ActiZ en WeDoTrust ontwikkelden en onderhouden samen de routekaart informatieveiligheid voor VVT-instellingen. Inmiddels wordt deze routekaart breed ingezet in de sector, van grote tot compacte instellingen. De ActiZ-routekaart*, is recent weer geactualiseerd en helpt je stap voor stap door de vereisten van NEN7510.
Een jaar later: Het Maanderzand
Vorig jaar begeleidde WeDoTrust zorgorganisatie Het Maanderzand in Ede met behulp van de ActiZ-routekaart in een traject richting aantoonbare naleving van NEN 7510 en de Cyberbeveiligingswet (NIS2). Op de samenwerkingsomgeving voor leden van ActiZ kijkt Maanderzand op dit traject terug en geeft het collega instellingen onder meer een drietal tips:
Tip 1: Maak het organisatiebreed en zorg dat het blijft lopen. Organiseer het multidisciplinair én structureel. Zorg dat het niet bij één persoon blijft liggen en plan vaste momenten om voortgang te houden.
Tip 2: Wacht niet tot je alles weet: schakel hulp in en begin. Wacht niet tot alles helder is. Begin, en haal zo nodig kennis van buiten. Kies een aanpak die past bij de grootte en capaciteit van je organisatie.
Heb je vragen of wil je sparren met andere VVT-organisaties? Word lid van de community informatieveiligheid van ActiZ en wissel kennis en ervaringen uit.
Tip 3: Maak het concreet voor bestuur en medewerkers. Vertaal informatiebeveiliging naar de praktijk. Maak het concreet voor bestuurders én medewerkers, en blijf het gesprek voeren.
Praktijktips uit de routekaart
Op basis van de bredere ervaringen met de ActiZ routekaart, wij ondersteunen nu een 10-tal VVT organisaties, deelt WeDoTrust een aantal praktijklessen die voor elke zorginstelling, van groot tot compact relevant zijn:
- Begin met inzicht, niet met documenten
De ervaring leert dat een bewustwording en risicoworkshop een krachtig beginpunt is. Zo ontstaat direct een gedeeld zicht op de werkelijke risico’s binnen jouw organisatie. En het bepaalt voor bestuur en de medewerkers de prioriteiten. Zonder draagvlak blijft informatiebeveiliging papierwerk.
- Maak het concreet en toepasbaar
NEN 7510 klinkt abstract, waar moet je beginnen. De kracht van de routekaart zit in de vertaling naar jouw eigen praktijk: welke maatregelen passen bij de omvang en het type zorg dat jij biedt? Een pragmatisch framework werkt.
- Gebruik wat al beschikbaar is
Je hoeft het wiel niet opnieuw uit te vinden. De ActiZ routekaart is al door meerdere organisaties getest en verfijnd. Door daarbij aan te haken, profiteer je van opgebouwde kennis én bespaar je kostbare tijd. Om de ledensite van ActiZ zijn veel templates en voorbeeld documenten terug te vinden en wij kunnen die als WeDoTrust zo nodig aanvullen.
- Neem tijd voor het implementeren van de maatregelen
Niet alles kan in een keer. Bepaald prioriteiten ga als eerste aan de slag met de meest effectieve maatregelen en het ‘laaghangend fruit’.
- Leg vervolgstappen vast in een operationele kalender
Het grootste risico na een intensief traject is dat de energie wegzakt. Een operationele kalender voorkomt dat: het maakt helder wie wanneer wat doet, en zorgt dat informatiebeveiliging ook na het traject levend blijft.
- Betrek bestuur én werkvloer
Informatiebeveiliging is niet alleen een IT-vraagstuk. Het raakt beleid, mensen en processen. Zorg daarom dat zowel bestuurders als medewerkers betrokken zijn – van de risicoworkshop tot de implementatie van maatregelen.
- Aantoonbaar aan NEN 7510 voldoen is vereist, certificering niet
De IGJ heeft op haar website een Q&A opgenomen over de NEN7510 en hoe zij hier toezicht op houdt.
Aan de slag?
De druk neemt toe. Hoewel moeten voldoen aan NEN7510 niet nieuw is, zorgen de vele incidenten die het nieuws halen én de aankomende Cyberbeveiligingswet ervoor dat informatiebeveiliging op veel plekken terecht hoger op de agenda komt.
Tegelijk is de basis helder: organisaties die voldoen aan NEN7510 zijn al een heel eind op weg. Je legt met NEN7510 een stevige basis voor wat er straks gevraagd wordt, wacht dus niet en zet nu de eerste of volgende stap.
Onze ervaring met de ActiZ routekaart laten zien dat ook compacte zorginstellingen met de juiste begeleiding grote stappen kunnen zetten richting informatiebeveiliging. Het Maanderzand is daar het bewijs van.
Wil je weten wat deze aanpak voor jouw organisatie kan betekenen? Neem contact op met Hans Donkers (hansdonkers@wedotrust.nl), Reinder Attema (reinderattema@wedotrust.nl) of Jan de Boer (jandeboer@wedotrust.nl).
De routekaart informatiebeveiliging wordt inmiddels ook uitgewerkt met andere zorgbranches. Binnen Booozt (www.booozt.nl) hebben wij in samenwerking met KNMP een routekaart voor Apothekers opgesteld en in samen werking met LHV/InEen wordt een routekaart voor huisartsen uitgewerkt.
Wij werken met De Nederlandse GGZ aan een routekaart voor de GGZ en met ZKN aan een routekaart voor Zelfstandige Klinieken. Zo werken we zorgsector breed aan het versterken van kennis en aanpak rondom informatiebeveiliging.
*Website van Actiz is alleen beschikbaar voor leden met inloggegevens. Heb je geen inloggegevens maar ben je wel geïnteresseerd naar de informatie? Neem dan contact met ons op.
