De Citrix-crisis, de kaashack en gemeentedatabases die zo lek zijn als een mandje; het zijn allemaal voorbeelden van falende informatiebeveiliging. Een maatschappelijk gegeven waar ook zorginstellingen niet meer omheen kunnen. Ook Jeugdbescherming Amsterdam heeft te maken met data die gevoelig kan zijn voor zowel cliënten als haar medewerkers.
We spraken met Joris Foekema, teammanager IT bij Jeugdbescherming Amsterdam over dit thema en over de duurzame samenwerking die zij hebben met Aranea.
Informatiebeveiliging; staat het bij jullie op de agenda?
Zeker! Je moet jezelf, wat mij betreft, niet op een eiland zetten en verwachten dat je de wereld kunt overzien. De maatschappelijke trend dat incidenten, zoals de Citrix-crisis, alleen maar gaan toenemen zie ik ook. Het gaat gewoon vaker gebeuren dat er een informatielek zal zijn. Dus daar moet je je goed op voorbereiden.
Ook wij hebben te maken gehad met de Citrix-crisis. Op dat moment hadden wij het zo geregeld dat we input konden vergaren bij meerdere partijen om een volledig beeld te kunnen vormen. Daarna heb ik bij Aranea nagevraagd wat zij zagen en wat de juiste koers zou kunnen zijn. Wij hadden onze beveiliging binnen een dag geregeld. Anderen hebben de tent moeten sluiten en waren in paniek. Maar ik was ‘in control’ met de mensen om me heen.
Hoe komt het dat jullie zo snel konden handelen?
Als Jeugdbescherming Amsterdam zijn we al langere tijd met de ontwikkeling van onze IT bezig. We hebben (wettelijke) kaders als het gaat om de Jeugdwet, de NEN-norm en AVG. Het is aan ons om daar binnen te bewegen. Daarvoor zijn we samenwerkingen aangegaan met drie partijen. Eén partij is een hardware- en werkplekkenleverancier, de andere een applicatiepartij. De derde is Aranea. Een partij die de verbinder is tussen techniek, mens en de wettelijke kadering. Met deze partners hebben we geborgd dat ik de regie kan voeren als er een incident van deze omvang plaatsvind.
Hoe ervaart de organisatie deze maatschappelijke trend als het gaat om informatiebeveiliging?
De juridische ontwikkeling rondom AVG, waarbij meer gekaderd wordt, vind niet iedereen in deze organisatie gemakkelijk. Zo wilde een medewerker laatst een dossier delen met de politie, om van te leren. Zij had echter geen toestemming van de familie. In het verleden tekende de politie dan een geheimhoudingsverklaring. Het is de vraag of dat soort afspraken voldoen. Stel je voor dat iemand heeft bekend dat hij een moord heeft gepleegd; wat kan de politie daar dan mee doen? Dan volstaat een verklaring niet meer. Dat vind niet iedereen gemakkelijk, maar uiteindelijk doen we het in het belang van onze cliënten en voorkomen we dat medewerkers hierdoor in de problemen komen.
Maar voordat ik antwoord geef, wil ik wel zeker weten of het klopt. Want een heleboel kan namelijk wel. Zeker als je het hebt over een ondertoezichtstelling. Dan mogen we best veel delen. Maar dat moet je dan wel scherp hebben. Ook over dit soort vraagstukken hebben we dan contact met Aranea.
Hoe zijn jullie in contact gekomen met Aranea?
Enige tijd geleden wilden we een IT-strategie opstellen voor onze organisatie. Daar hebben we meerdere partijen voor uitgenodigd. Er was meteen een klik met de mensen van Aranea. Tijdens dat traject kwamen we ook aan de praat over AVG en informatiebeveiliging. Omdat onze samenwerking goed beviel hebben we ook dit stuk met hen opgepakt.
Wat is de meerwaarde van Aranea in dit vraagstuk?
Wat ik sterk vind is dat Aranea niet met een pak papier komt en dan zegt; zo moet je het doen. Nee, we leren in workshops en meetings veel meer hoe we het zelf moeten doen. En dat is wat zij doen. Ze durven kritische vragen te stellen en jou het werk te laten doen.
Ik geloof sterk in die benadering. Niet alles kant-en-klaar aanleveren, maar de organisatie het proces laten doorleven zodat ze begrijpen wat ze doen en gemotiveerd zijn om de bedachte stappen werkelijk te zetten. Natuurlijk ondersteunt Aranea ons ook op de vlakken waar we de kennis (nog) niet hebben.
“Ik heb teveel consultants die precies doen wat we vragen. Daar word ik niet altijd gelukkig van. Je hebt mensen om je heen nodig die zeggen; zullen we er nog even over nadenken of denk hier eens aan. Dat je dat gesprek met elkaar kan voeren is een teken van vertrouwen en dat het veilig is om samen te werken. En dat is echt belangrijk.”
Komt er een moment dat jullie de informatiebeveiliging helemaal zelf kunnen beheren?
Moeten we meer zelf gaan doen? Ja. Je wilt alles op orde hebben zodat je niet voor elk wissewasje iemand hoeft te bellen. Van handleidingen tot beleid; je kunt heel veel zelf doen. Maar wij zijn geen IT-bedrijf en willen dat ook niet zijn. Dus we zullen altijd iemand nodig hebben voor die diepgaandere vragen.
Vroeger was het allemaal heel technisch, maar nu is het veel meer kennisgericht waarbij belangen en wensen van specifieke gebruikers zwaarder tellen. Het onderwerp informatiebeveiliging is daarom nog lang niet uitontwikkeld. Ik voorzie dat over vijf jaar informatiebeveiliging iets is waar je een heel team voor nodig hebt binnen jouw organisatie, waar interne én externe mensen in zitten.
Wat zou jij andere zorginstellingen aanraden?
Het is zo’n specifiek gebied geworden dat je het in je eentje niet kunt overzien. Ik maak me dan ook wel zorgen over kleinere instellingen, die alles zelf moeten beheren en heel veel specifieke kennisgebieden moeten overzien.
Ik zie de effecten van het zelf doen in de Citrix-crisis; het groeide ons allemaal boven ons hoofd. Je hebt externe partijen nodig. Daarbij wel de nuance; je hebt ze niet nodig als partij die alles voor je uitzoekt zodat het dan kant-en-klaar is. Nee, je hebt een partner nodig die kritische vragen stelt, begeleidt, maar het uiteindelijk jou zelf laat doen en zelf laat begrijpen.
Zou jij Aranea aanbevelen?
Ik heb tot nu toe alleen maar te maken gehad met hoogwaardige professionals die me aan het denken hebben gezet en me uitdagen om zelf aan de slag te gaan en daarmee een duurzame aanpak neer te zetten. En dat vind ik een gezonde basis, waarop je met iemand langere tijd kunt samenwerken. Dus ja, ik zou ze aanbevelen. Anders zat ik hier niet.
