Case DHD

Hoe DHD met ISOPlanner de informatiebeveiliging naar the next level tilde

De medewerkers van DHD wisten wat er moest gebeuren als het ging om naleving van meerdere ISO-normen waar de organisatie aan moet voldoen. DHD voldoet sinds 2016 aan de ISO 27001 en sinds 2019 ook aan de NEN 7510. Maar de security officer vond de losse documenten die in gebruik waren onoverzichtelijk en wilde de interne processen professionaliseren. Door het gebruik van ISOPlanner tilde DHD de informatiebeveiliging naar een hoger niveau.

DHD verbindt zo efficiënt en veilig mogelijk gevoelige data vanuit talloze datastromen van medisch-specialistische zorginstellingen zoals ziekenhuizen. DHD-experts staan dagelijks in verbinding met alle algemene ziekenhuizen en umc’s.

Daarnaast ontzorgen ze steeds meer andere instellingen binnen de medisch-specialistische zorg. Wat hen verbindt: data. Medische en financiële patiëntendata die zorgprofessionals en ziekenhuizen waardevolle informatie opleveren voor het verbeteren van de zorg.

ezz case isoplanner

Robert Kerssies, security officer bij DHD, vertelt hoe de samenwerking met ISOPlanner tot stand kwam: ”In juni 2023 startte ik bij DHD. Voor veel collega’s was het duidelijk wat ze deden als het ging om informatiebeveiliging. Alleen als nieuwkomer had ik geen overzicht in de Excel- en Word-bestanden en de Teams-kanalen die aan elkaar waren gekoppeld.

Bovendien was ik gewend vanuit mijn vorige werkgever om met een online ISMS te werken. Ik stelde al vrij snel voor op zoek te gaan naar een online ISMS dat kon integreren met ons bestaande Handboek Informatiebeveiliging in onze Sharepoint omgeving.

In een korte marktanalyse vergeleken we drie partijen, waaronder de partij waar ik al ervaring mee had en ISOPlanner. ISOPlanner bood echter zoveel meer functionaliteit en voordelen dat ze er al gauw bovenuit stegen. Dus ik heb gewoon eerlijk gezegd dat ik de andere club mooi werk vond leveren, maar dat ISOPlanner toch wel het neusje van de zalm was.”

Samenhang normen en maatregelen geeft overzicht en gebruiksgemak

Robert vervolgt zijn verhaal: “Bij DHD vinden we efficiency heel belangrijk en daar keek ik ook naar, je wilt dat het heel eenvoudig werkt. Bij ISOPlanner link je alles aan elkaar, het vormt een soort domino-effect. Tik je een norm aan, dan weet je dat de maatregel ook klopt. Bepaalde taken of normen zijn aan elkaar gelinkt, waardoor je niet alles hoeft te dubbelchecken. Je bouwt daarnaast je eigen dashboard en maakt alles zelf op maat. Dat geeft mij veel overzicht en inzicht.

Zo hadden we ook ineens zicht op maatregelen waarvan we dachten dat ze goed waren geïmplementeerd. En waarvan we merkten dat we misschien wel iets deden, maar dat het er niet in stond. Of dat het er wel stond, maar dat we het niet deden. Doordat alles op één centrale plek staat, is die informatie veel sneller en beter beschikbaar.

Ik kan gewoon direct, patsboem rapporteren. Als je nu van mij wil weten hoeveel meldingen we hebben van welke onderwerpen, dan druk ik op twee knoppen en dan weet ik het.

Robert Kerssies

Security Officer DHD

Wij zagen bijvoorbeeld het aantal bugmeldingen oplopen. Doordat dit in een overzichtelijk dashboard zichtbaar was, konden we direct kritisch naar het testproces kijken en of er verbetering mogelijk was. Dat zijn dus van die dingen die je snel kunt pinpointen door de meldingenregistratie in ISOPlanner.”

Eén beheeromgeving in SharePoint

DHD koos ervoor het bestaande Handboek in Sharepoint te koppelen aan ISOPlanner. Robert gaat verder: “Het enige wat ik nu doe, is in de maatregelen verwijzen naar SharePoint-pagina’s. Het linkt allemaal aan elkaar. Op het moment dat ik mijn SharePoint-pagina aanpas, past de maatregel zich ook automatisch aan.”

