#09 - Van lokale overheid naar zorg: wat is anders en wat niet? (met Leon Post)
Hey, welkom. Leuk dat je weer luistert naar Keep Talking. In deze negende aflevering ga ik, Renco Schoenmaker, in gesprek met Leon Post. En Leon was jaren de SISO van de gemeente Hardenberg. En inmiddels is hij de SISO van het Isala ziekenhuis in Zwolle.
Renco:En met Leon praat ik over de verschillen tussen de gemeentelijke wereld en de zorgwereld. Wat is daar nou anders? Wat is daar nou hetzelfde? Leon vertelt ook over de NEN 7510 audit die hij recent had en wat daar allemaal bij komt kijken. Al met al een leuke, dynamisch, interactief gesprek waarvan ik hoop dat je er met veel plezier naar zult luisteren.
Renco:Ja, dit keer een opname, niet vanuit een gemeentehuis of vanuit een statig stadhuis, maar ik zit hier in een heel mooi modern gebouw in Zwolle en niet zijnde de gemeente, dus dat is al een unicum. Ik zit hier in het Isala ziekenhuis tegenover Iedereen kent hem als de Siso, voormalig Siso van de gemeente Hardenberg, maar tegenwoordig CISO van het Isala ziekenhuis. Leon Post.
Leon:Ja, hallo, goeiemorgen of middag, meneer hoe luistert. Ja. Ja, het is trouwens het is Isala.
Renco:Ja. Ik moet de klemtoon moet anders.
Leon:Ja, ja, dat is mij in de eerste weken hier heel veel benadrukt.
Renco:Ja. Ja, ik woon in Zwolle en ik zeg het dus al jaren.
Leon:Iedereen zegt het verkeerd, ja.
Renco:Isala? Ja. Oké, nou correctie. We we gaan er niet de intro nieuw voor opnemen, maar ik zal proberen mijn leven te beteren. Ja.
Renco:Hé Leon, wij kennen mekaar een beetje in de zin dat we allebei actief Nou, we waren allebei actief in gemeenteland op gebied van informatiebeveiliging.
Leon:Dat klopt, ja.
Renco:En ja, jij maakte op een gegeven moment bekend dat je ging overstappen. En toen dacht ik nou dat dat vraagt om een podcast opname.
Leon:Ja, dan snap ik de reden. Ja, ja, waarom verlaat je het warme nest van gemeenteland? Ja, dat is toch
Renco:de, dat is toch eigenlijk wat iedereen zou moeten willen en jij gaat weg.
Leon:Ja, ja, dat zei, dat zei mijn omgeving ook. Je zit bij de gemeente, je zit toch goed?
Renco:Ja, je ook naar je zin volgens mij.
Leon:Ja, absoluut, ja, ja. Mijn mijn omgeving kent mij ook als een beetje rusteloos. Dus af en toe gaat het kriebelen en dan wil ik het weer oncomfortabel maken voor mezelf en dat is eigenlijk als ik nu terugkijk, want je reflecteert wel wat als je van baan wisselt, elke 3 jaar kriebelt er iets
Renco:Oké. En
Leon:ga ik ergens wat anders doen.
Renco:Er wel een soort patroon in bij jou.
Leon:Ja, blijkbaar wel. Dus over 3 jaar nogmaals ik op tafel. Ja ja.
Renco:En dat dat dat je je zei volgens mij net dat je het jezelf ongemakkelijk wilt maken of hoe noem je het nou?
Leon:Ja, beetje uit de comfortzone. Ja. Ja. Dus niet te veel comfort of niet veel routinematig. Ja, waarom weet ik ook niet, ik ga best wel goed op routine, maar dan dan kriebelt er iets.
Leon:Ik vond gemeente en vind nog steeds een hele mooie werkgever. Genoeg uitdagingen, komen ook nog op jullie af mag ik nu zeggen.
Renco:Ja, ik voel hem NIS 2.
Leon:Maar de andere kant denk ik ja, kijk het bedrijfsleven heeft me al wat minder getrokken. Ben mezelf ook niet zo commercieel ingesteld. Ik ben wel ooit voor mezelf begonnen erbij, maar ja, maar niet, dat moet nog groeien. Maar ja, de zorg heeft me altijd wel geboeid en ik ben nou wel klant geweest bij de zorg, niks ernstigs gelukkig, maar om er te werken leek mij ook een heel grote uitdaging. Juist omdat ik realiseerde me van ja, als er bij de gemeente iets misgaat qua informatiebeveiliging, dat kan gebeuren en dat kan ook wel echt gevolgen hebben, hebben we gezien voorbeelden te over.
Leon:Ik zal ze niet herhalen, want die komen vaak genoeg voorbij, dus het kan echt wel misgaan.
Renco:Maar niet niet missen als in een ziekenhuis toch?
Leon:Nou anders mis, precies. Wij ons werk als security mensen niet goed doen bij een gemeente dan heeft het gevolgen voor verstoring, uitkeringen die misschien niet uitbetaald kunnen worden. Dus het raakt mensen wel hun levensfeer denk ik, dat ze daar last van kunnen hebben.
