Op 6 april vond de eerste sectorsessie plaats van dit seizoen. Het succes van vorig jaar deed naar meer smaken. Evenals vorig jaar vonden de sessies plaats rondom een thema. Dit jaar waren dat: Cyber&Zorg, Cyber&Onderwijs en Cyber&Gemeente. Evenals vorig jaar plaatsen we van elke sessie enkele verslagen en een korte videosamenvatting.
Sectorsessie 1: Cyber&Zorg.
Gespreksdeelnemers:
- Jacob van der Vis, cyber- en securityexpert bij de Kamer van Koophandel,
- Roel Swijnenburg, bestuurder van een revalidatie- en reïntegratiecentrum en een zorgcentrum en bestuurslid van Werkgevers Drechtsteden (portefeuille Zorg),
- Pauline Woutersen, Information Security Office en Functionaris Gegegevensbescherming bij Stichting Pameijer (Zorgorganisatie die cliënten helpt bij wonen, werken en opgroeien)
Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee verzorgde de techniek.
Wico trapt af met een vraag om het gesprek op gang te brengen (wat vervolgens direct gebeurt, en zich op een ontspannen manier voortzet waardoor het geplande uurtje werkelijk omvliegt).
“Waar raakt het onderwerp cyber jullie organisatie/wat zijn de raakvlakken?”
Pauline: “Cyber heeft alles te maken met digitaal werken en dat doet vrijwel iedereen. Cyber heeft een beetje een technische ondertoon. Wij zijn Nen7510 gecertificeerd (informatiebeveiliging). Ik zie wel een verschil tussen informatiebeveiliging en cybersecurity. Bij cyber denk je toch eerder aan de technische kant, zoals internet en de cloud. Informatiebeveiliging gaat verder. Bijvoorbeeld ook op papier, hoewel dat steeds minder voorkomt natuurlijk. Je moet je informatie/data en de mensen beschermen met organisatorische en technische maatregelen. Cyber is ongrijpbaar voor mensen en lastig om tastbaar te maken. Voor iedereen betekent het weer iets anders”.
Jacob: “We moeten ons veel meer de waarde van data realiseren. Data is veel makkelijker beschikbaar en uitwisselbaar dan vroeger. Toen ging dat op papier (boek). Dat liet zich een stuk moeilijker delen. Bovendien was het heel veel werk om die data in boekvorm samen te stellen. Nu kun je met een enkele muisklik data ophalen en koppelen. Kijk naar een recent voorbeeld waarbij vanuit een database duidelijk wordt welke auto er voor je deur staat. Zou dat in een boek staan, dan zou slechts een enkeling daarvan op de hoogte zijn. Wij hebben mensen aangesteld die bewustwording rondom privacy vergroten bij het voltallige personeel. Neem nooit papieren informatie mee naar je werk om het daar weg te gooien want je weet nooit wie er in jouw papier kijkt, zeker niet in een gemakkelijk toegankelijke ruimte. Zelfs je prullenbak is niet veilig. In de praktijk is bijna elke ruimte makkelijk toegankelijk. Neem maar eens een taart mee naar een kantoor, grote kans dat je zo door kunt lopen. Daar zouden we vroeger nooit over nadenken”.
Pauline: welke info is belangrijk voor onze organisatie en welke risico’s lopen we daarmee? Probeer je basis hygiëne op orde te houden. In de Zorg is het op orde houden van datakwaliteit vaak nog niet echt een functie. De nadruk ligt veelal of op mensen of op techniek. Het is hard nodig om die 2 werelden bij elkaar te brengen.
Je kunt nu bij zaken waar je vroeger niet bij kon en die wellicht niet voor jou bestemd zijn. Vroeger had je alleen je eigen papierwinkel, en die van collega’s was vaak niet toegankelijk. Is dit iets wat herkend wordt in de organisatie?
Roel: “Ik herken hierin wat ik zelf “rechtenvervuiling” noem. Je bent je wellicht bewust van zaken en rollen zoals die aanvankelijk zijn uitgedeeld, maar die veranderen in de tijd. Denk aan afscheid van medewerkers, zowel in goede als in slechte zin. Vroeger viel het op als je met een tas onder je arm met documenten wegliep, nu is het een kwestie van copy/paste en je beschikt over alle bedrijfsinformatie. Toegankelijkheid van data is een uitdaging. IT is vaak geoutsourced, waardoor je minder overzicht hebt. Wij zijn niet groot genoeg om zelf aan alle veiligheidscriteria te voldoen. Er is een gat tussen de dienstverlener en eindgebruiker. Balans tussen veilig en functioneel en privacy is erg moeilijk te vinden. Arbo/revalidatie/Privacywetgeving/re-integratie loopbaanadvies: allemaal kennen ze hun eigen softwareoplossingen. Integratie is niet te doen en niet te betalen.
We hebben veel devices, veel koppelingen en applicaties. Als ik vergeet uit te loggen op een device, wat een gebruikersactie is, dan kan ik gedurende een aantal dagen op elk ander device zo verder werken. Dat is behoorlijk riskant. Kun je tussen cloudapps hoppen? Wij hebben bijvoorbeeld veel apparatuur aangesloten op IoT.
(Red.: Internet of Things, via internet aangesloten apparatuur) Dat wordt gemonitord op verschillende devices. Het vinden van de balans tussen veilig, functioneel en praktisch toepasbaar of werkbaar is vaak heel erg moeilijk. Veel mensen werken vanuit huis (veel schijnveiligheid). Wat opvalt is dat de overheid van alles eist, maar dat de eisen vanuit de diverse instanties vaak conflicteren”.
Er ontstaat vervolgens een leuke discussie over allerlei zaken die mis kunnen gaan en waar je op moet letten versus de vraag “hoe vaak komt het dit nu eigenlijk voor en wat kun/moet je er allemaal aan doen”? Hierover meer in het volgende verslag.