Strict Cyber Security
In ons huidige digitale informatietijdperk blijft de waarde van data groeien. Onvermijdelijk brengt dit mensen met slechte bedoelingen in stelling. Het is dan ook niet verwonderlijk dat meer dan ooit het belang wordt onderkend van adequate informatiebeveiliging. Wij spreken met twee experts van Strict over de hernieuwde aandacht voor het privacy-gedeelte daarbinnen en over de diverse aspecten die tezamen een integrale informatiebeveiliging vormen.
Jeroen Roosien is Directeur Cyber Security bij Strict. Hij vertelt dat veel marktpartijen hun diensten aanbieden op het gebied van informatiebeveiliging. “Niets ten nadele van deze aanbieders, alleen zie ik dat de meesten zich richten op één specifieke expertise of enkele. Consultants brengen hun ongetwijfeld gedegen advies uit, maar voeren het niet uit. Techneuten beperken zich logischerwijs tot de harde techniek, zonder aandacht te besteden aan zoiets als de bewustwording van het personeel. Strict Cyber Security helpt bedrijven en instanties om integraal veilig, betrouwbaar en compliant te zijn.”
Lilian Knippenberg – van oorsprong gezondheidswetenschapper – is privacy- en compliance-expert bij Strict. “De AVG is niet technologisch gedreven, maar gaat juist over processen en bewustwording die je (deels) kunt ondersteunen met technische maatregelen. Vaak beschikken medewerkers binnen de gezondheidszorg niet over de juiste en gebruiksvriendelijke tools en kan het beter met de kennis of ervaring hoe ermee om te gaan. Daarentegen is bewustwording omtrent het belang van privacy van cliënten binnen de gezondheidszorg van oudsher sterk aanwezig.”
Hard en zacht
Cyber Security is naar het inzicht van Roosien grofweg in tweeën op te splitsen: “Het geheel van de harde kant bestrijkt de meer technisch inhoudelijke aspecten. Onze experts helpen wat dit deel betreft bij het opzetten en onderhouden van cybersecurity infrastructuren en architecturen. Wij voeren marktverkenningen uit en helpen organisaties met het maken van de keuzes vanuit hun eigen perspectief. We pakken zwakheden aan op het gebied van identity en access management. De zachte kant richt zich vooral op zaken als processen, bewustwording, regie en compliance met normen, standaarden en wetgeving (zoals NEN7510). Hier geven wij bijvoorbeeld trainingen op het gebied van security-awareness aan verschillende teams en afdelingen binnen een zorginstelling. Ook zetten onze ethical hackers mogelijke kwetsbaarheden in de schijnwerpers. Strict verzorgt dus niet alleen de component ‘ethical hacking’ ,‘de processen’ of alleen ‘compliancy’. Wij bieden een integrale aanpak op de harde én de zachte kant van Cyber.”
Lichtend voorbeeld voor de rest
De verschillen qua volwassenheid van security tussen gezondheidszorg en het bedrijfsleven zijn volgens Knippenberg kleiner dan veel mensen denken. “Vrijwel alle informatie binnen de gezondheidszorg gaat direct over mensen, hun gezondheid, levensstijl of thuissituatie. De zorgmedewerker is gewend om te werken in de hoogste informatiebeveiligingscategorie qua privacy; met bijzondere persoonsgegevens. Iets wat in het bedrijfsleven – waar veel bedrijven met weinig meer te maken hebben dan naam en adres van cliënten – minder vanzelfsprekend is. De hoge risico’s in verwerking is dus niets nieuws binnen de zorg. Minder vertrouwd is men met de beschikbaarheid van en de vertrouwdheid met de tooling.”
Roosien voegt daaraan toe dat hij de ‘gezondheidsindustrie’ de afgelopen vier jaar echt meters heeft zien maken op dit gebied. “Enerzijds omdat de wetmakers en toezichthouders organisaties daartoe dwingen, maar anderzijds ook omdat ze er de zin van inzien. Het zit al in hun wortels om zorgvuldig om te gaan met patiëntgegevens. De stap naar een AVG is binnen het huidige tijdsgewricht voor hen gewoon logisch. Een aantal spelers binnen enkele grote ziekenhuizen pakt hierin echt de leidende rol op, en dient als lichtend voorbeeld voor de rest.”
Duidelijke roadmap
De huidige vernieuwingsslag op het gebied van EPD’s (Elektronisch Patiënten Dossier) vormt een stevige uitdaging qua informatiebeveiliging. “Juist in deze systemen zit veel privacygevoelige data”, weet Roosien. “Vanuit de techniek en werkwijzen zijn EPD’s nog altijd kwetsbaar voor cyberbedreigingen. Veel instellingen werken dan ook hard om AVG-klaar te zijn. Of ze dat op 25 mei 2018 ook zijn, valt nog te bezien. Toch vind ik dat we daar niet al te dramatisch over moeten doen. Waar het om gaat is dat zorginstellingen nu al de juiste stappen zetten. Wie kan aantonen dat er voldoende inspanning wordt verricht in het aanpakken van de diverse privacy-issues en dat er een duidelijke roadmap is, is op de goede weg.
