)

16 oktober 2017

Informatiebeveiliging: de gewoonste zaak van de wereld

Met trots kunnen we mededelen dat onze certificering hernieuwd is en we een scope wijziging hebben toegepast. Van oudsher is ENOVATION B.V. ISO 27001 (Information Security Management) en NEN 7510 (Informatiebeveiliging in de Zorg) gecertificeerd met betrekking tot haar hosting activiteiten. De hernieuwde certificering is geldig voor de gehele VANAD Enovation organisatie (VANAD Enovation is een handelsnaam van ENOVATION B.V.). Op dezelfde scope is ook de NEN 7510 en ISO 27799 behaald.

Voor Dré Lameir (VP Innovation & Development) en Bianca Brooijmans (Manager Servicemanagement), projectmanagers van de uitbreiding van de certificering, was geen uitdaging te groot.

Informatiebeveiliging zit in ons DNA
Dré: “Voor ons als organisatie is informatiebeveiliging de gewoonste zaak van de wereld. De certificeringen zijn voor ons belangrijk, omdat we klanten en de bescherming van privacygegevens hoog in het vaandel hebben staan. Niemand van VANAD Enovation zal zeggen: ‘Informatiebeveiliging: het moet van de ISO’. Nee, want het zit in ons DNA. Voorheen was onze scope alleen gericht op de hostingactiviteiten en het beheer van onze software. Het was een logisch vervolg om de scope uit te breiden naar onze hele organisatie.”

Bianca vult aan: “Het feit dat we gekozen hebben om de hele organisatie te certificeren, dus van afdeling Sales tot Support, betekent niet dat we een nieuwe werkwijze hanteren. We hebben onze huidige werkzaamheden vast gelegd in een ISMS (Information Security Management System) en laten toetsen door een deskundige partij.” 

Wat betekent deze certificering voor onze klanten?
De ISO norm is vrij toegankelijk en opvraagbaar en naar verwachting geldt dit ook voor de versie van de NEN 7510:2017. Daarmee ben je als organisaties transparant in datgene wat je doet. Het is een duidelijke en betrouwbare graadmeter in hoeverre je je informatiebeveiliging op orde hebt.  

“Daarnaast moet je ook niet de kracht van de keten onderschatten. Als inkoper of Security Officer van een instelling wil je in zekere mate assurance bieden aan je leidinggevende of omgeving. Het is goed als je kunt zeggen: ‘we doen zaken met een gecertificeerde partij’. Dat ontslaat je natuurlijk niet van de verantwoordelijkheid als Security Officer van een ziekenhuis om zelf na te blijven denken, maar het helpt je wel in je besluitvorming.” aldus Dré.

VANAD Enovation is al ruim 30 jaar een betrouwbare partij en dat wordt wederom bevestigd door een onafhankelijke partij. De processen en procedures zijn beoordeeld door de geaccrediteerde certificeringsinstantie DEKRA.

Het ideale ISO duo
Op de vraag “Wat maakt dit project tot een succes?” beginnen ze allebei te lachen. Bianca: “De samenwerking, we voelen elkaar goed aan. Soms voeren we, zonder dat van elkaar te weten, dezelfde acties uit. Dan komen we er bijvoorbeeld later achter dat we dezelfde risico’s hebben ingevoerd in het ISMS! En wat ik een goede combinatie vind is….” Dré begint te lachen en vult haar aan: “Ik denk dat we allebei weer hetzelfde willen zeggen; jij hebt meer kennis van de procedurele en juridische aspecten en ik zit veel meer op de technische kant. Dat is ook wel de mix die je binnen VANAD Enovation ziet. We hebben heel veel technische mensen, maar ook veel service en sales mensen aan de andere kant. Wat dat betreft zijn we een beetje een dwarsdoorsnede van het bedrijf.”                                               

Bianca: “Op deze manier in een duo werken, met allebei een andere blik op dezelfde materie, is erg goed. Een counterpart is ook belangrijk. De vergaande beslissingen die je neemt over bepaalde dingen moet je ook niet in je eentje willen nemen. Daarnaast heb je bijvoorbeeld te maken met interpretatie verschil. Als we allebei iets uitwerkten of naar een artikel of norm keken, konden we dat allebei op een andere manier interpreteren. Door over bepaalde zaken te sparren kom je tot een beter resultaat. In je eentje is dit project ook niet vol te houden, dan wordt het een eenzaam traject. Bij een onderwerp als dit moet je af en toe ook even relativeren, opmerkingen maken of elkaar even op z’n plek zetten. Daarna met z’n tweeën erom lachen en weer doorgaan.”