Renco:Maar zelfs gegevens die per ongeluk gelekt worden, gevoelige gegevens die op straat komen.
Leon:Ja precies, nou dat dat is bij een ziekenhuis allemaal ook zo, maar patiëntveiligheid, dus het welzijn van de patiënt, als dat geschaad wordt, je het over hele andere gevolgen. Die impact voelde ik wel toen ik solliciteerde. Ik denk ja, dit is wel een stapje hoger, wel iets anders. Voelde ik.
Renco:Het voelt wat urgenter of zo? Tastbaarder is het
Leon:denk ik. Als een ziekenhuis geen informatie heeft of informatie is niet betrouwbaar meer, is het echt heel gevaarlijk voor patiënten.
Renco:Dan kan het echt alle leven en dood situaties zijn.
Leon:In het ernstigste geval wel en er wordt heel veel gedaan om dat te voorkomen. Je wilt ook niet afhankelijk zijn ICT en informatie, maar dat wordt je wel steeds meer. Dus ja, voelde ik wel, die impact. Toen heb ik toch maar gesolliciteerd.
Renco:Hoe waren die hoe waren die eerste weken?
Leon:Nou, ze zeiden hier, je hebt 100 dagen om kennis te maken. Dat is de inwerkperiode.
Renco:Nou, lijkt wel alsof je een soort politicus bent, weet je wel? Ga je eerst het land door, de 100 dagen? Beeldvorming.
Leon:Maar tegelijkertijd wist ik ook dat Isala voor een audit stond, de NEN 7510 audit die eigenlijk gewoon gehaald moest worden en moet worden. Dus het was een een kennismaking. Ik had me de kennismaking anders voorgesteld. De mensen die ik sprak, het was gezellig in het begin, maar ze moesten ook wat van mij of van de organisatie.
Renco:Binnen een paar minuten roteerde jij het gesprek naar
Leon:Ja, hoe was de koffie en waar gaat het mis?
Renco:Even terug naar de NEN 7510.
Leon:Ja, dat moet. Heb al gezegd misschien moeten we nog maar eens een keer een tweede kennismaking doen als die oud achter de rug is. Tegelijkertijd er wel heel erg een verbeter drive in het ziekenhuis hier en daar is informatiebeveiliging 1 van. Zo'n auto toont wel aan waar je kan verbeteren.
Renco:Maar die 2 dingen, 100 dagen kennis maken en altijd begeleiden of zien te halen, waren wel lastig met elkaar te combineren?
Leon:Ja, was wel lastig. Het grappen wel te denken. Je
Leon:krijgt
Renco:ander beeld van de organisatie,
Leon:je krijgt heel snel een beeld van de organisatie. Je kan overal meekijken, deuren gaan open, maar je krijgt ook niet een reëel beeld van organisatie hoe je werk eruit zou zien de koude fase, op het moment dat het wat afgekoeld is en dat je gewoon de normale werkzaamheden van de CISO doet, in hoeverre die normaal zijn.
Renco:Je hebt het over je eigen werkzaamheden? Ja,
Leon:ja, ja.
Renco:Je was zo gericht op die audit, was met stip op 1. Maar je doet natuurlijk nog, als je geen audit hebt, je ook werk als CISO.
Leon:Precies, ja. Dus die taken probeer je erbij te doen. Je wil je zichtbaarheid vergroten als je zo, je wil benaderbaar zijn, hoewel bij de gemeente was dat wel te doen, was je wel bekend of iedereen kende je en er waren wel lijntjes. Hier werken 7000 man, dus ik ga niet overal komen, realiseer ik me nu al.
Renco:Nee, dat wordt wel lastig.
Leon:Ja, maar dat maakt het inwerkperiode wel maar ook wel een kans om alles te zien.
Renco:En in jouw overstap als je van de gemeente nu naar de zorg, van een gemeente naar het ziekenhuis. We hebben het al even gehad over die impact, die urgentie die je voelt. Je sprak een ander woord net, maar het gaat om mensen die hier zorg krijgen. Als die informatie niet klopt of
Leon:niet is, tastbare, zichtbaar.
Renco:Ja, precies. Dat is een groot verschil ten opzichte van gemeenten, waar het wat indirecter is zou je kunnen zeggen, wat minder tastbaar soms wat we doen. Hoe merk je nog meer verschillen? Bijvoorbeeld in hoe de vanuit bovenaf gestuurd wordt op dit beleidsterrein of hoe de security organisatie eruitziet? Is dat vergelijkbaar met gemeenteland of ziet dat er heel anders uit hier?
Leon:Nee, ik denk dat de CISO-rol zelf is anders, maar die zal overal anders zijn. De vacaturetekst is overal hetzelfde, toch vult iedereen hem anders in. De organisatie ziet er ook anders uit. ISA heeft wel een stafafdeling natuurlijk hè, dan noem ik I&I en facilitair en natuurlijk ook bestuurs.
