In de zorg is het vierogenprincipe een vast gegeven. Of het nu gaat om een medische beslissing of een complexe interventie, een extra paar ogen voorkomt fouten en verhoogt de betrouwbaarheid. Maar hoe zit dat met informatiebeveiliging?
Bart Koppens, directeur bij Promeetec – is hier duidelijk over: “Veel organisaties vertrouwen blind op hun IT-leverancier, maar je blijft als organisatie natuurlijk zelf verantwoordelijk voor de wijze waarop zaken worden ingericht. Die verantwoordelijkheid kan je niet volledig bij een ander neerleggen. Het is jouw organisatie. Je wilt grip, maar wel door iemand met expertise.”
“Als organisatie werken we met patiëntdata zoals BSN-nummers”
Promeetec is al sinds 1998 een expert in het verwerken van informatie- en declaratiestromen binnen de zorgverzekeringswet (Zvw) en Wet langdurige zorg (Wlz). U kunt ze zien als ‘postkantoor’ van de zorg: Promeetec zorgt ervoor dat facturen correct worden geregistreerd en bij de juiste zorgfinancier terechtkomen.
Het verwerken van zulke gevoelige gegevens brengt grote verantwoordelijkheden met zich mee. Bart: “Als organisatie werken we met patiëntdata zoals BSN-nummers, adresgegevens en prestatiecodes. Het zegt iets over de gezondheid van een persoon, en dat maakt het bijzondere persoonsgegevens. Daarmee wil je uiterst zorgvuldig omgaan.”
Patiëntdata per mail: dat is iets van vroeger
Bij de beveiliging van die persoonsgegevens komt veel cybersecurity kijken. Dat zijn we nu gewend. Maar het is nog niet zo lang vanzelfsprekend. Bart vertelt: “Vroeger ontving men patiëntdata nog per mail. Dat was destijds heel normaal binnen de zorg. Maar sinds VECOZO nieuwe aansluitvoorwaarden introduceerde, is er veel veranderd. Daarin stond bovenaan: voldoen aan NEN 7510.”
“We wilden het gewoon goed doen”
Promeetec heeft door de jaren heen flink geïnvesteerd in internationale normen zoals ISO 27001/27701 en NEN 7510. “Die certificeringen zijn niet alleen een eis geworden, ze zijn ook een bewijs naar onze klanten. Het laat zien dat we professioneel met informatiebeveiliging bezig zijn.”
“Voor ons werd het een intrinsieke motivatie: we wilden het gewoon goed doen. Dat het goed voelt.” zegt hij. “Als je met gevoelige data werkt, moet je passende maatregelen nemen. Je moet als organisatie kunnen aantonen dat je professioneel met die data omgaat. Het geeft vertrouwen naar klanten én naar jezelf.
“Wegens geen klanten gesloten”
“Wat zijn mijn risico’s, en wat is het mij waard om mezelf daarvoor te beschermen?” Die vraag houdt hem dagelijks bezig. “Je wil niet de eerste zijn waarbij je een bordje omdraaien van ‘Wegens geen klanten gesloten’, omdat je doelwit bent geworden van een cyberaanval en er veel data verloren is gegaan of op straat is komen te liggen.”
Dit soort keuzes hebben volgens Bart ook gevolgen voor aansprakelijkheid. “Je hebt met klanten ook altijd gesprekken over aansprakelijkheid. Dus als je het gaat hebben over een boetebeding, dan vragen ze: ‘Welke technische maatregelen heb je getroffen om dit te voorkomen?’ Maar als je lijst aan maatregelen gigantisch groot is, dan zullen ze minder snel zeggen: ‘X is nalatig geweest.’ Hoe risico-avers ben je? Hoe ga je ermee om?”
