Op donderdag 18 juni organiseerden wij Zenya Connect: 3 perspectieven op informatiebeveiliging in Van der Valk Utrecht. Met een groep CISO's, Security Officers en compliance-professionals uit de zorg hebben we vanuit drie verschillende perspectieven stilgestaan bij de vraag: hoe houd je als zorgorganisatie echt grip op informatiebeveiliging in een steeds complexer wordend landschap?
Van normgedreven compliance naar risicogedreven beheersing door Radboudumc
Sander Vols (Radboudumc) deelde hoe het academisch ziekenhuis informatiebeveiliging structureel heeft ingebed met Zenya als centraal ISMS. Met ruim 14.000 medewerkers en meer dan 31.000 operaties per jaar is digitale continuïteit bij Radboudumc geen randvoorwaarde; het ís de zorgverlening.
Een belangrijk inzicht: Radboudumc koos bewust voor een risicogedreven aanpak in plaats van normgedreven compliance. Zij bouwden eerst een eigen control framework op basis van hun risicoprofiel, met meer dan 120 beheersmaatregelen gekoppeld aan concrete dreigingen, en mappen externe normen (NEN 7510, ISO 27001, NIS2, DigiD, AI Act) vervolgens op die interne controls.
Daarbinnen bleek de checkfase cruciaal. Sander illustreerde dit met een krachtige metafoor: een dijk. Je kunt blijven investeren in het verhogen ervan, maar kleine scheuren die onopgemerkt blijven, vormen uiteindelijk een serieus risico. Hetzelfde geldt voor security controls; de grootste kwetsbaarheden ontstaan niet door ontbrekend beleid, maar door maatregelen die langzaam minder effectief worden.
Radboudumc monitort continu de werking van hun controls in Zenya, maakt afwijkingen zichtbaar in dashboards en koppelt die direct aan eigenaarschap en verbeteracties. Daarmee ondersteunen zij de volledige PDCA-cyclus én verlagen zij de auditdruk aanzienlijk.
Integraal grip op security, privacy, AI en continuïteit door Zuyderland
Michel Gulpen (CISO, Zuyderland) opende de parallelsessies met een blik op hoe Zuyderland informatiebeveiliging heeft doorontwikkeld tot een integraal governance-framework. Met ruim 10.000 medewerkers, vier ziekenhuislocaties en meerdere GGZ- en ouderenzorglocaties is de organisatorische complexiteit groot, en daarmee ook het cyberrisico.
Een sterk praktijkvoorbeeld was hun aanpak rondom applicatie- en leveranciersmanagement. Met circa 500 applicaties en 600 leveranciers in beheer heeft Zuyderland uitgebreid inzicht opgebouwd in waar data zich bevindt, welke systemen kritisch zijn en welke afhankelijkheden cloudgebruik creëert. Daarbij combineert Zuyderland security-, privacy- en architectuurbeoordelingen binnen één gestroomlijnd proces: iedere nieuwe applicatie wordt niet alleen op technische beveiliging beoordeeld, maar ook op dataclassificatie, privacy-impact en bedrijfscontinuïteit.
Twee andere rode draden in de sessie: bestuurlijk eigenaarschap en de opkomst van AI. Zuyderland rapporteert maandelijks over strategische risico's en verbeterplannen richting bestuur, zodat risico's niet in rapporten blijven hangen, maar leiden tot concrete actie. En met de AI Act in aantocht wordt AI-governance inmiddels langs dezelfde assen beoordeeld als security, privacy en continuïteit.
De kernboodschap: volwassen informatiebeveiliging draait niet om méér losse controles, maar om samenhang.
Informatiebeveiliging integraal organiseren: de kracht van één centraal systeem door Higher Mountains
Marien van Dis (Higher Mountains) sloot af met een heldere boodschap: stop met het benaderen van compliance als een verzameling losse verplichtingen.
Voor veel zorgorganisaties stapelen de eisen zich op: NEN 7510, AVG, de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten, AI-governance en leveranciersrisico's. De reflex is vaak om ieder nieuw kader als een apart project te behandelen. Maar precies daar ontstaat complexiteit.
Een opvallend inzicht: organisaties die informatiebeveiliging al serieus hebben ingericht volgens NEN 7510, beschikken in de praktijk al over 90 tot 95 procent van de benodigde basis voor de Cyberbeveiligingswet. Dat verandert de vraag fundamenteel van "hoe voldoen we aan nóg een nieuwe wet?" naar "hoe brengen we bestaande controls, risico's en verantwoordelijkheden slimmer samen?"
Higher Mountains benadrukte ook de verschuiving van documentgedreven compliance naar control effectiveness. Een crisisplan dat nergens wordt geoefend, helpt weinig. Een back-upstrategie is pas waardevol als herstel aantoonbaar werkt. En een leverancierscontract biedt pas zekerheid als ketenafhankelijkheden echt inzichtelijk zijn.
De sessie eindigde met een oproep aan bestuurders: cyberweerbaarheid kan niet worden gedelegeerd naar één CISO of FG. Bestuurders hoeven niet alle technische details te kennen, maar moeten wel weten waar de grootste risico's liggen, welke keuzes gemaakt moeten worden en welke risico's acceptabel zijn.
Interactie en kennisdeling
Naast de inhoudelijke sessies was er volop ruimte voor uitwisseling tussen deelnemers. Thema's als leveranciersmanagement, bestuurlijke betrokkenheid en de praktische implementatie van de Cyberbeveiligingswet leidden tot levendige discussies en herkenning. We kijken terug op een inhoudelijk rijke dag. Dank aan alle sprekers en deelnemers voor hun openheid en bijdragen.
Wil je meer weten over de besproken onderwerpen? Bekijk de bijgevoegde samenvattingen en presentaties of neem contact met ons op.