Renco:I&I staat voor informatie en ict hè?
Leon:Ja, zo heet dat hier I&I. Is niet mijn keuze, maar dat is prima. Is op een gegeven moment duidelijk en dat is wel een stuk, maar het draait om het medische. Daar is waar het geld naartoe moet en gaat en waar de productie gedraaid wordt, wordt het eerder gezegd. Ja, dat
Renco:is wel duidelijk het primaire proces.
Leon:Ja, precies.
Renco:Daar hoor jij niet bij.
Leon:Daar hoor ik niet bij, dan sta ik aan de zijlijn. Hoe
Renco:draag jij dan bij aan dat primaire proces? Want dat klinkt ook nog wel redelijk indirect.
Leon:Ja, nou ja, je moet leren en dat moet ik nog leren. Dat is mijn uitdaging ook, taaltje leren spreken van de medici en wat hier de drijfveren zijn. Als die patiëntveiligheid heel belangrijk is, dan moeten we die taal gaan spreken. Wat draagt informatiebeveiliging bij aan patiëntveiligheid?
Renco:Ja, dus de brug slaan naar dat primaire proces. Jij moet aansluiten bij het primaire proces, anders dan gaat het niet snel gebeuren waarschijnlijk.
Leon:Nee, ik kan niet iedereen omkeren tot informatiebeveiliging, denk Nee, is overal zo. Je bent ondersteunend als informatiebeveiliging en informatiebeveiliger. Merk je ook. Audit zijn ze ook wel gewend, daar gaan we het misschien zo nog even over hebben, maar die waren heel erg op patiëntveiligheid gericht en niet op informatiebeveiliging. Terwijl er zijn wel raakvlakken, wel parallellen ertussen, dus ze weten hoe ze moeten houden, hoe ze met een auto om moeten gaan ook en toch is het anders.
Leon:Informatieervaring is toch wat verder van hun bed misschien.
Renco:Ik kan me voorstellen dat het voor jou best wel even tijd vergt voordat je zeg maar die switch gemaakt hebt. Je bent een aantal jaar Hoe lang heb je bij een gemeente gewerkt?
Leon:Ja, ik heb al met al 15 jaar bij gemeentes gewerkt.
Renco:Ja, is dat is dan de de context. Dus je hebt in die 15 jaar denk ik feilloos leren aanvoelen van hé langs welke as moet ik mijn verhaal brengen hé? Waar moet ik op aansluiten om de aandacht te krijgen die het nodig heeft of misschien de middelen te krijgen die het nodig heeft? Zorg dat managers hun verantwoordelijkheden nemen. Daar heb je een soort taal voor ontwikkeld.
Leon:Ja, politieke spel, maar dat heb ik ook altijd wel wat onbewust kunnen spelen gelukkig bij de gemeente, omdat je gewoon de mensen kent. Dus je gaat je zit veel meer een persoonlijke relatie, waar je ook dingen mee bereikt. Natuurlijk moet je af en toe formele stukken schrijven om middelen te krijgen en risico's aan te tonen.
Renco:Maar dan ben je eigenlijk informeel al een heel eind misschien.
Leon:Heel veel vorige heb je dus informeel al gedaan.
Renco:Dat is hier wel echt heel anders dan met 7000 collega's. Het bestuur is natuurlijk niet veel kleiner, maar nog steeds veel groter dan wat je gewend was bij de gemeente.
Leon:Ja, dus ik denk dat ik dezelfde uitdaging had gehad bij een grotere gemeente. Daar is het ook anders en moet je het ook anders insteken. De organisatie is ook anders. Ik had bij gemeente Hardenberg dan de luxe dat we voor elk relevant vakgebied of team waar informatiebeveiliging maatregelen specifiek lagen. Niet over bewustwording, dat ligt overal, maar waar echt maatregelen vanuit die
Renco:Bijvoorbeeld bij een facilitair.
Leon:Daar had ik een security officer zitten, in een rol of soms in een functie. Onnebide gezegd, er kwam een vraag binnen. Ik keek voor welke maatregel het was of welke vakgebied en ik stuurde het verzoek door en koppel het terug. Op die manier had je best wel een heel goede organisatie staan. Er is heel veel verloop in organisaties, dus daar ben je dan druk mee, om dat scherp te houden, om de noodzaak van zo'n security offer te zien.
Leon:Maar ik kon niet alle processen kennen en dat wilde ik ook altijd voorkomen. Nu is het gek, want nu wil ik eigenlijk heel veel processen leren kennen, je de omgeving wil leren kennen, maar met valkuil dat je in 1 keer een aapje op je schouder krijgt, een soort niet proces-eigenaar, wel de proces risico's mag dragen. Dat moet je voorkomen als CISO ten allen tijde.