Al vroeg een SOC
Veel “concullega’s” investeren volgens Bart nog niet in SIEM-software of een Security Operations Center (SOC), terwijl deze tools juist waardevolle inzichten bieden. Promeetec koos er al vroeg voor om wél deze stap te zetten. Voor hem is een SOC dan ook geen twijfelgeval, maar een logische keuze voor maximale beveiliging en transparantie. Daarmee is Promeetec al geruime tijd goed voorbereid op de NIS2-wetgeving.Eerst in samenwerking met een andere organisatie. Nu in samenwerking met Cyberlab.
Waarom vier ogen nodig zijn in de IT-beveiliging
Hoewel Promeetec zelf veel kennis van IT in huis heeft, benadrukt Bart het belang van externe ondersteuning. “We hebben echt wel verstand van systemen,” zegt hij. “Maar kennis is niet oneindig. Je hebt een specialist nodig om kritisch mee te kijken. Een slager die zijn eigen vlees keurt, dat werkt niet.”
De ogen van Cyberlab
Cyberlab speelt een belangrijke rol in het borgen van de beveiliging. “Het zijn eigenlijk die extra paar ogen,” legt Bart uit. “Zij kijken mee en zorgen ervoor dat er niets aan onze aandacht ontglipt. Ze stellen de kritische vragen die je nodig hebt om scherp te blijven.”
De keuze voor Cyberlab was een bewuste: “We zochten naar een partij die dichtbij zit, met ervaring en kennis van zaken. Cyberlab sloot aan bij de SIEM-software die we al gebruikten, zoals Rapid7. Maar wat ik vooral waardeer, is het persoonlijke contact. Ze geven gevraagd én ongevraagd – maar broodnodig – advies.”
Continu verbeteren & het houden van grip
Cybersecurity is geen eenmalige checklist, maar een continu proces. “Normeringen zoals ISO 27001vereisen dat je constant blijft verbeteren. Cyberlab helpt ons daarbij. Ze wijzen ons op zaken die we zelf misschien over het hoofd zien.” Dit continu verbeteren is volgens Bart de kern van alle normeringen: “Het is fijn als een externe organisatie je daarop wijst.”
Met name het Security Operations Center (SOC) geeft Promeetec veel grip, volgens Bart. “Met een SOC laat je een externe partij meekijken. Dat geeft een onafhankelijk advies en biedt om die reden extra zekerheden. Het helpt ook om aan je klanten te laten zien dat je professioneel werkt.”
Samenwerken met een cybersecurity kennispartner
Een samenwerking met een externe kennispartner op het gebied van cybersecurity vraagt om een open houding. Bart: “De kritische vragen van Cyberlab waardeer ik heel erg in de samenwerking. Maar daar moet je wel voor open willen staan. Sommige mensen willen niets doen met advies. Wij denken: dat advies wordt niet voor niets gegeven.”
Softwaremodules laten testen op kwetsbaarheden
Daarnaast voert Cyberlab regelmatig een pentest uit op nieuwe softwaremodules. “We hebben laatst ook een pentest laten uitvoeren door Cyberlab. We wilden namelijk een nieuw stukje software laten toetsen. Daar wilden we onafhankelijk advies in. Zijn we niks vergeten? Dat hebben we toen ook gevraagd.”
“Als ontwikkelaar wil je het liefst zo snel mogelijk live” Gelukkig was Cyberlab ook snel. “En daar kwamen ook weer hele fijne adviezen uit. Niet zozeer technische kwetsbaarheden, maar ook echt meedenken. ‘Misschien kun je dit anders configureren.’ Dat houdt je als partij scherp. En dat vindt een ontwikkelaar ook heel erg fijn.”
Goed geregeld
Bart is zelfverzekerd dat de security aanpak van Promeetec niet alleen voldoet aan wet- en regelgeving, maar ook echt standhoudt in de praktijk. “Je wilt in de spiegel kunnen kijken en zeggen: we hebben het goed geregeld. Dat vertrouwen geven we door aan onze klanten. En daarvoor hebben we de expertise van een kennispartner als Cyberlab nodig.”
