“In onze organisatie wordt informatieveiligheid gepresenteerd als een gedeelde verantwoordelijkheid. Medewerkers, management en IT moeten samenwerken om gegevens te beschermen, want één zwakke schakel kan al leiden tot een beveiligingsincident. Natuurlijk zijn er ook formele eindverantwoordelijken, zoals ik samen met de Chief Information Security Officer (CISO) en ons management. Wij zetten ons in om mensen scherp te houden en duidelijke afspraken met elkaar te maken. Die afspraken toetsen we aan de praktijk: zijn ze werkbaar voor de mensen in het veld.”

“Daarom blijf ik ook niet achter mijn bureau en computer zitten. Ik probeer zoveel mogelijk te leren van mijn collega’s door mee te lopen op de werkvloer. Zo maken we beleid dat past bij onze organisatie. Ik krijg daarvoor de ruimte van ons management, om echt het verschil te maken. Ik werd misschien in het diepe gegooid, maar daarom werd ik ook gedwongen om veel vragen te stellen. Dat zette anderen weer aan het denken. We voeren verbeteringen stap voor stap in, volgens de PDCA-cyclus (Plan Do Check Act). We blijven kijken naar wat beter kan.”

“Die planningscyclus hangt ook samen met ons ambitieniveau. De NEN kan je een waslijst aan acties opleveren, maar waar neem je als organisatie genoegen mee? Wat is haalbaar, nu en straks? Het is belangrijk om dat met elkaar te bespreken om verwachtingen te kunnen managen. En ik merk dat mijn collega’s de wet- en regelgeving niet altijd goed interpreteren. Daarom probeer ik die praktisch uit te leggen. Wat is verplicht, en wat is een wens voor later?”

“Dankzij mijn betrokkenheid bij de controle audit voor de NEN 7510 kreeg ik een spoedcursus informatiebeveiliging in de zorg. Onlangs kreeg ik ook de self-assessment Informatiebeveiliging Zorg van ICTU doorgestuurd. Ik heb hem ingevuld en hoewel ik geen nieuwe aandachtspunten tegen ben gekomen, was het goed om weer even stil te staan bij bepaalde punten. Ik denk dat deze vragenlijst ook voor beginners echt van toegevoegde waarde kan zijn. Het is fijn om een opstapje te hebben, om ergens mee te kunnen beginnen. Wij moeten nog veel stappen zetten met betrekking tot de NIS2-richtlijn (Network and Information Security Directive). Ik zie dat vraagstuk als iets positiefs, om mij professioneel verder in te ontwikkelen en te groeien in mijn rol.”

“Ik vind het heel belangrijk om vanuit mijn functie mijn steentje bij te dragen aan de zorg voor onze cliënten. Zodat mensen, en vooral jongeren, de juiste hulp krijgen. Door te werken aan betrouwbare, veilige en beschikbare informatie versterken we de kwaliteit van onze zorg. En dat is iets waar ik me elke dag voor wil inzetten!”