Renco:Daarvoor neem je natuurlijk ook wel de nodige ervaring mee. Ik bedoel, hebben allemaal denk ik in onze carrière op dit gebied die fout gemaakt. Dat je iets signaleert, iets probeert voor het voetlicht te brengen bij iemand en dat iemand op een gegeven moment instemmend knikt, maar loopt zelf met de hé, je bent zelf de oplosser als je weer naar buiten loopt, dan ben je gaandeweg in dat gesprek ben je zelf degene geworden die het eigenlijk ook weer op moet lossen. Die die hé Ja, als je 15 jaren ervaring in de rugzak hebt, dan laat je toch niet kaas van brood daten?
Leon:Nee, ik had me ook voorgenomen om daar heel strak in te zitten, maar ik ben ook mezelf en ik merk ook dat ik altijd naar een oplossing wil zoeken samen, maar op een gegeven moment ben je het misschien te veel aan het voorkauwen, waardoor je die oplossing mag gaan verwerken.
Renco:Ja, dan word jij eigenlijk de oplossing.
Leon:Ja, precies. Ik doe dit 3 dagen per week, dus ik kan in technische termen geen single point of failure zijn. Het moet niet allemaal langs mij heen gaan. Ik wil wel gevonden worden, maar ik geef geen toestemming of draag hier geen risico's.
Renco:Nee, scharniert niet op jou.
Leon:Nee, als het goed is niet.
Renco:Doe je die andere 2 weken als ik zo vrij mag zijn? De andere 2 dagen in de week?
Leon:Ja, ik ben 2 dagen in de week docent op Windesheim, ook hier in Zwolle. Daar geef ik ICT vakken, maar ook informatie beveiliging. Wat
Renco:leuk. Van welke opleiding dan?
Leon:HBO-ICT en dan specifiek team Infrastructuur, Design en Security.
Renco:Wauw.
Leon:Ik heb er zelf gestudeerd en toen ik CISO werd had wat meer tijd. Het was een andere functie, dus toen ben ik het onderwijs ingerold en nu sinds januari werk ik bij Windesheim in Zwolle.
Renco:Dus ja, het is nu een kwestie van tijd voordat je ook naar Zwolle verhuist denk ik dan?
Leon:Ja, dat zou je denken, maar ik vind het fietsritje hier natuurlijk wel heel lekker om het hoofd leeg te maken.
Renco:Er is ook geen straf langs te vechten toch?
Leon:Nee, het is mooi. Veelsteren en Dalfsen en zie
Renco:je al die mooie omgeving.
Leon:Nee, dat voorlopig nog niet.
Renco:Is er ook een privacyorganisatie in het ziekenhuis?
Leon:Er is wel een FG, een FG de Geversbescherming. Die heeft ook heel veel werk in de audit verzet, daar ben ik heel dankbaar voor, moet ik nog even zeggen. Maar privacy officers dat zie ik nog niet niet terugkomen.
Renco:Het is niet iets wat jij in je portefeuille erbij hebt? De security, sowieso de chief security officer, maar niet ook privacyvragen gaan niet naar jou.
Leon:Nou, uit privacyvragen kunnen maatregelen rollen, maatregelen ben je wel van. Ik zit samen met de Functionaris Gegevensbescherming in de Autorisatie- en Privacycommissie, die zet ik voor, zo is dat geregeld hier. Oké. Nou, we gaan kijken hoe het werkt. Ik ben hier 2 maand, ga niet overal gelijk alles anders inrichten, dus dit werkt goed voor vraagstukken.
Leon:Die net tegen het beleidsrandje aan schuren van goh moeten we dit willen ja of nee. Daar zit de FG ook bij. Dan heb je die privacy vraagstukken wel, maar ik probeer er niet teveel stempel op te drukken. Het is wel belangrijk dat je weet wat er speelt.
Renco:Daar kan ik me alles bij voorstellen. Noemde net dat FG ook was bij de audits. Er zijn natuurlijk veel mensen die zich hard hebben ingespannen om zo'n audit te doorlopen. Wat ik me wel afvraag, ik zit natuurlijk in hetzelfde vak. Ik heb nog nooit bij een organisatie een audit begeleid à la 70001 of 75 10.
Renco:Dus ik snap dat je hé, je moet dat scopen van je sms scopen. Dat is wel een belangrijke. Ja. Het gaat natuurlijk heel erg om de rol van de directie en maar op een gegeven moment kom je dan op de beheersmaatregelen. Hè, dus de annex a, ik weet niet of die in den 7510 ook zo heet.
Renco:Ja. Nou, mooi. Heb je die annex a, daar staan alle beheersmaatregelen in. Volgens mij is het toch zo dat als je het certificaat ontvangt, dan is er ook gekeken naar die beheersmaatregelen. Maar is het nou gewoon dan een IT-audit?
Renco:Wat is nou het verschil tussen een certificering tegen 27001 of 7510 en dan specifiek geziend bedoel ik dan dus die annex a versus een IT audit op beheersmaatregelen, op general IT controls of zo? Wat is het verschil?
Leon:Ik snap je vraag. Het was ook mijn eerste audit en de Shoei, maar die deed in 1 dag. Deze audit heeft er 3.5 week vooruit getrokken op locatie.
