Hoe gaan instellingen en bedrijven in de zorg om met digitale weerbaarheid? Wat vraagt het van bestuurders? Een gesprek met Jan Welmers (bestuursvoorzitter van Heliomare), Luuk Duijndam (CEO van Livit Ottobock Care) en Remco Blewanus (IT-manager bij Livit).

Digitale weerbaarheid is bij Heliomare inmiddels topprioriteit, vertelt Welmers: ‘Eerder was het vooral iets van IT’ers. Inmiddels is het top of mind in de hele organisatie. We moeten allemaal mee in de digitale transformatie.’ Heliomare is inmiddels gecertificeerd onder NEN7510, de norm voor informatiebeveiliging in de zorg. ‘Certificering onder de Europese Network and Information Security Directive (NIS2) en de Nederlandse Cyberbeveiligingswet (Cbw) is dan nog maar een kleine stap’, aldus Welmers.

Ook bij Livit is digitale weerbaarheid allang geen bijzaak meer. Duijndam: ‘Wat daarbij meespeelt, is dat ons moederbedrijf het een belangrijk thema vindt.’ Gecertificeerd is Livit niet, vertelt IT-manager Remco Blewanus: ‘We laten ons leiden door de vraag wat voor onze digitale veiligheid en bedrijfsvoering relevant is. De belangrijkste elementen uit bijvoorbeeld NEN7510 nemen we over en we confirmeren ons aan ISO27001, maar we certificeren niet om het certificeren.’

Bestuurlijke aansprakelijkheid

De bestuurlijke aansprakelijkheid en trainingsplicht voor bestuurders vindt Duijndam niet meer dan logisch. ‘Dat onderstreept de urgentie en het belang van digitale weerbaarheid. Ga ik er anders op acteren? Nee, want wij zetten hier al jaren op in.’

Ook bij Heliomare is digitale weerbaarheid al een integraal onderdeel van de dagelijkse bestuurspraktijk. Welmers: ‘Die bestuurlijke aansprakelijkheid is gewoon part of the job.’

Knelpunten en uitdagingen

‘In de markt waarin Livit opereert, staan de tarieven onder druk’, vertelt Duijndam.’ Investeringen in cyberveiligheid vinden we nodig om de kwaliteit en continuïteit van zorg te waarborgen. In de huidige uitdagende financiële context vraagt dat om scherpe keuzes, waardoor andere investeringen soms moeten wachten.’

Duijndam wijst verder op de spanning tussen veiligheid en werkdruk. ‘Om jezelf weerbaar te maken tegen bedreigingen moet je drempels opwerpen, zoals tweefactorauthenticatie en goed wachtwoordmanagement. Maar de druk op de zorg is al hoog. Efficiënt werken en veilig werken gaan niet altijd samen.’

Ook Welmers ervaart financiële hobbels. ‘ICT is een belangrijk onderdeel van de bedrijfsvoering, maar ook een grote kostenpost. Daarbij is de volgordelijkheid waarin je ICT-investeringen moet doen niet altijd logisch.’ En dan is er nog de factor gedrag. Welmers: ‘We hebben het steeds over techniek, maar veiligheid is vooral gedrag. Je wilt dat medewerkers weten hoe makkelijk je om de tuin wordt geleid, maar ook dat ze niet overal gevaren zien. Daarin de juiste balans vinden, vraagt voortdurend aandacht.’

Praktijkvoorbeelden die werken

Hoe je digitale weerbaarheid laat leven op de werkvloer? Welmers: ‘Wij werken bijvoorbeeld met nano-learnings. Om de zoveel dagen krijgen onze medewerkers in de mail een kort leermomentje over digitale weerbaarheid. Dat slaat aan. We hebben ook op al onze locaties een escaperoom laten neerzetten, een container waarin medewerkers spelenderwijs aan de slag konden met digitale weerbaarheid. Die beleving, daar kan geen cursus tegenop.’

