Met beperkte middelen bestrijding van datalekken als hoogste prioriteit
Medewerkers van Stek Jeugdhulp zetten zich dag en nacht in om kinderen, jongeren en hun ouders te helpen bij allerhande problemen die te maken hebben met opgroeien en opvoeden. Een veilige it-omgeving, waarin gegevens over gevoelige zaken goed beschermd worden, is voor de organisatie onontbeerlijk. Sophos ondersteunt de organisatie hierbij.
Stek Jeugdhulp krijgt met de meest uiteenlopende zaken te maken, vertelt it-manager Peter Timmer van de hulporganisatie. “Dat gaat van heel kleine zaken tot ingrijpende problematiek.” Het team van Timmer ondersteunt 450 medewerkers die van de ict-voorzieningen gebruikmaken. “De grootste groep bestaat uit ambulante zorgprofessionals die op diverse locaties werken. Zij gaan naar cliënten toe, maar deze komen ook op kantoor.” In het verzorgingsgebied van Stek, dat de regio’s Rijnmond, Midden-Holland en Holland-Rijnland omvat, heeft de zorgorganisatie 42 locaties.
De eerdere ict-omgeving was sterk verouderd en aan vervanging toe. De toenmalige leverancier sneuvelde al snel. “Hun handige verkoper loodste allerlei appliances binnen en bedong na plaatsing hoge kosten voor ondersteuning”, weet de it-manager. “Dat kwam er dan nog eens bovenop. Ook hielden zij zich bezig met taken die wij zelf konden doen. We besloten daarop een omgeving neer te zetten waarin centraal staat wat we echt nodig hebben en in de toekomst mogelijk willen doen. In het kader van een grote verlaging van de ‘total cost of ownership’ hebben we gekozen voor een compleet Microsoftplatform met Windows Server, Hyper-V en daarbovenop virtuele terminal servers en applicatieservers.” Daarbij is sinds kort ook de overstap gemaakt van Kerio naar Exchange.
Bescherming tegen datalekken
Binnenkort draait op de twee Exchange-servers Sophos PureMessage, software die helpt om e-mail te filteren. “De reden hiervoor heeft te maken met de nieuwe wetgeving rond datalekken”, legt Timmer uit. “De meldplicht datalekken maakt dat wij als it-afdeling moeten kunnen aantonen dat als er data lekt, we in ieder geval alles aan noodzakelijke bescherming hebben gedaan. Op die manier investeren we in een veilige omgeving en voorkomen we torenhoge boetes (tot 820.000 euro). Met PureMessage, Sophos Endpoint Protection en twee firewalls doen we qua techniek al het mogelijke wat je als organisatie kunt doen.”
De it-manager vreest met name de gebruiker nu de nieuwe wetgeving is ingegaan. “Het besef van de wet onder gebruikers is minimaal”, zegt hij. Het liefst zou hij aanvullend budget willen investeren in training “om zo te laten zien welke impact een lek kan hebben en hoe belangrijk deugdelijke bescherming is”. Voor zorgprofessionals kan een lek grote gevolgen hebben: van een smet op de carrière tot ontslag aan toe, waarschuwt Timmer.
Langdurige overeenkomst
Een scherpe aanbieding voor vijf jaar maakte dat de keuze voor een antivirusoplossing voor de nieuwe omgeving viel op Sophos Endpoint Protection. Deze werd geleverd door Virtual Security, partner van Sophos. Timmer: “We hebben hiermee voor vijf jaar zekerheid gekozen. Het is voor een kleine it-organisatie als deze ondoenlijk om elk jaar opnieuw een beoordeling en implementatie te doen.”
“Stek was op zoek naar een oplossing die voor langere tijd gebruikt kan worden ondanks veranderingen in de zorgsector”, vertelt Stephan Davidse, consultant bij Virtual Security. “Sophos Endpoint Protection is met een enkele console gemakkelijk in beheer en laat de klant eenvoudig zijn eigen policies voor groepen clients bepalen. Stek heeft het product zelf geïmplementeerd, wij hebben door training daarbij de puntjes op de i gezet.”
Timmer is erg tevreden over de begeleiding vanuit de partner. “Ik kan zelf een ochtend gaan zitten zoeken naar een oplossing, of ik kan de telefoon pakken en met onze partner in contact treden. Dan kan ik in tien minuten klaar zijn. Het mes snijdt aan twee kanten, want zo houd ik regelmatig contact met mijn leverancier. Zij krijgen daarmee op hun beurt het signaal dat ze niet vergeten worden en dat wij openstaan voor nieuwe aanbiedingen.”
“Alle machines die op het domein aangesloten zitten, beheren we vanuit het dashboard”, zegt Timmer. “We kunnen een volledige Active Directory scan doen, getroffen machines naar een map verslepen om opgeschoond te laten worden en voilà, het systeem doet zijn werk. Leerpuntje was wel dat we ontdekten dat voor de installatie de lokale firewall uitgeschakeld moet zijn.”
Belang endpoint beveiliging
Bescherming van gegevens van zorgprofessionals en hun cliënten wordt steeds lastiger, erkent de it-manager. “Steeds meer malafide sites maken gebruik van HTTPS/SSL, wat maakt dat firewalls lastiger zaken kunnen opmerken die niet deugen. We worden dus steeds afhankelijker van goede endpoint beveiliging. Maar ook hierin is het niet de techniek die mij zorgen baart, maar meer nog de mens, want die klikt uiteindelijk.”
Over Stek Jeugdhulp
Een eigen stek hebben is ergens thuishoren. Een plek hebben waar je je goed voelt. Geborgen bent. Een plaats waar groei en ontwikkeling mogelijk zijn. Waar het veilig is en waar je weet dat je ertoe doet. Met je talenten en tekortkomingen. Met dromen en verlangens. Een plek in de maatschappij die je zelf in mag nemen. Soms geholpen met een duw in de goede richting door anderen.
Stek Jeugdhulp werkt daarom met kinderen, jongeren en hun ouders aan het oplossen van hun problemen bij opgroeien en opvoeden. Dit doen ze in gezinnen thuis, in de kinderopvang, op school en in kleinschalige voorzieningen met diverse vormen van ambulante hulp, met dagbehandeling en 24-uurs zorg. Dag in dag uit. Met enthousiaste en betrokken medewerkers die graag het verschil maken.
Wat u kunt doen om op korte termijn te voldoen aan de meldplicht datalekken
Encryptie wordt door de Autoriteit Persoonsgegevens en door de EU gezien als een passende maatregel om het lekken van data tegen te gaan. Het is de fundering van iedere informatiebeveiligingsstrategie. Alvorens u die strategie in een plan omzet, stelt u zichzelf eens de volgende vragen:
- Hoe komen gegevens uw organisatie binnen en hoe verlaten ze die weer?
- Hoe gebruiken de mensen binnen uw organisatie de gegevens?
- Wie heeft er toegang tot uw gegevens? Dit geldt zowel voor collega’s als voor klanten!
- Waar bevinden uw gegevens zich?
Vervolgens kunt u aan de slag met de implementatie van:
- Passende beveiligingsmaatregelen, zoals encryptie.
- Een duidelijk databeschermingsbeleid voor persoonsgegevens.
- Het aanstellen van een functionaris voor gegevensbescherming (geldt niet voor het MKB).