Renco:Ik vind het echt heftig,
Leon:Hij deed in zijn eentje, dat had hij ook met zijn drieën kunnen doen en waren misschien in een week klaar. Dat vond ik intensief, maar ook wel een voordeel, want je hebt in 3 weken de tijd ook tijd om puntjes op de I te zetten. Dat geeft je tijd van een beetje van, nou dan komen we daar nog even op terug, schaven dat nog een beetje bij.
Renco:Omdat het niet allemaal op 1 dag hoeft te gebeuren.
Leon:Precies, je heel benieuwd naar nieuw beleid moet maken en moet inzetten en borgen, dat kan je in 3 weken niet doen. Maar als het een tekstueel net iets aangepast moet worden, dan is dat gewoon mogelijk volgens mij een audit in een out track van 3 en halve week zeker. Dus dat is het voordeel en het is een IT-audit plus, want je toont de werking van je ISA aan, je ISO 27001 voor de mensen die dat die taal spreken, maar die werking toets je. Maar hoe toets je die werking? Nou, door te kijken naar maatregelen, want je hoeft niet alle maatregelen gedaan te hebben.
Leon:Ja, het moet eigenlijk wel, maar als die sms goed werkt, die maatregelen vanzelf weer boven drijven van zijn ze effectief.
Renco:Ja, dat is dat cyclische karakter natuurlijk van het is ms.
Leon:Het hele pdc ja. En wat hij doet is gewoon, hij kijkt zeg maar alle maatregelen na en hij wil overal een opzet bestaande werking van zien, maar gaandeweg leert hij ook de organisatie kennen. Dus hij zal op sommige dingen meer inzoomen en sommige dingen minder. Dat gelooft hij wel. Dat is overal altijd wel geborgd.
Renco:Ja, oké. Maar ik hoor je wel zeggen, opzet bestaat in werking. Dat is best wel serieus. Als ik kijk naar Digiday, je noemde net zelf, is vooralsnog, nou ja, trouwens met ingang van volgend jaar ook een klein beetje werking, maar het is opzetten en bestaan. Dit klinkt wel zwaarder.
Leon:Soms is het zelfs dat je de werking aantoont en daarmee het opzetten en bestaan ook, maar dat is natuurlijk niet zo, maar zo is het ook wel eens door een audit heen gerold.
Renco:Met Digid, bedoel je dan?
Leon:Met Digid, ja. Ja, ja, Digid is wat vrijblijvender. Het gaat ook om een beperkt aantal systemen natuurlijk, alleen waar Digid is.
Renco:Ja, is beperkt.
Leon:Ja, die audit, vanuit de accountants weet ik ook dat die vooral op financiële systemen zit.
Renco:Voor in het kader van de jaarrekeningcontrole. Precies. Dat is wat ik net bedoelde met die general IT controls. Dan gaan ze bijvoorbeeld kijken naar toegangsbeveiliging, maar dan alleen op de applicaties waar veel poen doorheen gaat als ik het even oneerbiedig
Leon:gezegd. Want daar ligt dan het risico.
Renco:Precies, heel duidelijk een financiële invalshoek.
Leon:Ja, er ligt natuurlijk het imago risico, dat zie je daar niet terug in de IT-audit vanuit de accountant, maar hier kijk je vooral natuurlijk naar de patiëntinformatie. Dat zijn de kroonjuwelen, om maar te zeggen, organisatie. Waar zitten die in? Welk systeem is dat? Welk proces?
Leon:Waar landen die dan? Heb je daar ook controles op? Dat soort vragen zijn er gesteld en dat laat je gewoon zien.
Renco:Dus je moet wel heel veel documentatie hebben, denk ik.
Leon:Ja, dat is dan ook weer de valkuil, want dan ben je alleen maar documentatie aan het bijhouden.
Renco:Dan heb je opzet en misschien bestaande stukken nodig.
Leon:Je hebt gewoon beleidsstukken nodig en processen en procedures, maar die kan je bij wijze van gewoon van internet trekken. Associëren iets wel, maar dat is
Renco:Het papier produceren is niet het moeilijkst.
Leon:Het is niet het moeilijkst, maar die gesprekken met de beheerders bijvoorbeeld, zo'n ouder te vragen gewoon wat ik ook zou vragen van laat maar zien dan. Het staat hier, maar meestal heb je geluk dat een beheerder gewoon trots is in zijn werk en het goed voor elkaar heeft. Dan heb je een heel leuk gesprek en dan krijg je misschien nog een paar adviesjes van 'zo kan je het beter doen'. Want zo'n ouder heeft wat andere ervaring vanuit andere omgevingen, dat heb ik zelf dan ook. Dat is mooi.
Leon:Soms is dat niet zo, dan ben je heel erg aan het zoeken naar bewijs waardoor je zelf al een aantekening maakt van nou hier moeten we wel wat mee gaan doen. Pech, dat is geen pech, dit kan zijn dat je daar een bevinding uit haalt. Dat ouders zeggen van nou daar kom ik dus Of het is echt showstopper, het gaat niet door, de hele certificering.
