NEN7510 implementatie bij Cordaan

De klantcase is geschreven vanuit het oogpunt van Menno Schaatsbergen, ervaren Information Security Consultant en Lead Auditor bij Avensus. Menno zijn specialisaties bevatten onder andere het uitvoeren van audits en het implementeren van ISO27001 en NEN7510. Daarnaast heeft hij ook ervaring in Compliance en Riskmanagement.

Ook neemt de CISO (Chief Information Security Officer) van Cordaan Harrold Römelingh, het woord. Harrold heeft 20 jaar ervaring in de ICT, hiervan heeft hij 15 jaar de functie ICT manager bekleed. Zijn specialiteit ligt op procesverbetering met in achtneming van een volwassenheidsmodel, waar informatiebeveiliging ook onder valt. Het is voor Harrold van belang dat het verbeteren van (informatiebeveiligings)processen zo gebruiksvriendelijk, effectief, efficiënt mogelijk gebeurd.

Wie is Cordaan? 

Cordaan is een grote zorgorganisatie dat actief is in de regio Amsterdam. De organisatie heeft een hoofdkantoor in hartje Amsterdam en meer dan 100 locaties over de hele regio. Cordaan biedt zorg en verpleging aan zowel ouderen als jongeren; zorg voor korte als langere tijd en ook psychische zorg. Het is een grote en complexe organisatie. 

Harrold: “Het is een vrij grote organisatie. Zij heeft inmiddels 6000 medewerkers inclusief vrijwilligers.”   

Waarom NEN7510?

Cordaan is al langer klant bij Avensus Security Consulting, omdat er hulp werd gevraagd ten aanzien van de invoering van de AVG (Algemene Verordening Gegevensbescherming). Echter hebben ze al langer de behoefte om hun informatiebeveiliging op orde te brengen en worden ze door de overheid verplicht om te voldoen aan de NEN7510. Dit is een norm voor informatiebeveiliging voor zorginstellingen in Nederland.  

Harrold: “Vanuit de AP (Autoriteit Persoonsgegevens) zijn er richtlijnen, dus je kunt het niet negeren. Je hebt wel maatregelen nodig die voldoen aan de AVG en de AP toetst de toetsingskader NEN7510. Je kan natuurlijk zelf van alles bedenken aan maatregelen, maar de NEN7510 kan je gewoon downloaden en dan weet je precies wat je ongeveer moet doen. Vanuit de Inspectie Gezondheidszorg en Jeugd is het ook een verplichting omdat zij toetsen vanuit de basis van de NEN7510. Er zijn verschillende kapstokjes waarop je dat kunt hangen en duidelijk kunt maken dat het toch echt tijd wordt om maatregelen te nemen.”  
 
De behoefte aan de NEN7510 ontstond vooral door de hoeveelheid incidenten die plaatsvond op het gebied van informatie en onduidelijke procedures en/of afspraken. Cordaan heeft in het verleden pogingen gedaan om zelf de norm te implementeren, maar deze werkzaamheden kwamen nooit van de grond door ‘de waan van de dag’ of andere verantwoordelijkheden. Eén belangrijk aspect daarbij was dat er niemand was aangenomen die verantwoordelijk is voor de informatiebeveiliging (een Chief Information Security Officer, oftewel een CISO).  
 
Harrold: “Een andere reden waarom de NEN7510 nooit eerder was ingevoerd is het bewustzijn. Daarnaast zitten er ook maatregelen in die niet zo populair zijn. Dan noem ik even de Multifactor Authenticatie (MFA) die wij onlangs hebben ingevoerd.“ 

Nulmeting uitvoeren

Aangezien Cordaan al langer een relatie heeft met Avensus, is ons gevraagd om te helpen bij de NEN7510 implementatie. Uitgangspunt van Cordaan is om volledig te voldoen aan deze norm. Om een gepaste aanbieding bij de implementatie te geven wilden wij allereerst een nulmeting uitvoeren. Het uitgangspunt van zo een nulmeting: een beter beeld van de organisatie krijgen. Hiermee krijgen wij de volgende zaken inzichtelijk: wat is er al wel of niet geregeld? Welke risico’s loop je op dit moment? Welke verbeterslagen kunnen er (snel) gemaakt worden binnen je organisatie?   

