Op 11 maart organiseerden wij samen met Innervate een inspirerend kennisdeelevent over ISMS in het Van der Valk Hotel Eindhoven. Met een diverse groep CISO’s en Security Officers van Limburgse en Brabantse zorgorganisaties hebben we waardevolle inzichten gedeeld en de belangrijkste ontwikkelingen op het gebied van digitale veiligheid besproken.

Benchmark NEN7510

De dag begon met een presentatie van Innervate, waarin zij de resultaten van hun recente NEN 7510-benchmark deelden. Deze benchmark, ontwikkeld over een periode van vier jaar, helpt zorgorganisaties hun informatiebeveiliging meetbaar en vergelijkbaar te maken. Sven Kort (Innervate) nam de deelnemers mee in de methodologie: van interviews en controlechecks tot het analyseren van bewijsmateriaal. Hij benadrukte hoe de benchmark zorginstellingen inzicht biedt in hun volwassenheidsniveau en welke stappen nodig zijn om niveau 4 (‘beheerst en meetbaar’) te bereiken. Opvallend is, maar niet geheel verrassend volgens de deelnemers, dat de NEN 7510 deel I met 39% laag scoort. Er is nog (veel) werk aan de winkel wat dit betreft. Aandachtsgebieden zijn structurele naleving, het beheer van informatiebeveiligingsincidenten en continuïteitsmanagement. Deel II scoort beter, namelijk 73%. Helaas ook nog niet boven de gewenste 80%.

De discussie richtte zich ook op de uitdaging om digitale veiligheid structureel te integreren in de organisatiecultuur, in plaats van het als een ‘moetje’ te benaderen.

Praktijkcase Zuyderland

In een boeiende presentatie nam Michel Gulpen (CISO, Zuyderland) de deelnemers mee in de driejarige reis van Zuyderland naar hun NEN 7510-certificering. Hij deelde niet alleen de stappen die genomen zijn – van beleidsvorming en risicomanagement tot implementatie en audits – maar ook de uitdagingen en leerpunten. Michel heeft alle 114 maatregelen samen met eigenaren doorgenomen. Iedere maatregel is voorzien van:

• Een beschrijving (de eis);
• De visie en het beleid van Zuyderland;
• De verklaring hoe hiermee om te gaan;
• De controletaken (proactief en reactief);
• Eventuele verwijzingen naar relevante documenten;
• Alle verantwoordelijkheden volgens de RASCI-tabel.

Iedere maatregel is zo voorzien van controletaken die door eigenaren periodiek worden uitgevoerd. De deelnemers waren onder de indruk, maar gaven aan dat zij niet de beschikking hebben over een heel team van specialisten, wat Michel inmiddels wel heeft. Mede door deze aanpak is Zuyderland met veel complimenten gecertificeerd.

Een cruciale factor in hun succes was het betrekken van de hele organisatie bij informatiebeveiliging, inclusief het management. Michel heeft regelmatig overleg met de RvB over risico’s en voortgang. Door een gestructureerde aanpak en het gebruik van tools zoals Zenya werd compliance niet alleen aantoonbaar, maar ook werkbaar.

In drie jaar tijd is de score van zeer laag in zeer hoog veranderd. De lage score is overigens aanvankelijk ook gedeeld met de Inspectie met het bijbehorende verbeterplan. Dit heeft een positief effect gehad.

In Zenya heeft Zuyderland twee belangrijke processen ontworpen en geïmplementeerd: een exceptieproces en een BIA-proces. Samen met een goed uitgewerkt dataclassificatiebeleid zorgt dit voor borging en verbetering van informatiebeveiliging en inzicht in risico’s. Het BIA-proces geeft namelijk een oordeel over de risico’s.  Alle belangrijke risico’s worden tevens in Zenya Risk toegewezen en gemonitord.

De komende jaren richt Zuyderland zich vooral op het evalueren van leveranciers, het verbeteren van dashboarding en het meer risicogebaseerd beheersen van informatiebeveiliging. De sessie eindigde met een levendige Q&A, waarin deelnemers ervaringen uitwisselden en praktische tips kregen om hun eigen certificeringstrajecten te versnellen.

Risicogericht ISMS

Het programma werd afgesloten met een interactieve sessie, waarin deelnemers aan de hand van prikkelende vragen uitgedaagd werden na te denken over hun ISMS-aanpak. Eén opvallende uitkomst: slechts 5% van de aanwezigen had AI-risico’s al opgenomen in hun risicoregister. Dit leidde tot een interessante discussie over de snelheid van technologische ontwikkelingen en hoe organisaties hier proactief op kunnen inspelen.

Interactie en kennisdeling

Naast de inhoudelijke sessies was er volop ruimte voor interactie en netwerken. Deelnemers deelden praktijkervaringen en best practices, wat leidde tot nieuwe inzichten en samenwerkingen. We kijken terug op een zeer geslaagd event! Bedankt aan alle sprekers en deelnemers voor hun waardevolle bijdragen.

Wil je meer weten over de besproken onderwerpen of de resultaten van de benchmark? Bekijk dan de bijgevoegde presentaties en samenvattingen of neem contact met ons op!