een basiskennis aanwezig is. Security by design en privacy by design zijn niet alleen van toepassing op de technische kant maar ook op de beleidskant van een bedrijf. Denk bijvoorbeeld aan het screenen van personeel, wat inhoudt dat de afdeling P&O ook onderdeel is van het ISMS, of het verwijderen van gegevens wanneer het geen doel meer heeft (AVG). Het ISMS (en het PIMS – Privacy Information Management System – voor privacy) behelst daarmee de hele organisatie.
Bewustzijn
De eerste stappen van HealthConnected na de succesvolle audit en certificering van de NEN 7510 en ISO 27001 op 10 juli 2019 waren niet gemakkelijk. Het ISMS diende nu bij alle medewerkers onder de aandacht gebracht te worden; er werden regels opgelegd. Hoe krijg je als CISO alle medewerkers van 130km/u terug naar 100km/u zonder dat het klachten oplevert? Het traject van een 'moetje' naar het begrijpen waarom het in het belang is van het bedrijf om een goed geïmplementeerd ISMS te hebben is een nog grotere uitdaging dan het opzetten van het ISMS zelf. Dit bewustwordingsproces is met recht een psychologisch proces te noemen waar het kunnen laveren op een politieke manier met daarbij een grote dosis engelengeduld geen overbodige luxe is.
Rust, ritme, regelmaat
Als CISO moet je het leuk vinden en er energie uit kunnen halen om mensen iets bij te brengen. Een onmisbare vaardigheid: het in alle rust keer op keer kunnen uitleggen waarom het in het belang is van het bedrijf om je te houden aan processen die in eerste instantie als een snelheidsbeperking worden gezien. Maar na verloop van tijd wordt het omarmd omdat zichtbaar wordt dat het structuur aanbrengt in de organisatie en je heelhuids thuiskomt.
Zoals eerder aangegeven: weerstand doet groeien! Structuur brengt rust met zich mee, het scheelt kostbare tijd (vooraf is efficiënter dan achteraf), de kwaliteit van de applicatie wordt er beter door (bijvoorbeeld door het gebruik van unit testen en peer reviews) en het helpt klanten te voldoen aan verplichte wet- en regelgeving.
Ook blijkt dat structuur helemaal niet in de weg hoeft te staan van creativiteit. Sterker nog: omdat er een proces is kun je niets vergeten waardoor de focus kan liggen op de inhoud van het werk. Dit proces van bewustwording duurt jaren, maar als CISO kun je dit proces versnellen én interessanter maken. Er zijn verschillende methodes op de markt die informatiebeveiliging en privacy op een leuke manier in quizzen, games en kennistesten onder de aandacht brengen; er zijn online of fysieke bijeenkomsten op gebied van cybersecurity; er zijn phishing simulaties te organiseren en het geven van inzicht in de resultaten van PEN-testen met daarbij een uitleg om herhaling te voorkomen.
Leiderschap
Een essentieel onderdeel van een juiste implementatie van het ISMS binnen een organisatie is de toewijding van het management (directie en/of bestuur). Het management zet de koers uit van een organisatie en bepaalt daarmee de strategie. De enorme focus die ligt op informatiebeveiliging en privacy vanuit de overheid, voornamelijk binnen de zorgsector, creëert een spanningsveld tussen de overheid en softwareleveranciers. Door deze verlegde focus en de toenemende digitalisering is het bijna onmogelijk geworden voor het management om niet nauw betrokken te zijn bij informatiebeveiliging en privacy. De druk op het management om een voorbeeldfunctie te vervullen zodat het belang van informatiebeveiliging en privacy wordt uitgedragen, zowel intern als extern, wordt steeds groter.
Het zit in ons DNA
Vanaf de oprichting van HealthConnected is het inrichten en opzetten van het ISMS opgenomen in de bedrijfscultuur. Het is daarmee een enorm voordeel gebleken bij het starten van een nieuw bedrijf in de zorgsector. Naast het hebben van een goed geïmplementeerd ISMS betrekken wij ook onze klanten bij informatiebeveiliging en privacy. Sinds de komst van de AVG is verantwoordelijkheid namelijk niet meer een zwart/wit situatie. De verwerkingsverantwoordelijke (de klant) en de verwerker (softwareleverancier) zijn gezamenlijk verantwoordelijk voor een correcte uitvoering van de AVG. Hiervoor wordt gezamenlijk een verwerkingsovereenkomst opgesteld die onderdeel is van de contractuele overeenkomst.
De afgelopen jaren is gebleken dat de ambitie om het goed te doen niet alleen ligt op het gebied van functionaliteit, flexibiliteit en gebruiksgemak, maar ook op het gebied van informatiebeveiliging en privacy. Het zijn niet alleen onze klanten die wij hiermee een dienst bewijzen maar ook de klanten van onze klanten; de burgers die patiënt zijn en rechten hebben onder de AVG. Zo dragen wij ons steentje bij aan een veiligere samenleving.