How to ISO?  
Het management besluit dat ze de werkwijze willen laten toetsen en laten vastleggen middels een certificaat. Vervolgens ga je brainstormen, volgens Dré met veel avondjes sushi. Na het brainstormen kom je tot een scope en ga je risico’s in kaart brengen. Daarna ga je alles verder uitwerken en vastleggen in een ISMS. Bianca: “We hebben vroeg in het traject het besluit genomen om alles paperless te doen. Datgeen wat traditioneel in Word documenten of in mappen zit te elimineren en in ons geval alles om te zetten in Confluence en Jira. Door het te digitaliseren houden we het controleerbaar. We hebben hiermee gekozen voor een manier die past binnen onze organisatie. Voor ons zorgde dit ervoor dat de map niet in de kast verdween en we kort voor de audits dachten: 'Oh ja… daar moeten we nog iets mee…’

Awareness Sessies
Ook is de ‘awareness’ een belangrijk onderdeel van informatiebeveiliging. Het is belangrijk om medestanders te hebben en draagvlak te creëren. Hou het levend in je organisatie en breng de informatie met een knipoog. “Om meer awareness te creëren hebben we ‘Awareness sessies’ georganiseerd en is een e-learning opgezet voor alle medewerkers. Niet alleen om de medewerkers meer kennis mee te geven maar ook voor extra bewustwording. Probeer de stof luchtig te houden en medewerkers te betrekken bij het proces door ze bijvoorbeeld uit te nodigen voor informatiesessies en meewerkavonden, inclusief avondeten. Dit zorgt niet alleen voor productiviteit maar ook voor gezelligheid en daarmee betrokkenheid.” zegt Bianca.  

Het besluit om je informatiebeveiligingsbeleid te laten toetsen, brengt natuurlijk wel extra werk met zich mee. Dre: “Informatiebeveiliging is onderdeel van onze huidige werkzaamheden. Dit hebben we in onze communicatie extra benadrukt. Door dit uitgangspunt merkte we dat we al veel weerstand wegnamen en daardoor veel mensen bereid waren om een extra stapje bij te zetten om te helpen bij de certificering.

Do’s en don’ts
Eén van de tips die Dré en Bianca nog meer geven is: ‘Houd het bij de werkelijkheid en houd het zuiver’. Wat doe je al aan informatiebeveiliging en in hoeverre ben je bewust van de risico’s die je loopt? Maak dat inzichtelijk en vermeng het vooral niet met: ‘Hoe ga ik het hele bedrijf verbeteren?’ Stel niet in het kielzog hele projecten op die je er nog even bij moet managen.

 “We kwamen regelmatig algemene verbeterpunten tegen in de organisatie. Hierdoor kwamen we in de verleiding om dat ook gelijk aan te pakken. Voordat je het weet heb je projecten naar je toe getrokken die niks met de verbetercyclus van informatiebeveiliging te maken hebben.” vertelt Bianca

“Als je alles tegelijkertijd oppakt, verdrink je in het werk. Hou deze verbeterpunten in je achterhoofd voor in de toekomst, maar blijf tijdens dit traject bij je scope. Verbeteren is immers een continue proces.”

En dan is het zover…  
“Al snel zijn we overgegaan tot een GAP-audit. Deze maakt inzichtelijk hoe ver we afstaan van de daadwerkelijke certificering. Deze puntjes hebben we weggewerkt en de daadwerkelijke audit aangevraagd.” vertelt Dré

Tijdens fase 1 van de audit worden de ‘zogenaamde gedocumenteerde informatie’ (zoals het gek genoeg wordt genoemd in de standaard) geauditeerd. Denk hierbij aan je scope, beleid, risico-inventarisatie, PCDA-cyclus, enzovoorts. Dré: “We kregen een overtuigende ‘GO’ voor fase 2 van de audit. Na een mooie afronding met complimenten voor de manier waarop we ons ISMS hadden opgezet, hebben we heel de dag met kippenvel op onze armen gelopen.”

“Na het behalen van fase 2 konden we niet stoppen met glimlachen. Al met al is zo’n traject erg spannend. Je kan wel denken dat je alles op orde hebt, maar het is fijn om dat ook bevestigd te krijgen. Het resultaat voelt dan ook echt als een beloning voor al onze inspanning.” vervolgt Dré.

Vol vertrouwen
Nu dit traject achter de rug is, gaat VANAD Enovation vol vertrouwen op naar de volgende mijlpaal: 25 mei 2018. We zitten midden in een veranderende wetgeving. Het nieuws staat bol van het feit dat op 25 mei 2018 op de Algemene Verordening Gegevensbescherming (AVG) wordt gehandhaafd. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) vervalt daar op dat moment mee. Inmiddels zijn Dré en Bianca druk bezig om aantoonbaar te maken voor klanten dat VANAD Enovation ook compliant is aan deze wet middels Compliancy dagen.

Waarom Compliancy dagen?
25 mei 2018… Als zorgverlener ben je verantwoordelijk en verantwoordelijke onder de AVG voor je patiëntdata. In het huidige ICT landschap is heel aannemelijk dat je digitaal gegevens uitwisselt met je collega’s, teneinde de patiënt de best mogelijke zorg te verlenen. Maar hoe hou je grip op met wie je zaken doet en of zij je privacy gevoelige data net zo behoorlijk behandelen als jezelf? Enerzijds spreek je natuurlijk bewerkersovereenkomsten af met deze partijen en anderzijds kijk je naar toepasselijke certificaten.  Uiteindelijk ben je vervolgens zelf verantwoordelijk om dit ook regelmatig te toetsen.

VANAD Enovation werkt vanzelfsprekend mee aan de bewerkersovereenkomst en zal zich compliant stellen aan de eisen uit de AVG. Als IT leverancier in de zorg stellen wij veiligheid en transparantie voorop. Dat doen wij door het behalen van de toepasselijke certificaten zoals de NEN 7510, maar we werken ook hard aan zogenaamde Compliancy dagen. Hiermee willen we klanten op een laagdrempelige en eenduidige manier in staat stellen om hun leverancier in de keten te toetsen.

We houden je op de hoogte!