Aan mij, Menno, werd gevraagd om deze nulmeting uit te voeren. Dit was voor mij ook een spannende opdracht, aangezien ik wel eerder in aanraking ben gekomen met grote zorginstellingen, maar voornamelijk om een audit uit te voeren. Daarom was het belangrijk om gestructureerd te werk te gaan om zo een compleet beeld te krijgen over de situatie bij Cordaan. 

De nulmeting bestond uit het interviewen van een aantal key-personen binnen de organisatie. Deze personen bestonden voornamelijk uit applicatiebeheerders. Tijdens deze interviews kwam ik al gauw tot de conclusie dat dit niet de lading dekte, aangezien alleen de applicatiebeheerders niet een goede representatie van de organisatie weergeven. Ik heb daarom gevraagd om nog meer personen te kunnen interviewen, zoals de Privacy Officer, een aantal (project)managers en de beheerder van de fysieke beveiliging. Hiermee kreeg ik een beter beeld over wat er wel en niet speelt op het gebied van beleid en informatiebeveiliging. 

Ik kon ook al gauw concluderen dat op het gebied van High Level Structure (hoe je een Plan – Do – Check – Act cyclus inricht om je organisatie continue te verbeteren) dat dit niet tot nauwelijks aanwezig is. Cordaan had ook geen vaste methodiek toegepast om risico’s te inventariseren; hierdoor hadden ze geen volledig beeld over de soort risico’s die er spelen. Daarnaast was er weinig beleid aanwezig en als het er was, dan was dat ook verouderd. Ook was de belangrijkste conclusie dat er geen persoon was aangewezen om als de CISO te fungeren. Met deze informatie kon ik een gepast plan van aanpak maken, wat bestond uit een aantal fasen. De eerste (en belangrijkste) fase was gericht op het opbouwen van een High Level Structure; dit is namelijk de belangrijkste stap voor de NEN7510 norm.  

De opdracht 

Cordaan ging akkoord met ons plan van aanpak en al snel konden we aan de slag. Ik heb vanaf dat moment veel geschakeld met Harrold Römelingh, Met hem heb ik in de eerste fase samen een volledig managementsysteem kunnen opbouwen. Het was vooral een uitdaging om bij zo’n grote en complexe organisatie te bepalen wat er speelt. Eén van de eerste hoofdstukken in de NEN7510 norm is het bepalen van de interne en externe onderwerpen van een organisatie. Normaal gesproken kan je dit met bijvoorbeeld een SWOT-analyse uitvoeren. Echter, omdat we hier te maken hebben met meerdere complexe zorg- en ondersteunende domeinen leek het mij het beste om dit per domein te bepalen. Daarom hebben we gezamenlijk besloten om de directie van elk domein apart te interviewen en samen een SWOT-analyse uit te voeren. Met andere woorden: we beschouwden elk domein als een aparte organisatie. Met de resultaten van deze analyses hebben we een compleet plaatje gekregen over de sterktes, zwaktes, kansen en bedreigingen van Cordaan.

Daarnaast is een andere eis uit de norm om je belanghebbenden (stakeholders) te bepalen. Aangezien Cordaan een grote zorgorganisatie is, heeft het te maken met vele zorgwetten. Ik werd via Harrold al gauw in contact gebracht met de juridische afdeling van Cordaan, zodat we samen naar een algemene aanpak van de zorgwetten konden kijken. Hierdoor heeft Cordaan in één overzicht grotendeels in kaart waar ze aan moeten voldoen. 

