Hoe GGD Hollands Noorden informatiebeveiliging naar een hoger niveau tilt

GGD Hollands Noorden staat klaar om de gezondheid van iedereen in de regio Noord-Holland-Noord te bevorderen. De organisatie biedt preventieve diensten zoals vaccinaties, jeugdgezondheidszorg, infectieziektebestrijding en gezondheidsadvies. Of het nu gaat om preventieve zorg voor kinderen of reizigersvaccinaties, de GGD zorgt ervoor dat de regio gezond blijft. 

“Als gezondheidsinstelling voor zestien gemeenten verwerken we op grote schaal vertrouwelijke persoons- en andere gegevens”, vertelt Heleen Kooi, Teamleider Informatiemanagement bij GGD Hollands Noorden. “We wilden van een incidentgedreven werkwijze de stap maken naar een risicobeheersende en proactieve aanpak, zodat we incidenten beter kunnen voorkomen.” Om deze stap te zetten koos de organisatie voor de implementatie van een Information Security Management System (ISMS). Dit is een organisatiebrede aanpak die de belangrijkste risico’s in relatie tot mensen, processen en technologie in kaart brengt en een continue verbetering realiseert. De aanwezigheid van een ISMS draagt bovendien bij aan het behalen van een NEN 7510-certificering, de norm voor informatiebeveiliging in de gezondheidszorg. Met een ISMS kun je immers aantonen dat je de juiste beveiligingsmaatregelen hebt getroffen, en dat deze effectief zijn in het beschermen van informatie. Het gaat hierbij om ‘de opzet, het bestaan en de werking’ van de maatregelen, oftewel het vastleggen, functioneren en in de praktijk operationeel zijn van de maatregelen. 

GGD Hollands Noorden maakt gebruik van bijna 130 systemen. Om een goed beeld van deze systemen te krijgen, heeft ilionx een risicoanalyse van de meest belangrijke IT-systemen uitgevoerd. Daarnaast heeft ilionx verschillende medewerkers geïnterviewd over hoe ze in hun dagelijkse werk met informatiebeveiliging omgaan. Uit deze analyse kwam duidelijk naar voren waar de zwakke plekken in de organisatie zaten en welke maatregelen noodzakelijk waren om de situatie te verbeteren. Heleen: “Hierbij werd niet alleen naar de techniek gekeken. Zo bleek bijvoorbeeld dat werkruimtes niet geluidsdicht waren en dat er via de ramen onvoldoende privacy in afgeschermde ruimtes was.” Daarom werd ervoor gekozen om de ruimtes geluidsdicht te maken en de ramen met stickers af te plakken.  Op deze manier kon GGD Hollands Noorden de vertrouwelijke gegevens waarmee dagelijks gewerkt wordt beter beschermen. Na de interne risicoanalyse heeft ilionx de opzet voor het ISMS bedacht. Heleen: “De brede aanpak, waarin techniek, processen en omgevingsfactoren samenkomen, zorgde voor een overzichtelijke structuur. En het maakte goed duidelijk welke stappen we moesten nemen om de situatie te verbeteren.”

Bij de implementatie van het ISMS is er rekening mee gehouden dat medewerkers van GGD Hollands Noorden primair zorgverleners zijn, en geen IT-professionals. Dat betekent dat ze tijdens hun dagelijkse werk niet te veel gehinderd mogen worden door ingewikkelde procedures. “We zijn erg blij met de realisatie van het ISMS. Deze oplossing legt kwetsbaarheden en risico’s binnen onze organisatie bloot. Daarnaast zorgt het voor een plan van aanpak voor het verbeteren van de gegevensbescherming”, verduidelijkt Heleen. Ter ondersteuning van het ISMS heeft GGD Hollands Noorden gekozen voor een GRC-platform. ilionx hielp met de implementatie ervan. “Alle inspanningen met betrekking tot het ISMS zorgen ervoor dat we de informatiebeveiliging naar een hoger niveau tillen. Met het oog op onze ambitie de NEN 7510-certificering te halen, hebben we inmiddels al grote stappen gemaakt. Zonder de hulp van ilionx waren we nu lang niet zo ver geweest”, besluit Heleen tevreden.