Interview met Jan Maarten de Roon, Senior Manager Informatie & Automatisering bij Yulius

“Als GGZ- en onderwijsorganisatie staan wij voor veiligheid in de volle breedte. Informatieveiligheid is daar onderdeel van. Wij willen dat optimaal ingeregeld hebben, voor onze patiënten/cliënten, leerlingen, medewerkers en samenwerkingspartners.” vertelt Jan Maarten de Roon van Yulius. “Bij contracten en aanbestedingen is ISO 27001 steeds vaker een harde voorwaarde. Daarmee werd certificering voor ons niet alleen een belangrijke wens, maar ook een noodzaak.”

Van gap-analyse naar actieplan

“We merkten al snel dat het op orde brengen van informatiebeveiliging geen traject is dat je ‘er even bij doet’. Daarom zijn we samen met WeDoTrust gestart met een gap-analyse: waar staan we en wat moet er gebeuren? Daar kwam een helder actieplan uit voort. Vervolgens hebben we in ongeveer acht maanden tijd organisatiebreed gewerkt aan het invoeren van de benodigde maatregelen.”

Continuïteit toen de CISO wegviel

“Halverwege het traject viel onze CISO weg. WeDoTrust heeft die rol tijdelijk overgenomen, waardoor we geen vertraging opliepen en het traject door kon gaan. Dat gaf rust. Vervolgens heeft WeDoTrust ons begeleid richting de externe audit en ISO 27001 certificering. Met resultaat, want die hebben we succesvol afgerond.”

Meer dan techniek: het mensenvraagstuk

“Wat dit traject vooral heeft bevestigd, is dat informatiebeveiliging niet enkel draait om procedures en techniek, maar ook om mensen. Je moet alles op papier of technisch goed regelen én het moet landen in het dagelijks werk van je collega’s. En die hebben het al druk genoeg. Dan wordt het echt een uitdaging: hoe neem je mensen mee zonder dat het voelt als weer iets extra’s?

WeDoTrust heeft ons daar goed in ondersteund. Niet alleen inhoudelijk, maar juist ook praktisch. Ze hielp ons met de projectcoördinatie, dacht mee in de planning en hield oog voor wat realistisch is binnen een zorg- en onderwijsorganisatie. Nu moet stap voor stap de hele organisatie nog verder mee; informatiebeveiliging vraagt om continue aandacht.”

Op naar NEN 7510 en het Normenkader IBP

“Voor ons stopt het daar niet. Als gecombineerde ggz- en onderwijsorganisatie moeten we ook voldoen aan NEN 7510 voor de zorg en het Normenkader IBP voor onderwijs. Daar zijn we nu volop mee bezig. Ook daarin blijven we samenwerken met WeDoTrust. Zij ondersteunt ons interne team bij de implementatie en onafhankelijke professionals begeleiden de interne audits. Dat vinden wij prettig, omdat je dan niet alleen bevestiging krijgt, maar ook eerlijke en kritische inzichten waar je verder mee kunt.”

WeDoTrust begrijpt hoe een zorg- en onderwijsorganisatie functioneert.

De meerwaarde van de samenwerking

“Als we terugkijken, zit de meerwaarde voor ons vooral in het feit dat WeDoTrust niet alleen kijkt naar normen en systemen, maar ook naar hoe het in de praktijk werkt. Ze begrijpt hoe een zorg- en onderwijsorganisatie functioneert.”

Advies voor andere ggz- en onderwijsinstellingen

“Voor andere ggz- en/of onderwijsinstellingen zou ik zeggen: onderschat het certificeringstraject niet. Wij zijn blij dat we met de juiste begeleiding de externe audit en ISO 27001 certificering met succes hebben afgerond!”

WeDoTrust helpt zorg- en onderwijsorganisaties om die basis doelgericht op te bouwen. Niet als losstaand IT-vraagstuk, maar als onderdeel van de dagelijkse praktijk, met aandacht voor zowel de norm als de mensen die ermee werken.