Renco:Dat is het meest vervelende natuurlijk.
Leon:Ja, precies.
Renco:Ik weet niet wat de scope hier precies is. Doet ook verder niet ter zake wat mij betreft, maar het is best wel breed. Dus ja, je kunt niet overal een 10 halen, snap je?
Leon:Nee, dat kan je wel doen, maar dan heb je heel veel geld uitgegeven aan informatiebeveiliging denk ik. Ja, dat is
Renco:een hele mooie opmerking. Dus we hebben het vaak over passende beveiliging, dan zijn we vooral geneigd te zeggen nou, het moet niet te weinig zijn. Maar het is natuurlijk andersom. Als ik schoenen koop, moeten ze niet te klein zijn, maar ze moeten ook niet te groot zijn. Dan passen ze mij.
Renco:Dus ik probeer ook altijd bij een manager altijd te benadrukken dat het ook niet teveel hoeft te zijn. Dat is helemaal
Leon:niet nodig. Nee, en je bent ook geen securitybedrijf, dus je hoeft ook niet te zeggen van wij onderscheiden ons, we zijn het meest informatieveilige ziekenhuis. Daar krijg je geen patiënt meer voor. Het is geen marketing, het is gewoon het moet op orde zijn. Die basis moet op orde en plus je ambities.
Leon:Wat vind je zelf nog belangrijk waar het beter moet? Probeer iets voor te lopen op de basis op orde, want die basis wordt steeds zwaarder. Je moet steeds meer.
Renco:Vind jij dan met basis annex a van de NEN 7510? Is dat wat jij met basis bedoelt of is dat daar een subset van?
Leon:Nee, dat vind ik ook basis.
Renco:Dat is best wel een serieuze basis dan toch?
Leon:Ja, maar ik slaap altijd wel goed, maar dat geeft wel de rust om te zeggen van we hebben het op orde. Weet ik dat certificering geen is dat het niet ooit een keer gruwelijk mis kan gaan.
Renco:Maar
Leon:in het IS-MS zit ook een risico afweging.
Renco:Je hebt wel op de eerste 0.5 week gewoon een externe rondgelopen en die heeft gewoon zijn onafhankelijke oordeel. Ik bedoel, dat geeft toch wel enige mate van zekerheid, maar hoe deed je dat dan in je vorige job bij gemeentes? Want daar loopt niet in de audit 3 en een halve week met jou mee en toen sliep je ook rustig zeg je, maar daar had je minder zekerheid.
Leon:Ja, maar daar had ik wel heel veel aandacht voor het onderwerp, vertrouwen van bestuurders. Wederzijds, dat ik ook wist dat de bestuurders het echt wel belangrijk genoeg vonden, laat ik die woordkeus gebruiken, dat soort serieus namen. Maar inderdaad, je hebt altijd het risico op de blinde vlek en daar is een audit wel heel erg handig voor.
Renco:Ja, precies. Als gewoon allemaal naloopt uit die annex a, al die beheersmaatregelen, dan kan je op een gegeven moment zeggen nou dan dan heb ik het in beeld. Je bent misschien niet overal met vlag en wimpel geslaagd, maar je hebt wel een keer alles is de revue gepasseerd.
Leon:Ja, nou in mijn in mijn eerste jaar als CISO bij de gemeente Hardenberg dan, dus toen kwam ik echt vanuit de IT, heb ik heel hard mijn best gedaan om de gemeente ISO 27001 te certificeren.
Renco:Wauw, is inderdaad van gemeente.
Leon:Ja, best ambitieus hè? Vraag van leveranciers, laten we zelf dan ook alsjeblieft en we zijn daar heel ver in gekomen, maar toch merkten we dat het gewoon zoveel tijd kost en geld kost en tijd die de beheerder aan iets anders kan spenderen dat het gewoon als er geen stop is om mee te slaan, dat je dat heel moeilijk voor elkaar krijgt.
Renco:Er zit geen toezichthouder, een gemeente, op dit moment gebeurt dat niet, dat een toezichthouder de gemeente in de nek zit, die 70001 gecertificeerd moeten zijn. We hebben ook niet als collectief in de vorm van een VNG bijvoorbeeld afgesproken dat we dat gaan doen, zoals de provincies dat wel hebben afgesproken. Er zijn een heel aantal provincies die al inmiddels 27001 gecertificeerd zijn. Ja. Nog niet allemaal, maar in gemeenteland leeft dit minder, hebben we natuurlijk Daar ben ik nog wel even benieuwd naar.
Renco:In gemeenteland hebben we natuurlijk die bio hé, meeste aan informatiebeveiliging overheid, wat dan eigenlijk een vertaalslag is van de 27001, maar dan specifiek voor overheid.
Leon:Een afgekochte ISO, ja precies.