Ook Livit zet in op bewustwording. ‘We organiseren elk jaar een cybersecurity­week met gastsprekers voor al onze medewerkers‘, vertelt Duijndam. ‘We sturen nep-phishingmails rond om mensen scherp te houden. Met een spamknop kunnen collega’s verdachte mailtjes melden. We hebben een cybersecurity-expert die trainingen volgt en kennis borgt. En vorig jaar lieten we een ethische hack uitvoeren – binnen een minuut was de hacker geïsoleerd.’

Ketenverantwoordelijkheid

Wat vinden de bestuurders ervan dat ketenverantwoordelijkheid onderdeel wordt van de Cyberbeveiligingswet? Welmers: ‘Heliomare is onderdeel van een zorgnetwerk: mensen komen van het ziekenhuis naar ons en gaan van hier weer door naar VVT of thuis. Vroeger ging dat met een briefje, nu steeds meer digitaal. Dat is effectiever en efficiënter, maar ook kwetsbaarder. Het maakt je medeverantwoordelijk voor de veiligheid van het netwerk. Daar moet je naar handelen. Ook de systemen die we aankopen moeten aan hoge eisen voldoen.’

Ook Livit kiest zijn softwareleveranciers zorgvuldig. Remco Blewanus: ‘Ons ERP-systeem is bijvoorbeeld op Microsoft gestoeld. En binnen dat systeem doen we maatwerk, met leveranciers met een gevestigde naam, die hun beveiliging aantoonbaar op orde hebben.’

Tips

Hebben de bestuurders tips voor partners in het veld? Duijndam: ‘Laten we minder focussen op het halen van vinkjes, en meer op het delen van ervaringen.’ Welmers beaamt dit en vult aan: ‘We zitten middenin de digitale transitie. Dus zorg dat je bijblijft.’

Data bij de bron houden

Een mogelijkheid voor het efficiënt delen van gegevens is het hanteren van data bij de bron – de opzet van het Federatief Datastelsel – tegenover het nu gangbare beschikbaar stellen van een bronkopie en offline gebruik door andere partijen. ‘Data bij de bron levert veel op’, zegt Engering. ‘Minder kans op fouten en een betere datakwaliteit. Het zorgt er bovendien voor, dat je de beveiliging beter kunt regelen.’ Maar via één bron data delen is nog ver weg, weet hij. ‘Naast juridische en semantische problemen is ook de technologie nog niet zover, omdat veel organisaties hun API’s nog klaar niet hebben. Dat geeft volop redenen voor organisaties om te zeggen dat ze niet willen stoppen met de bronkopie.’

‘Ook ik ga dat zeggen’, reageert Dood van het CBS. ‘Wij willen specifieke gedetailleerde informatie hebben en vaak uit uiteenlopende bronregistraties. Deze uiterst complexe vragen stellen we om de haverklap. Ik vraag me af of organisaties daar de computerpower voor hebben. Om onze berekeningen te doen, hebben we zelf al een enorme rekenkracht nodig en moeten we in een aantal gevallen naar de supercomputer van SURF uitwijken.’

Bronkopie is beschamend

De Dienst Toeslagen heeft dezelfde informatiewensen, geeft Groeneveld aan. ‘Organisaties moeten er klaar voor zijn om deze complexe dataverzoeken te kunnen beantwoorden.’ Evident nadeel van de bronkopie, stelt ze, is dat er letterlijk een kopie gebruikt wordt. ‘Eigenlijk is dat beschamend, want je verwerkt bergen aan data. Dat zit de proportionaliteit van je dataverwerking in de weg en legt extra druk op systemen met achterstallig onderhoud. Maar al kan data bij de bron niet overal en er zijn er nog veel technische uitdagingen, toch moeten we dit doen waar het kan, anders kost de opslag van gegevens heel veel geld. We kunnen dus ontzettend veel besparen. Dat is ook in het belang van de burger.’