Interview ActiZ: Informatiebeveiliging binnen de VVT
ActiZ is de branchevereniging van circa 400 zorgorganisaties, die met bijna 500 duizend medewerkers ruim 2 miljoen kwetsbare ouderen en chronisch zieken verzorgen en verplegen. ActiZ werkt met ondersteuning van WeDoTrust aan het traject ‘Routekaart implementatie informatiebeveiliging’ dat zich richt op het vergroten van kennis en ondersteunen van aangesloten zorgorganisaties omtrent de NEN 7510 norm in relatie tot informatieveiligheid en bestaande privacywetgeving. WeDoTrust gaat hierover in gesprek met Sjoerd Becx, Adviseur Digitale Transformatie binnen ActiZ en trekker van dit traject.
Welke rol ziet ActiZ voor zichzelf met betrekking tot informatieveiligheid?
Toekomstbestendige zorg is hybride zorg. Actiz heeft de digitale transformatie van de zorg dan ook hoog in het vaandel staan. Een van de pilaren daarvan is digitale veiligheid.
ActiZ, als brancheorganisatie, ondersteunt en stimuleert leden hierbij. Circa 3 jaar geleden startte ActiZ de routekaart informatieveiligheid om zorginstellingen/ leden te helpen bij de implementatie van informatieveiligheid op basis van NEN7510. Als Adviseur Digitale Transformatie binnen ActiZ heb ik vanuit het team Digitaal Denken & Doen hier afgelopen jaren invulling aan gegeven. Wij hebben hiervoor een werkgroep met diverse leden ingericht en Reinder Attema en Hans Donkers van WeDoTrust hebben ons hierbij afgelopen jaren begeleid.
”We zitten als VVT sector in een digitale transformatie, informatieveiligheid speelt daarin een belangrijk rol.
Hoe kijk je terug op de afgelopen 3 jaar routekaart?
De routekaart is absoluut effectief geweest in het bereiken van een groot deel van onze leden. Bewustzijn is verhoogd, de meeste leden kennen de Routekaart en weten de hulpmiddelen te vinden. Wij zijn nog niet zover dat alle leden kunnen aantonen dat ze aan de NEN7510 vereisten voldoen, maar dat is een handschoen die de instellingen zelf moeten oppakken. ActiZ faciliteert hierin maar leden blijven zelf verantwoordelijk voor het toepassen van deze hulpmiddelen. Uiteindelijk dienen de leden zelf te voldoen aan NEN7510, NIS2, AVG en overige wet- en regelgeving. Een aantal leden heeft de routekaart al wel volledig doorlopen. Dat is een mooi succes.
Is het voor die zorgbestuurders nog wel te volgen, wat zie je als de grootste uitdaging voor zorginstellingen, wat zou je ze willen adviseren?
Als zorgbestuurder ben je verantwoordelijk voor informatiebeveiliging binnen je organisatie. Het is goed te beseffen dat dit niet alleen maar procedures zijn, ook bijvoorbeeld het cliëntenportaal en ingezette domotica moeten veilig zijn. Daarnaast krijgen privacy van de cliënt en zorgverlener ook steeds meer aandacht. Een aantal bestuurders heeft dit scherp op het netvlies en stuurt intern op informatieveilig gedrag. Voor andere bestuurders is dit soms nog een ver-van-hun-bedshow.
De grootste uitdaging blijft om mensen en middelen vrij te maken om hiermee aan de slag te gaan. Vooral voor kleine organisaties blijkt dat lastig. Het onderwerp vraagt om vanuit de bestuurskamer mensen en middelen beschikbaar te stellen. Anders gaat het wiel niet draaien en stranden projecten i.v.m. onvoldoende prioriteit. Prioriteit is een randvoorwaarde leert de praktijk. Een Functionaris Gegevensbescherming (FG) of een Information Security Officer (ISO) kan dit niet alleen realiseren.
”De zorgbestuurder is binnen NIS2 verantwoordelijk voor informatiebeveiliging. Het is geen sexy onderwerp maar het heeft wel ineens enorme impact als het misgaat.
Voor de instellingen die nog een stap moeten maken is mijn advies; neem kennis van de Routekaart. Het is niet alleen eenmalig inrichten, maar het moet ook worden geborgd. Het slim daarop inrichten vraagt aandacht. Voor de realisatie van de digitaliseringsstrategie is het nodig om hiermee aan de slag te gaan. Tot slot brengt NIS2 straks ook wettelijke kaders waar je als zorginstelling aan moet voldoen. Dit vraagt om een digitaal weerbare en veerkrachtige organisatie.
Zijn er grote verschillen tussen grote een kleine instellingen?
Een absolute ‘Ja’. Grotere instellingen hebben meer budget en kunnen makkelijker de kennis in huis halen. Voor kleine leden is dit een grotere uitdaging. Er zijn echter ook voorbeelden van kleine instellingen die al grote stappen hebben gezet. Regionaal ontstaan samenwerkingsinitiatieven (een gedeelde ISO of FG), kleine instellingen weten ook andere instellingen te vinden om kennis en ervaring uit te wisselen.
ActiZ is ook bezig om voor een ‘kleinere’ instelling, als vervolg op de routekaart, een voorbeeld set aan documenten en een risicoanalyse beschikbaar te stellen, zodat het voor kleine instellingen eenvoudiger wordt om de stap naar NEN7510 compliance te zetten. Nadere informatie zal volgen in 2024.
Wat is de visie van ActiZ op NIS2, is daar weer een rol voor ActiZ weggelegd?
Actiz pleit voor een informatieveilige en weerbare sector, en blijft zich inzetten om dit op een pragmatische manier te realiseren. ActiZ zal actief blijven ondersteunen en faciliteren bij het bevorderen van informatieveiligheid. De Routekaart en NIS 2 sluiten goed op elkaar aan. De ontwikkelingen op dit vlak zullen wij blijven volgen. Het Routekaart platform blijft beschikbaar. Ook met NIS2 en na de introductie van NIS2 zal ActiZ kennis en hulpmiddelen beschikbaar blijven stellen.
Door NEN7510 te borgen wordt al een belangrijk deel van NIS 2 afgedekt. Wij geven ook aan wat aanvullend nodig is. Mijn advies; grijp de uitgereikte hand van de ActiZ routekaart aan.
Als u meer wilt weten over informatieveiligheid binnen VVT organisaties neem contact op met Hans Donkers (hansdonkers@wedotrust.nl, 0653754323) of Reinder Attema (reinderattema@wedotrust.nl).