Renco:Ja, ja. Ja. De aanpak in gemeenteland is in mijn optiek meer gericht op doe nou gewoon wat in die bio staat. Daar staan alle verstandige beveiligingsmaatregelen eigenlijk al in hé. Ala 27002 implementeert die nou allemaal en dan zit er nog wel een beetje een strik omheen van risicomanagement, maar ik proef vooral, ik ben benieuwd hoe jij dat ziet, ik proef vooral, al deze maatregelen.
Renco:Dat is heel wat anders dan wat jij net doorlopen hebt in die audit met de NEN 7510 wat op dat ISMS deel zit.
Leon:We zijn het erover eens dat informatiebeveiliging risicomanagement is, toch?
Renco:Ja, dat zijn wij eens.
Leon:Als je dat een beetje holistisch gaat bekijken en ik ga gewoon per sector kijken. Welke sectoren moeten het dan heel goed voor elkaar hebben en welke moeten het gewoon doen en welke niet? Wordt er misschien wel gekeken naar de gemeentes van nou ja, we hebben nog geen stok om mee te slaan. Het hoeft nog niet, want de risico's zijn bij de zorg misschien, daar wordt meer op ingezet. Maar je kan wel zien aankomen dat die norm aangescherpt wordt en dat er voor de gemeentes het ook een verplichting gaat worden.
Leon:Nou, dat gaat met de NIS 2 al, dus eigenlijk is het gewoon ook risicomanagement, maar dan op branche niveau.
Renco:Ja, nog wat verder uitgezoomd.
Leon:Ja, dat gevoel heb ik wel.
Renco:Ja, want heel goed. Ik heb die dat al wel vernomen dat in die volgende bioversie dat risicomanagement nadrukkelijker een een plek krijgt. Ik worstel daar wel eens mee in de praktijk. Dat ga ik naar naar een manager toe met de boodschap dit zijn de maatregelen waar jij voor aan de last staat en ik help je of er zijn mensen die je helpen dat je ze ook neemt. We richten ook nog een proces in, als je nog een stapje verder bent, richten we ook een proces in waarin we kijken of je ze neemt.
Renco:Ja. Ja, of zeg je tegen een manager we gaan een risicoanalyse doen en vervolgens gaan we die risico's managen. Uiteindelijk doe je dat natuurlijk ook in heel veel gevallen door maatregelen te nemen. Je brengt die risico's terug door maatregelen te nemen. Je kunt ze ook accepteren, je kunt er andere dingen mee Ik vind dat toch een wezenlijk andere start van het gesprek met de manager.
Renco:Weet niet, misschien heb jij nog wel een derde variant hoor, maar wat was of is? Heb in
Leon:de worsteling helemaal. Ik zeg altijd risicomanagement als de basis op orde is. Er is een ondergrens en die ondergrens, dat is dan het werkende I-sms. Niet alle maatregelen, want de maatregelen pas hoe overleg uit vind ik te vrijblijvend, maar er is soms wel een uitleg mogelijk om dingen anders te doen. Die norm is geschreven voor alles, maar jij bent specifiek.
Renco:Past niet altijd perfect natuurlijk.
Leon:Maar die ISO-zeventigduizend 1, dat is de basis. Die moet staan, vind ik heel belangrijk. Maar dat vind ik
Renco:dan wel interessant, want wat jij dus met de basis op orde bedoelt, dat is niet per se hoe ik het andere mensen hoor uitleggen. Er zijn ook mensen die zeggen, ja, de basis op orde, dat zijn de de general art controls. Ik noem maar
Leon:wat.
Renco:Dat zijn de basis maten weet je, die moet je gewoon je moet gewoon je wijzigingsbeheer hebben lopen en je insint management. Dat zijn
Leon:dat is de basis op orde. Dan krijg ik het niet op strategisch niveau want dan is het oké dus als I&I het beste goed doet, dan we iets gedaan tegen ransomware als dat ooit uitbreekt, maar er zijn meer scenario's denkbaar en ik wil het bestuur geen pijn meer, maar ze mogen het wel voelen.
Renco:Dus wat jij bedoelt, jij zit eigenlijk veel meer op de procesmatige inbedding van informatiebeveiliging, wat jij onder basis schaart. Niet zozeer de veelheid aan maatregelen, die zijn ook belangrijk, die hangen daar ook wel onder. Die hangen daar natuurlijk nauw mee samen, maar dat vind ik leuk om te horen.
Leon:Ja, en ik ben een IT'er, dus ik heb altijd een voorliefde gehad voor die techniek, dus die maatregelen komen ook wel mee en ik vind het heel leuk om over te praten en bij te blijven, want daar verandert gewoon heel veel. Het ISMS is wel iets wat je kan bewaken. Ik heb mijn voorgenomen genomen in deze baan om echt de man van het ISMS te worden. Nou, dat is niet mijn ISMS, maar om dat heel strak te houden, want dan komen die risico's en die maatregelen die knellen vanzelf wel boven drijven. Nu met een audit gaat het heel snel.
