Van reactief naar proactief security bij ZINN

De relevantie van onze oplossingen, ervaring en expertise wordt natuurlijk pas tastbaar op het moment dat we deze bij onze klanten kunnen toepassen. Daarom vragen we graag aan hen wat hun ervaring is met onze diensten en met de producten die we leveren.

 Hieronder lees je het verhaal van ZINN (Zorginstelling In Noord-Nederland), dat vanuit zes locaties allerhande ouderenzorg levert.

24/7 ouderenzorg

Het gesprek met Joke Rietel, sinds vijf jaar ICT-leidinggevende bij ZINN, is inspirerend. Joke vertelt graag over haar organisatie, en haar verhalen geven de techniek een menselijk gezicht. ZINN biedt ouderen een totaalpakket aan zorg in hun vertrouwde omgeving. Zo lang mogelijk thuis, en op locatie als het thuis om wat voor reden dan ook niet langer gaat. De locaties van ZINN zijn te vinden in Groningen zelf, maar ook in Haren en Hoogezand. “Je moet mensen die hun hele leven in de stad hebben gewoond niet meer naar een dorp verhuizen, en andersom ook niet.”, zegt Joke daarover.

ZINN richt zich op allerlei vormen van ouderenzorg. Het biedt thuiszorg en revalidatie, maar cliënten kunnen ook ‘intramuraal’ wonen of in een van de woningen van de organisatie. Met een team van 3.200 medewerkers – inclusief eigen artsen, tandartsen, fysiotherapeuten en andere zorgprofessionals – is ZINN 24/7 actief. De elektronische cliëntendossiers (ECD’s) moeten dus op ieder moment van de dag én nacht toegankelijk zijn. Omdat het hier om heel persoonlijke informatie gaat, brengt dat de nodige risico’s met zich mee.

Veiligheid voorop

Waar de systemen van ZINN voorheen nog werkten vanuit een thin client (on-premise) omgeving, werd vijf jaar geleden de omslag gemaakt naar het principe van ‘alles SaaS, tenzij…’. Dat betekende ook dat er vanaf toen alleen nog gewerkt zou worden met standaardapplicaties in plaats van maatwerkoplossingen, en dat de leveranciers het beheer ervan op zich zouden nemen.

Inmiddels zijn alle netwerkverbindingen geoptimaliseerd en schaalbaar gemaakt, zijn er nieuwe Wifi-access points en firewalls, zijn de on-premise servers uitgefaseerd, en is de overstap gemaakt van Citrix naar Microsoft. Het beschermen van cliëntgegevens staat – in alles – hoog op de agenda. Joke: “Het is niet de vraag óf je een keer slachtoffer wordt van cybercriminaliteit, maar wanneer.” Dat is dan ook de hoofdreden dat ze de eerder genomen veiligheidsmaatregelen eens objectief wilde laten toetsen door een externe partij.

Waar staan we? Zijn we echt zo goed bezig als we zelf denken? Wat zijn onze blinde vlekken?

Daarnaast speelden veranderingen in wet- en regelgeving natuurlijk een rol én was het een manier om de IT-kosten te onderbouwen voor de Raad van Toezicht. Op advies van Microsoft kwam ZINN bij QS solutions terecht. Al jaren zet Microsoft de door ons in-house ontwikkelde Cyber Security Assessment Tool (CSAT) wereldwijd in voor het toetsen van de cyberweerbaarheid van organisaties van welke omvang dan ook.

Geen extra kosten

ZINN heeft inmiddels twee jaar op rij een assessment laten uitvoeren. Ondanks het feit dat de eerste keer een cadeautje was van Microsoft, heeft Joke ook toen kritische vragen gesteld over wat er getoetst zou worden en wat er mogelijk uit zou komen. Want nog los van eventuele investeringen brengt een assessment natuurlijk altijd actiepunten – en dus werk – met zich mee. Actiepunten die opgevolgd moeten worden, zo is Joke althans van mening. “Het heeft geen zin om een assessment te doen als het rapport daarna in een la verdwijnt.”

Verbeteringen kosten niet per se geld. Je hoeft niet altijd een tool te kopen om beter te scoren

De eerste CSAT bracht een aantal verwachte actiepunten aan het licht, maar ook zeker een paar ‘blinde vlekken’ die het IT-team eerder over het hoofd had gezien. En juist dat laatste maakt het assessment zo waardevol. “Als er verbeteringen nodig zijn is dat absoluut geen schande”, aldus Joke.

Aan de hand van het eerste rapport heeft het IT-team van ZINN stappen genomen om de ‘gaten’ te dichten. Zónder extra kosten welteverstaan! Dat is dan ook een belangrijke boodschap die Joke wil meegeven aan organisaties die twijfelen over het laten uitvoeren van een assessment: “Verbeteringen kosten niet per se geld. Je hoeft niet altijd een tool te kopen om beter te scoren.”

