“Informatieveiligheid in de zorg moet je niet alleen willen organiseren. Ik leer graag van anderen en deel mijn ervaringen waar ik kan”
Hakan Yortanli (Chief Information Security Officer (CISO) bij VIGO Groep) over het belang van bewustwording bij medewerkers en afspraken maken over het gebruik van AI.
De VIGO Groep is een regieorganisatie die stafdiensten levert aan enkele GGZ- en Jeugdzorginstellingen uit Nijmegen en heeft locaties in een groot deel van het oosten en zuiden van Nederland.
Toen Hakan twee jaar geleden startte als CISO bij VIGO, viel hij met zijn neus in de boter: certificering voor de NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg. Sindsdien zorgt hij ervoor dat VIGO blijft voldoen aan de eisen en verbeteringen doorvoert waar nodig. Een belangrijk aandachtspunt is de bewustwordingstrainingen voor de medewerkers van VIGO. Zijn kennis en ervaringen deelt hij graag met andere CISO’s binnen de GGZ. “Je moet niet alles zelf willen doen. Leer van de fouten van anderen, praat erover en huur expertise in als je die niet in huis hebt”, is zijn advies.
Inzicht krijgen in waar je staat
“Het organiseren van informatiebeveiliging binnen de GGZ en Jeugdzorg is maatwerk”, vertelt Hakan. “Het is belangrijk om goed te snappen hoe je eigen organisatie in elkaar steekt en waar mogelijke risico’s zitten. Vervolgens maak je daar passend beleid bij. Vaak zien mensen door de bomen het bos niet meer als ze met de NEN aan de slag gaan. Ze begrijpen niet altijd wat er met bepaalde punten wordt bedoeld. Een tool als NEN-Connect kan dan helpen. Ook de self-assessment Informatiebeveiliging Zorg van ICTU is een goed startpunt. Het gaat erom dat je inzicht krijgt in waar je staat en waar nog eventuele risico’s en kwetsbaarheden liggen.”
Risico’s analyseren en afwegen
“Die risico’s kun je vervolgens afwegen. Voorheen deden we onze risicoanalyse in Excel. Nu hebben we daar risicomanagementsoftware voor, gemaakt voor de zorg. Dat geeft ons nog beter grip op ons informatiebeveiligingsbeleid. Ook maken we gebruik van een interne AI-agent waardoor ik aan elk risico snel de NEN-beheersmaatregel kan koppelen. Dit soort handige tools maken informatiebeveiliging en cyberweerbaarheid voor onze organisatie echt behapbaar.”
Beleid rondom AI
“Hoewel we er alles aan doen om beleid en tools optimaal in te richten, ligt voor ons de uitdaging vooral in het bewust maken van onze medewerkers over waar de risico’s zitten in hun dagelijkse werk. Een van de actuele ontwerpen die binnen onze organisatie spelen is het gebruik van AI. We verbieden het niet, maar hebben er afspraken over gemaakt. We leggen ook uit waarom we voor bepaalde restricties hebben gekozen. Als collega’s aanvullende wensen hebben, dan is er een change advisory board om daarover te beslissen. Zo maken we verantwoord datagebruik een verantwoordelijkheid van de hele organisatie en houden we elkaar scherp. Ook helpt een externe partij ons met het vormgeven van onze missie en inzet op het gebied van AI.”
Maak gebruik van gratis informatie en tools
Hoewel Hakan gelooft in de kracht van externe inhuur, als een waardevolle schil om externe dreigingen het hoofd te bieden, loopt hij tegen financiële grenzen aan. “Ons bestuur probeert budget vrij te houden voor inhuur van externe expertise”, legt hij uit. “Toenemende licentiekosten drukken echter op de begroting, want techgiganten maken slim gebruik van de toenemende regeldruk. En door alle bezuinigingen moet je leren roeien met de riemen die je hebt. Daarom ben ik blij met de gratis informatie en tools die de brancheverenigingen en de overheid aanbieden. Het zou wel handig zijn als die vanuit één betrouwbare bron worden verspreid, om te voorkomen dat daarin overlap ontstaat. En laten we vooral niet vergeten dat we binnen de GGZ elkaar kunnen helpen. Meer mensen zouden zich kunnen aansluiten bij regionale kringbijeenkomsten om ervaringen en kennis op het gebied van informatieveiligheid uit te wisselen. Je zult zien, je staat er niet alleen voor!”
Meer informatie over de self-assessment voor zorgorganisaties
Met de self-assessment krijg je snel inzicht in de belangrijkste Informatiebeveiligingsmaatregelen binnen jouw zorgorganisatie. De vragen zijn gebaseerd op de NEN 7510. De vragenlijst is ontwikkeld door ICTU i.o.v. VWS en i.s.m. brancheorganisaties in de zorg.
De antwoorden op de self-assessment worden ANONIEM opgenomen in de sectorbrede Monitor informatiebeveiliging Zorg. Dit helpt VWS en de brancheorganisaties om gerichter te ondersteunen met praktische hulpmiddelen en input voor beleid.