Security bij Thebe: veilig zorginformatie delen

Net als andere zorgorganisaties heeft Thebe te maken met steeds meer wet- en regelgeving, ook op het vlak van cybersecurity. Niet zo vreemd, want Thebe verleent zorg aan cliënten die ouder zijn en kampen met cognitieve problemen, of die om andere redenen in een kwetsbare positie zijn. Zoals mensen die wondzorg nodig hebben of cliënten met niet-aangeboren hersenletsel. Mensen dus die wel wat extra bescherming kunnen gebruiken. Erwin van Boxtel is verantwoordelijk voor de IT bij Thebe én is securityofficer. Samen met 2 collega’s organiseert hij de informatiebeveiliging. ‘Wij vormen een driemanschap. De medisch manager kijkt zorginhoudelijk naar de informatieveiligheid, zij focust bijvoorbeeld op de bescherming van cliëntgegevens. De jurist richt zich op het voldoen aan wet- en regelgeving en ik bekijk het dus met de bril van informatiemanager. Alle drie doen we het naast onze gewone baan. Een rijkdom, want daardoor hebben we een directe verbinding tussen security en ons werkveld. Tegelijk neemt het belang van informatieveiligheid zo hard toe dat we het niet langer alleen op deze manier kunnen oplossen. Daarom hebben we in onze securityroadmap opgenomen dat er een aparte rol voor een securityspecialist of -officer moet komen.’ Die kan ook beter een controlerende rol op zich nemen, vertelt Erwin, iets waar toezichthoudende instanties steeds nadrukkelijker om vragen.

Op de goede weg

Zorgorganisaties moeten voldoen aan steeds meer wet- en regelgeving. Erwin: ‘NEN 7510, NIS2, de European Health Data Space, de AI-act, ga maar door. Daar werken we keihard aan. Gelukkig constateerde de inspectie laatst dat we op de goede weg zijn met NEN 7510. Intern is zo’n certificeringstraject overigens een effectieve exogene stok achter de deur – het verhoogt de prioriteit van de securitymaatregelen. Anders zijn er toch andere, meer zorginhoudelijke zaken, die voorrang krijgen. Bovendien stellen wij certificeringseisen aan de leveranciers waar we mee samenwerken, zoals een ISO-norm voor informatiebeveiliging. Dan moeten wij zelf ook aan relevante certificeringen voldoen. In de toekomst zullen partijen als zorgkantoren die sowieso als voorwaarde stellen.’

Zo helpt security je zorgorganisatie vooruit

Niemand wordt door cybercriminelen ontzien, zelfs de kleine praktijken of organisaties niet. In dit eBook nemen we je mee in dé 5 securityuitdagingen van nu voor de zorgsector. Ook bieden wij veel organisaties al een handig houvast. Ontdek hoe onze aanpak en beleid ook jou kan helpen.

Download

Regionalisering

Een andere uitdaging die de druk op IT – en security – bij Thebe vergroot, is regionalisering. Het ministerie van Volksgezondheid (VWS) stimuleert met het integraal zorgakkoord (IZA) regionale samenwerkingsverbanden. Erwin: ‘Omdat wij met Thebe in een groot gebied actief zijn, vallen wij onder 2, soms 3 verbanden tegelijk – afhankelijk van het initiatief. Je kunt niet samenwerken zónder zorginformatie uit te wisselen. Door al die verbanden wordt die uitwisseling echter steeds complexer. Nu hebben we namelijk voor elke data-uitwisseling nog apart een overeenkomt – met partij x mogen we dan dataset y uitwisselen. Hoe meer je gaat samenwerken, hoe meer overeenkomsten nodig zijn. En dan heb je het nog niet eens over de techniek – elke partij heeft zijn eigen middel. De ene heeft een formulier op z’n website, de ander gebruikt beveiligde mail. Door veilige dataplatforms te gebruiken, waarop je het eigenaarschap en de verantwoordelijkheid over de data bij de partij laat die erover gaat, omzeil je die noodzaak van overeenkomsten én maakt het niet uit welk middel je gebruikt.’

Gevoelige persoonsgegevens

De bescherming van cliëntinformatie is dus zo belangrijk dat het op dit moment zelfs de samenwerking in de zorgverlening in de weg kan staan. ‘Het gaat wel om de data van mensen in een kwetsbare positie,’ legt Erwin uit. ‘Stel dat bekend wordt dat een thuiswonende cliënt dementie ontwikkelt. Die persoon kan een interessante prooi zijn voor kwaadwillenden. Dat soort gevoelige persoonsgegevens wil je gewoon niet op straat hebben liggen.’ Daarnaast is security voor de continuïteit van zorgverlening cruciaal. ‘Wanneer je niets doet, weet je dat je als zorgorganisatie vroeg of laat te maken krijgt met een onbekende hoeveelheid herstelwerk. Hoe en op welke manier je geraakt gaat worden door een inbraak, dat weet je niet. Wel dat je, als je niets doet, je érg veel risico loopt. Als je dan geraakt wordt en je kunt 2 weken niet bij de gegevens van je cliënten, dan heb je wel wat uit te leggen.’

Regieorganisatie

Oplossingen of beleid ontwikkelen ze allang niet meer intern, vertelt Erwin. ‘Onze IT-organisatie is een regieorganisatie. We hebben voldoende kennis in huis om de afweging te kunnen maken, maar voor de uitvoering werken we met allerlei IT-leveranciers. Voor security zetten we het liefst leveranciers in die goed zijn in schaalbaarheid en betrouwbaarheid. Zoals KPN. Samen hebben we een securityroadmap ontwikkeld waarmee ik mijn directie kan laten zien welke investeringen we moeten doen om de komende 3 jaar de security op peil te houden. Van de inrichting van een SOC/SIEM tot een ingebouwde firewall in het datacenter: met de roadmap laten we de directie zien wat nodig is om echt goed beveiligd te zijn.’

Deze veilige (security)diensten van ons gebruikt Thebe

• Securityadvies ‘CISO+’ en ontwikkeling securityroadmap

• Retainerservice voor de incidentrespons

• Ondersteuning bij implementatie NEN 7510

• Oplossingen voor IT-scanning en -hardening

Download het eBook

Benieuwd hoe KPN Health je kan helpen om jullie organisatie veiliger te maken? Download dan ons eBook.

Zo helpt security je zorgorganisatie vooruit

Niemand wordt door cybercriminelen ontzien, zelfs de kleine praktijken of organisaties niet. In dit eBook nemen we je mee in dé 5 securityuitdagingen van nu voor de zorgsector. Ook bieden wij veel organisaties al een handig houvast. Ontdek hoe onze aanpak en beleid ook jou kan helpen.

Download