Balans tussen veiligheid en werkgemak

De uitdaging voor ZINN bij het vergroten van de dataveiligheid zit ‘m – net als bij veel andere organisaties – in het vinden van de juiste balans tussen veiligheid en werkgemak. De bescherming van gevoelige data is natuurlijk ontzettend belangrijk, maar het moet wél werkbaar blijven en mag de productiviteit niet nadelig beïnvloeden. 24/7 toegang tot applicaties blijft het uitgangspunt, net zoals de mogelijkheid om eenvoudig te kunnen inloggen.

Een maximaal veiligheidsniveau is niet ons doel, want daarmee kan een zorginstelling niet functioneren.

In dat opzicht is de mindset bij ZINN de laatste jaren wel veranderd: waar IT vroeger leidend was, wordt nu keer op keer de vraag gesteld ‘hoe kan IT ondersteunen?’. Het doel is nog steeds het vergroten van de cyberveiligheid, maar het is simpelweg een kwestie van een ander vertrekpunt. Op de vraag of Joke van plan is om ZINN naar het maximale veiligheidsniveau te brengen, geeft ze dan ook kort en bondig antwoord: “Nee! Want dat zou betekenen dat je als zorginstelling niet meer kunt functioneren.”

Digicoaches

Zorgmedewerkers houden zich tijdens hun werk het liefst alleen met hun cliënten bezig, maar aan een stukje administratie ontkomt niemand. Vanwege wet- en regelgeving, maar ook omdat dat nu eenmaal is vastgelegd in de afspraken met zorgverzekeraars. En dus is het zaak om de aanpak van cyberveiligheid zo simpel mogelijk te houden, bijvoorbeeld door single sign-on en het standaardiseren van de layout, ongeacht welk device.

Daarnaast draait het allemaal om communicatie. Bij ZINN wordt tegenwoordig gewerkt met ‘digicoaches’. Dat zijn bestaande (zorg)medewerkers die extra uren krijgen om hun collega’s heel laagdrempelig te helpen met de technologische kant van hun werk. Met behulp van zorggerelateerde voorbeelden leggen ze uit waarom bepaalde dingen gedaan moeten worden, zoals bijvoorbeeld two-factor authentication. En dat is nodig, want voor veel medewerkers is de drempel om een vraag aan het IT-team te stellen simpelweg te hoog.

Van reactief naar proactief

Het tweede assessment – ditmaal zelf bekostigd door ZINN – was bedoeld om te toetsen wat het effect van de eerder genomen maatregelen was. “Alleen zo kun je appels met appels vergelijken”, aldus Joke. Het rapport toonde aan dat de cybervolwassenheid van de organisatie enorm was gegroeid.

De volgende stap is te kijken wat er gedaan kan worden om de cyberveiligheid naar een nóg hoger niveau te tillen. Het doel? Niet alleen reactief bezig zijn, maar ook proactief. Zo heeft ZINN bijvoorbeeld een cybersecurityverzekering die hulp biedt als het misgaat, maar voor Joke draait het juist om wat je proactief kunt doen om niet in die situatie te belanden. Eén van de mogelijkheden is een automatische locatiecheck op het moment dat medewerkers in het systeem inloggen.

CSAT heeft ons echt gemotiveerd om de cyberveiligheid van ZINN aan te pakken

“Ook voor de Raad van Bestuur is cybersecurity een hot item, en daarom krijgen we regelmatig de vraag hoe we er als organisatie voor staan. CSAT heeft ons hiervoor concrete handvatten gegeven waarmee we objectief in plaats van subjectief verslag kunnen doen”, aldus Joke.

In samenwerking met de Functionaris Gegevensbeheer van ZINN zijn alle actiepunten uit het rapport in een werklijst gezet, waarover iedere twee maanden wordt gerapporteerd. Dit rapport geldt ook als basis om vanuit de Raad van Bestuur akkoord te krijgen voor verdere IT-initiatieven. Het doel is om vooruit te blijven lopen op veranderingen in de kwaliteitsnormen en -eisen waaraan ook zorginstellingen moeten voldoen, zoals bijvoorbeeld ISO 27001, NEN 7510 en NIS2.

Samenwerking

Joke heeft het CSAT-proces en de samenwerking met QS solutions beide keren als heel plezierig ervaren: “Tijdens het eerste assessment was er een duidelijke en vloeiende samenwerking met de consultant, en afspraken werden keer op keer nagekomen. Dat was absoluut de motivatie om ook het tweede assessment door QS solutions te laten uitvoeren, dat overigens net zo vlekkeloos verliep.”

De wereld staat niet stil, je moet meebewegen. CSAT helpt je om bewuste, weloverwogen keuzes te maken

Voor organisaties die nog twijfelen aan het laten doen van een assessment heeft ze een duidelijke boodschap: “CSAT is helemaal compleet. Het maakt inzichtelijk waar je staat en wat je nog kunt verbeteren. Wees niet bang voor wat er ontdekt zal worden, maar benader het positief. Het is geen vingerwijzen!”

Meer weten?

Wil je ook weten hoe jouw organisatie ervoor staat op het gebied van cybersecurity? Ben je op zoek naar een partner die met jou samenwerkt om de veiligheid van de organisatie te verbeteren en medewerkers zo productief mogelijk te laten werken? Laat het ons weten! Onze experts helpen je graag op weg.

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.