Renco:Ja, dan heb je wel een vliegende start natuurlijk. Dit is een mooi vertrekpunt voor zo'n aanpak. Die aanpak zul je misschien ook wel juist hebben doordat je nu net een audit gehad hebt, maar dat geeft je natuurlijk wel de mogelijkheid om jezelf daarin op die manier te positioneren en te bekwamen. Je zegt net al eerder van het is een grote organisatie, dus die maatregelen worden op talloze plekken in de organisatie genomen. Er zijn ook applicaties die het ISMS proces kunnen ondersteunen.
Renco:Dat kan gaan van Excel tot weet ik wat de hele suites met allerlei risicomanagement tools en alles wat ertussen zit. Het maakt mij even niet uit wat, maar heb jij ook iets waarmee je dan hier zicht en grip op houdt? Want hoe zou je dat anders moeten doen in zo'n grote organisatie?
Leon:Nou, ook weer de ervaring die ik heb, is dat er heel veel mooie tools zijn. Bij de gemeenteland hebben we diverse gebruikt. Nou, dat zegt al heel wat. Ja,
Renco:is 1 compliment. Nee, precies.
Leon:En hier hebben we eigenlijk, doe het gewoon op basis van op dit moment, Excel en gewoon de stukken in mappen bijhouden. En de vastgestelde stukken, die leg je vast in je DMS met ondertekeningen en dat soort zaken en het werkt ook alleen het het zou mooi zijn als je wat tooling hebt want er nu wat administratieve last maar dat dat dat is voordeel van een een isms systeem een applicatie is dat je die administratieve last wat kan verminderen maar het proces verandert natuurlijk niet.
Renco:Nee, nee, nee, dat is natuurlijk denk ik het probleem dat we in, en dat gaat niet specifiek over de gemeente Hardenberg of wat dan ook, maar er zijn veel gemeentes die die tool hebben aangeschaft in de hoop dat dat proces meekwam.
Leon:Ja, maar die tool is niet het ISMS.
Renco:Nee, en het proces kwam ook niet mee.
Leon:Je wordt applicatiebeheerder als CISO zijnde, dat is de valkuil toch?
Renco:Ja, een ISMS tool met 1 gebruiker, namelijk de CISO.
Leon:Nou ja, ik ik herken dat eilandje wel van
Renco:hun begin dagen
Leon:en toen hebben wij bij de gemeente Hardenberg een stap genomen dan maar een minder praktisch ISMS die gebruikt wordt ook voor andere onderdelen van organisatie voor het risicomanagement.
Renco:Ja, het niet een eigen dingetje houdt.
Leon:Nee, nee, dat is heel mooi dat je al je procedures automatisch inkomen vanuit een auditor en de papieren werkelijkheid klopt al helemaal, maar het leeft niet en dat is dat is toch de uitdaging. Ja, ja en en niet zelf verantwoordelijk zijn, de governance dus de verantwoordelijkheid geven om dat ISMS draaien te houden.
Renco:Wij zouden hier nog uren over door kunnen praten denk ik.
Leon:Ja, kunnen we zeker.
Renco:Dat gaan we niet doen. We gaan afronden. We hebben nog een hele hoop vragen, dus die kan ik misschien nog bewaren voor een eventuele volgende keer. Dat zien we wel, want over 3 jaar ben jij weer onrustig en dan ga je Ja, klopt. Zitten we in een ander kamertje of je hebt het gewoon super naar je zin hier en de onrust blijft gewoon achterwege.
Renco:Dat kan ook nog
Leon:Ja, of die onrust komt hier met 3 jaar vanzelf en dan de oude is over 3 jaar weer.
Renco:Ook een 3 jaar cyclus. Precies. Heel ontzettend bedankt dat je mij een beetje mee wilde nemen in hoe het leven als een CISO binnen de zorg eruit ziet. Ja, ik vond het leuk om het je erover te hebben en ik hoop dat luisteraars het ook interessant en er wat van opgestoken hebben.
Leon:Ja, graag gedaan, ik vond het ook ook leuk, maar volgens mij kan ik ook weer hoop van jou leren nog, dus En jezelf nog een keer podcast?
Renco:Ja, met mezelf podcast. Zou kunnen, maar nee, ik vind het eigenlijk wel leuk. Misschien, dat is een idee om eens over na te denken. Voor nu hou ik dit format nog even vast. Fijne dag nog.
Renco:Ja, was hem. Aflevering 9 van Keep Talking. Ja, tevens de laatste aflevering van dit jaar. Ik heb alweer het een en ander in de pijplijn zitten voor volgende opnames. Dus wees gerust ook in 20 24 hoop ik je weer elke maand te voorzien van een nieuw, leuk en hopelijk ook leerzaam gesprek in de key talking podcast.
Renco:Dus ik hoop tot over ongeveer een maand. Oei, en dan vergeet ik nog bijna te zeggen dat ik in het eerste deel van 2024 ga starten met een heuse nieuwsbrief. Keep post it. Dus heb je je nog niet aangemeld? Doe dat vooral.
Renco:Ga naar WWW punt keepetsafe punt nl. En als je dat te moeilijk vindt om te onthouden, ga dan naar keep punt nl. En keep met een q.
Makers en gasten