Wat er nog te wachten staat 

Wat ik vooral heb gemerkt bij Cordaan is dat je geduld moet hebben, omdat ze naast de implementatiewerkzaamheden ook te maken hebben met hun kernactiviteit: het verlenen van zorg. In deze tijden, een pandemie, geeft dat een extra uitdaging. Dit heb ik bijvoorbeeld gemerkt bij het plannen van de risicoanalyses. Van tevoren wist ik al dat met de drukke agenda’s (en de vaccinaties van Covid-19 die er ook nog bij kwamen) het plannen van deze risicoanalyses een uitdaging zou vormen. Ik heb daarom ook vrijwel direct aan het begin van het project een uitgebreide planning gemaakt met de datums waarop we verwachten bepaalde ‘milestones’ te bereiken. Hierbij heb ik gemerkt dat dit een waardevolle aanvulling geeft bij een project van een dergelijke omvang. Ook al kan een planning niet uitkomen, dan nog geeft het een weergave van de belangrijkste taken voor de implementatie. 

Wat er vooral nu te wachten staat is het uitvoeren van de risicoanalyse. Hiermee komen wij erachter welke risico’s het meest spelen bij elk domein van Cordaan. Daarop volgend maken wij een risicobehandelplan, zodat er exact uitgewerkt wordt welke maatregelen Cordaan moet treffen om aan de norm te voldoen. 

Wat vindt de klant? 

Harrold Römelingh, de CISO van Cordaan, neemt ons mee in de samenwerking met Avensus.  
 
Harrold: “Avensus ken ik ook vanuit de infrastructuur hoek, niet alleen vanuit de NEN7510. Voor ik de schakeling had gemaakt naar de IT-beveiliging ben ik vijftien jaar ICT-manager geweest. Hierdoor kwam ik al in contact met Avensus met betrekking tot de IT-infrastructuur. En dit was goed geregeld door Avensus, dat moet ik er wel even bij zeggen! 

Op het gebied van NEN7510 verloopt de samenwerking goed. Ik heb veel contact met Menno en Jolanda en wij zijn goed op weg. Jolanda, Manager Security Consulting, zit wat meer op de achtergrond en Menno op de voorgrond. Het is handig dat Menno de kennis heeft over hoe je de implementatie van de NEN7510 aanpakt en wat je nodig hebt.  

De implementatie van de NEN7510 vinden wij heel belangrijk. Wij zien ook met regelmaat datalekken bij de NOS in beeld, dan refereren we even naar de GGD datalek. Wij willen natuurlijk niet dat het Cordaan overkomt. Dat de NOS in het havengebouw staat, van ‘hoe kan dat?’. Het zou maar zo kunnen dat er een groot datalek ontstaat en dat maakt het des te belangrijker om de NEN7510 te implementeren. 

Binnen Cordaan zijn we eigenlijk vanaf 2014 bezig met de NEN7510. Van mijn voorganger heb ik diverse risicoanalyses gezien. Deze risicoanalyses zijn nooit goedgekeurd door de directie. Dat hebben we nu in samenwerking met Avensus anders aangepakt. Er is een 0-meting gedaan, hier zijn bevindingen uitgekomen waarna er een beleid is gemaakt. Dit heeft ertoe geleid dat het uiteindelijk door de bestuurder is ondertekend. Ik heb ook een intern handboek afgemaakt, dat was er ook nog niet. We zijn nu aangekomen bij de risicoanalyse. 

Ik verwacht iets minder ondersteuning nodig te hebben bij de implementatie van de NEN7510, omdat dat best veel handwerk is. De volgende stap is om de beheersmaatregelen te koppelen aan de risico’s. Dat is nog een stap waar Menno zeker nog bij betrokken is. Daarna moeten we kijken hoe we de betrokkenheid verder invullen wanneer we gaan implementeren.”  
 
Avensus kijkt uit naar de afronding van dit project eind 2021!