Realistisch en onafhankelijk
Op basis van hun privacy assessment maakt Strict inzichtelijk waar zorginstellingen staan met betrekking tot de AVG. Dit kan zelfs worden uitgebreid naar certificering voor de ISO27001- of NEN7510-norm. Knippenberg licht toe dat de dienstverlening niet ophoudt bij het leveren van adviezen. “Anders dan veel andere dienstverleners geven wij niet alleen advies, maar dragen we het liefst ook zorg voor de implementatie. Omdat wij zelf uitvoerder zijn, zijn onze aanbevelingen zonder meer realistisch. Vooraf bakenen we de opdracht helder af. Wij gaan dan ook graag een resultaatverplichting aan met een zorginstelling. Daarom is het in ieders belang dat de inrichting van technische en organisatorische maatregelen rondom privacy en informatiebeveiliging volledig passen bij de organisatie in kwestie. Onze aanbevelingen zijn 100 procent onafhankelijk. Wij hebben geen enkele link of afspraak met fabrikanten of leveranciers. Het invullen van de AVG is namelijk in verschillende soorten en variaties mogelijk, daarin móéten organisaties wel flexibel zijn. Samen met mijn collega-experts kan ik als inhoudsdeskundige een organisatie echt helpen om stappen te maken, zonder gebonden te zijn aan één of meer pakketten. Dankzij onze pragmatische, realistische en onafhankelijke insteek kan ik echt kijken naar wat het beste en het belangrijkste is voor een specifieke zorginstelling.”
AVG Compliancy
De Strict privacy assessment leidt een zorginstelling aan de hand van elf duidelijke stappen naar AVG-compliancy. Er zijn diverse online tools die beweren dat ze een goede Privacy Impact Analyse (PIA) kunnen maken. Knippenberg vertelt dat Strict een vergelijkbare variant daarvan aanbiedt. “Die biedt een snelle check, wat de belangrijkste aandachtspunten oplevert waar een instelling op moet letten. Niets mis mee, maar daar houdt het wel bij op. Die snelle check is echt wezenlijk anders dan ons hele assessment. Daarin onderzoeken we grondig waar een instelling staat op het gebied van privacybescherming, waarbij we redeneren vanuit de geest en bedoeling van de AVG in plaats van puur vanuit de letter van de wet. Op elk van de stappen voeren we onderzoek uit middels interviews, documentatie en wat er verder beschikbaar is aan informatie binnen de organisatie. Het beeld dat daaruit voortkomt, laat helder zien wat er nog moet worden gedaan om volgens de geest van de AVG daadwerkelijk compliant te zijn.”
Multidisciplinaire aanpak
De filosofie van Strict Cyber Security omtrent informatiebeveiliging en privacy is gebaseerd op een multidisciplinaire aanpak. Het team bestaat uit verschillende experts voor elk van de elf stappen in het privacy assessment. “Voor de AVG heb je bijvoorbeeld niet alleen juristen nodig’, vertelt Knippenberg. “Of alleen mensen die vanuit de business of techniek kijken. Je hebt juist dat hele spectrum nodig. Zo zien wij bijvoorbeeld dat het juridisch goed is geregeld in stap 1 en 2, maar het qua bewustwording nog onvoldoende is geland binnen de organisatie, of dat de techniek nog te wensen overlaat. Wij adviseren en acteren op al die invalshoeken van mens, proces, organisatie en techniek, en op juridisch vlak. Wat die laatste expertise betreft, kennen we niet alleen de AVG erg goed, maar de hele wetgeving binnen de gezondheidszorg. Naast de AVG moeten zorginstellingen bijvoorbeeld ook nog voldoen aan de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz), Wet BSN in de zorg en de Wet cliëntenrechten bij elektronische verwerking van gegevens. Alle regelgeving die specifiek geldt voor de zorg nemen we mee in onze privacy assessment.”
Totaalpakket
Knippenberg beschouwt privacy als een onderdeel van informatiebeveiliging. “Het één kan niet zonder het ander. De PIA valt onder onze volledige risicoanalyse, die nodig is om te bepalen welke maatregelen moeten worden ingezet. Informatiebeveiliging is het totaalpakket van bescherming van financiële gegevens, intellectual property, persoonsgegevens enzovoort. Bij privacy komen er dan uitdagingen bij zoals de plicht het te melden, of transparantie, waarbij een betrokkene altijd inzage moet kunnen vragen, of het recht heeft om vergeten te worden, of het recht op aanpassing. Wat ons betreft valt dit allemaal ook binnen informatiebeveiliging, gezien een persoonsgegeven een vorm van informatie is. Binnen het spectrum van informatiebeveiliging worden onderwerpen als autorisatie, incidentmanagement en gegevensuitwisseling al gedekt, dus sluit hierbij aan. Belangrijk is wel om belangenverstrengeling te voorkomen. Een besluit vanuit privacy-oogpunt kan anders uitpakken dan een securitybesluit vanuit bedrijfsbelang. Die discussie wil je idealiter door minimaal twee personen laten voeren. Daarom werken wij ook vanuit een volledig team waarbinnen de verschillende expertises aanwezig zijn.”
Tijdige regelgeving
Roosien brengt ontwikkelingen als Machine Learning en Artificial Intelligence (AI) ter sprake. “Wanneer gevoelige data aan deze technologie wordt gekoppeld, zullen wij met volledig nieuwe aanvalsscenario’s te maken krijgen. Die vereisen nieuwe verdedigingsscenario’s. Deze zijn wij nu al aan het voorbereiden, voor zover wij daarop kunnen anticiperen natuurlijk. Ook zal er vanuit de overheid nog meer regulering op ons afkomen. Het zou mooi zijn wanneer overheden met betrekking tot een ontwikkeling als AI met regulering komen vóórdat de toepassingen al hun invloed hebben doen gelden op onze maatschappij. Tot nu toe bevindt de markt zich nog te veel in de afwachtende houding en lopen we daardoor vaak achter de feiten aan. Misschien is mijn hoop een beetje naïef, hoewel ik geloof dat de AVG een mooi begin vormt wat dit betreft. Doordat de richtlijn volop ruimte biedt voor interpretatie en eigen invulling, hebben de regelmakers een belangrijke inhaalslag gehaald. In ieder geval geeft het organisaties de mogelijkheid om een implementatie vorm te geven die specifiek bij hen past.”