Professioneel ISMS straalt vertrouwen uit tijdens audit

“Een auditor valt echt van zijn stoel als hij het ziet. En het geeft gewoon heel veel vertrouwen dat je op een zorgvuldige manier omgaat met deze gevoelige data”, zo vervolgt Robert. “De norm biedt de vrijheid om zelf het ISMS naar eigen wensen in te richten. Aangezien we veel gevoelige zorgdata verzamelen van en delen met de ziekenhuiszorg, vinden we het belangrijk om serieus om te gaan met deze verantwoordelijkheid. De keuze voor ISOPlanner sluit hier goed bij aan.

Wij vinden het dan ook belangrijk om die zorgvuldigheid niet alleen tijdens een audit te tonen, maar gewoon iedere dag. Natuurlijk, als je bezoek krijgt dan maak je je huis even netjes. En datzelfde geldt voor een auditor. Maar je wilt vooral laten zien dat je het serieus neemt en belangrijk vindt. Wij bouwen ten slotte software en dashboards, we werken met Power BI en Azure. Allemaal het neusje van de zalm. Dan moet je ISMS ook van de hoogste standaard zijn.”

Soms heeft een norm invloed op meer dan 20 maatregelen. Dan hoef ik die niet allemaal langs om teksten te knippen en plakken. Ik beheer alles op één centrale plek. Dat scheelt echt ontzettend veel tijd en is hartstikke makkelijk.

Robert Kerssies

Security Officer DHD

Implementatie van ISOPlanner in slechts 3 maanden

Nieuwe software in gebruik nemen kost gemiddeld 3 tot 6 maanden voordat iedereen het snapt, dit geldt ook voor ISOPlanner. Robert Kerssies: “Uiteindelijk is informatiebeveiliging niet iets dat maar door één persoon wordt gedaan. Gelukkig hadden wij al veel voorwerk gedaan, wij waren al compliant volgens de oude norm.

Met Purasec als consultant en met templates en voorbeelddocumenten van Instant 27001 kon ik ISOPlanner vrij makkelijk in 3 maanden implementeren. Waarbij ik heus wel af en toe tollend achter mijn laptop zat omdat ik wekenlang bezig was met ISOPlanner. Want je moet er wel echt zelf tijd in steken.”

Een auditor valt echt van zijn stoel als hij het ziet. ISOPlanner is toch wel het neusje van de zalm.

Robert Kerssies

Security Officer DHD

Eenvoudige onboarding van nieuwe gebruikers

Binnenkort staat er een onboarding event voor DHD-medewerkers gepland. Robert vervolgt: “De meeste collega’s hoeven maar één of twee keer per jaar een actie uit te voeren. Toch is het heel fijn dat ik iedereen online toegang kan geven tot documenten om te tonen hoe alles is ingeregeld. Dat verhoogt de betrokkenheid en op lange termijn draagt het bij aan onze professionaliteit.

Het geeft ook meer inzicht, bijvoorbeeld in het aantal en soort incidenten. Daar heb ik nu een dashboard van waar ik heel blij mee ben. Sowieso deel ik graag intern over wat er speelt binnen de organisatie, daar kunnen we alleen maar van leren. Mensen vinden dit ook fijn en vragen zich af waar ze kunnen verbeteren.

Ik heb liever 100 meldingen en 10 incidenten dan 10 meldingen en 1 incident. Want anders leren we er niets van. Een incident mag nooit een stok zijn om mee te gaan slaan. Bied mensen liever een veilige omgeving waar ze fouten kunnen maken en hiervan leren. Never waste a good incident.”

Constructieve samenwerking en doorontwikkeling

Robert besluit: “ISOPlanner geeft ook ruimte om mee te denken, het is nog een jonge en dynamische organisatie. Die gewoon luistert naar klantervaringen en daar ook echt iets mee doet. Dus ook dat is heel erg fijn.”

Zie ISOPlanner in actie

Boek een live demo of start je gratis proefperiode.