Zuyderland Medisch Centrum borgt digitale zorgplicht met NEN 7510 

Risicogebaseerde inrichting  

Om te voldoen aan die digitale zorgplicht, wilde het ziekenhuis NEN 7510-gecertificeerd worden. Gulpen: “Dat normenkader helpt je om informatiebeveiliging goed en risicogebaseerd in te richten. Het gaat er vooral om dat je inzicht krijgt in je risico’s. Om daar vervolgens iets mee te kunnen doen.” Wie aan NEN 7510 voldoet, is bovendien deels klaar voor de Europese NIS2-richtlijn.   

Gulpen: “Zuyderland is een grote organisatie. Het is lastig om zo’n certificeringstraject in je eentje te doen. Daarom vroegen we BDO om ons te ondersteunen.” BDO heeft veel kennis en ervaring met de implementatie van NEN 7510. De voorbije jaren ondersteunde BDO ook andere zorginstellingen op dit vlak, waaronder het Antoni van Leeuwenhoek. BDO beschikt over de kennis, kent de sector en spreekt de taal. Bovendien beschikt BDO over een bewezen succesvolle, stapsgewijze aanpak om zorginstellingen zoals Zuyderland NEN 7510-gereed te maken. “BDO valt op door hun pragmatische aanpak”, zegt Gulpen. “De mensen van BDO trekken samen met je op en zoeken steeds naar wat het beste past bij de organisatie. Daardoor krijg je beduidend meer adoptie in de organisatie. BDO maakt daarin echt het verschil. BDO zorgde dat we binnen afzienbare tijd NEN 7510-compliant waren. Samen hebben we een gezond fundament neergezet.”

  Het traject startte met een uitgebreide analyse. De NEN-experts van BDO maakten daarmee inzichtelijk wat het niveau van informatiebeveiliging was, welke risico’s het ziekenhuis liep en welke maatregelen in welke volgorde geïmplementeerd moesten worden. Dat klinkt eenvoudig, maar dat is het niet. Een ziekenhuis is immers een complexe omgeving met meerdere vestigingen, meerdere disciplines, tal van systemen, meerdere maatschappen en uiteenlopende verantwoordelijkheden. Gulpen: “Iedereen wil er graag iets van vinden.”   

“BDO zorgde dat we binnen afzienbare tijd NEN 7510-compliant waren. Samen hebben we een gezond fundament neergezet.”  - Michel Gulpen, CISO bij Zuyderland Medisch Centrum  

Gouden aanpak  

In nauw overleg met Zuyderland MC stelde BDO een verbeterplan op dat vervolgens stapsgewijs uitgerold werd. Gulpen: “BDO versnelde dat traject door templates, beleidsdocumenten en procedures aan te leveren, die we vervolgens samen passend maakten voor onze interne organisatie.” Het verbeterplan en de uitrol daarvan was echt een samenwerking tussen Zuyderland en BDO. Co-creatie, noemt Gulpen het. “Op basis van het beleid werkten we in een kleiner comité eerst een bepaald proces uit. Dat proces legden we voor aan de betreffende afdeling. In overleg met de afdeling zorgden we vervolgens voor maatwerk. Voor ons was dat de gouden aanpak.”  

Kennisoverdracht   

Een certificaat is mooi, maar niet genoeg. Omdat de wereld van informatiebeveiliging en cyberveiligheid zich voortdurend ontwikkelt, moet het ziekenhuis blijven werken aan veiligheid. Ook moeten ze continu blijven controleren of ze nog aan de norm voldoen. Kennisoverdracht was dan ook een belangrijk ingrediënt van het project. Ook daarin was BDO van echte waarde. Het Zuyderland Medisch Centrum kan de norm nu zelf onderhouden op basis van een Plan-Do-Check-Act-beheercyclus en is voornemens om het VVT-deel van de organisatie per 2026 te certificeren.  

Dataveiligheid blijft een belangrijk aandachtspunt in de zorg. In 2024 ontving de Autoriteit Persoonsgegevens maar liefst 6.873 datalekmeldingen. Wat zou Gulpen andere CISO’s van zorginstellingen aanraden die net als Zuyderland Medisch Centrum werk willen maken van dataveiligheid? “Zie security niet als een standaard vinklijstje”, zegt hij stellig. “Je moet het neerzetten als een strategisch thema binnen je organisatie. Zorg bovendien dat je commitment hebt van het bestuur. Als CISO heb je dat echt nodig; alleen dán kun je het echt laten slagen.”