‘De ideale balans tussen bruikbaar en veilig’

Net als in de rest van de samenleving wordt bij de NZa de rol van data alsmaar groter. Zo beheren we een grote hoeveelheid zorgdata die binnenkomt via zorgverleners. “Dat is data over wie wanneer welke zorg heeft verleend”, vertelt Jacques Eding. “Deze gepseudonimiseerde gegevens zijn essentieel om onze kerntaken uit te voeren: controleren, onderzoeken, adviseren. En met onze cybersecurity borgen we de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van al deze data.”

Het evenwicht vinden

“Data moeten toegankelijk zijn voor de juiste mensen op het juiste moment. Als overheidspartij is ons fundament hiervoor de Baseline Informatiebeveiliging Overheid, kortweg BIO. Dit is een basisnormenkader met strenge eisen op het gebied van informatieveiligheid. Op grond hiervan formuleren we kwaliteitsvragen. Wie moet wat met welke data kunnen doen? Hoe belangrijk is een proces voor de NZa? Van daaruit komen we tot passende beveiligingsmaatregelen.” De NZa wil data zo goed mogelijk afschermen, op een manier die voor collega’s ook werkbaar is. “Zo zoeken we voortdurend het evenwicht tussen 2 polen: beschikbaarheid en veiligheid. En dat natuurlijk binnen de regels van de BIO.” In 2021 kon NZa weer de jaarlijkse ‘In Control Verklaring’ afgeven, wat betekent dat ze inderdaad voldoet aan deze BIO.

Grote stappen zetten

“Waar vorig jaar de nadruk lag op kleinere verbeteringen in onze beveiliging, staat 2022 voor ons in het teken van een grote vernieuwing”, vertelt Jacques. “Hiermee bewegen we mee met technologische en maatschappelijke ontwikkelingen. We stellen een nieuw beleid op, zowel strategisch als tactisch en operationeel. Dus van de grote lijnen tot aan details, zoals de minimale lengte van een wachtwoord. Ook maken we de overstap naar een nieuw IT-platform, waardoor de hele werkomgeving van onze medewerkers verandert.” Deze ingrijpende stap levert NZa veel nieuwe mogelijkheden op. Voor beveiliging, maar ook voor een efficiëntere bedrijfsvoering.

Wapenen tegen risico’s

De kern van de digitale beveiligingsstrategie is dat de NZa risicogedreven werkt. “Dat houdt in dat stap 1 is om onze risico’s in kaart te brengen. En stap 2 om hiertegen proportionele maatregelen te nemen. Als het om data gaat, geldt het risico dat die gegevens kwijtraken, verminkt worden of geopenbaard worden. In het laatste geval hebben we het vaak over datalekken. Die kunnen bijvoorbeeld plaatsvinden door kwetsbaarheden in de software, iets wat eind vorig jaar wereldwijd opspeelde. Maar ook door menselijke foutjes of onnadenkenheid en bedreigingen van buitenaf. En dan is er nog het risico van ransomware, waarmee hackers je digitaal gijzelen. Voor al die risico’s nemen we maatregelen. Bedoeld om de kans op het optreden ervan te verkleinen, of de impact beperkt te houden. Doordat de digitale wereld constant verandert, veranderen of vernieuwen we telkens deze maatregelen.”

Informatiebewust handelen

“Ik noemde al de rol van mensen. Weliswaar verloopt steeds meer beveiliging automatisch, zodat NZa-medewerkers hier minder omkijken naar hebben. Zo proberen we grote risico’s alvast weg te nemen. Maar ik vind dat de kracht van onze informatiebeveiliging juist ook ligt bij de goede keuzes en werkmethodes van onze mensen. Zeker nu we meer hybride zijn gaan werken. Daarom zetten we nog meer in op informatiebewust handelen. Het is belangrijk dat we met z’n allen goed begrijpen hoe onze dagelijkse acties die informatieveiligheid beïnvloeden. Of het nu gaat om gevaarlijke linkjes of de juiste vinkjes: samen kunnen we zorgen dat de aan ons toevertrouwde data veilig blijft.