Medux
Medux levert hoogwaardige hulpmiddelen en diensten aan zorginstellingen en eindgebruikers. QSN werkt al een geruime tijd voor de organisatie op het gebied van Informatiebeveiliging en heeft de organisatie begeleid naar certificatie van ISO 27001 en NEN 7510. Op dit moment levert QSN een interim CISO. We vragen Jeroen van Teijlingen, CFO bij Medux, naar zijn ervaringen in dit traject.
'Informatiebeveiliging verdient de juiste aandacht.'
‘Dat Informatiebeveiliging de juiste aandacht verdient, was voor mij direct duidelijk. We werken natuurlijk met gevoelige informatie van onze eindgebruikers. Intern hadden we simpelweg de expertise niet om dit project goed op te pakken, vandaar dat we QSN hebben gevraagd om ons te ondersteunen. Tevens is het voor ons belangrijk dat we dit oppakken met iemand met voldoende kennis en ervaring. Als je iemand intern aanneemt, hoe borg je dan dat hij/zij altijd up-to-date is? Door met QSN in zee te gaan wisten we zeker dat de juiste kennis altijd aanwezig was. Ook helpen jullie natuurlijk veel andere organisaties, jullie weten precies wat de best practices zijn.’
'We hebben iemand nodig die pragmatisch is en onze organisatie begrijpt.'
‘We zijn blij met de doortastende aanpak van QSN’er Marie-Cecile. We zijn een grote organisatie, met ongeveer 2500 medewerkers en talloze locaties. We hadden iemand nodig die dat begreep en die heel pragmatisch is. Projectleider Marie-Cecile heeft in het begin vooral veel structuur aangebracht, denk aan beleidstukken en procedures. Er is een stuurgroep opgericht, met vertegenwoordiging vanuit alle disciplines (van facilitair tot operatie). Dat was belangrijk om de juiste focus aan te brengen en daadwerkelijk stappen te kunnen zetten.’
'Het was niet eenzijdig zenden, Marie-Cecile deed het samen met onze mensen.'
‘Vervolgens heeft Marie-Cecile veel aandacht gehad voor de daadwerkelijke doorvertaling naar de organisatie. Denk hierbij aan succesvolle bewustwordingsprogramma’s met trainingen, posters, video’s maar bijvoorbeeld ook het inzetten van phishing-tests en een mystery guest. Fijn dat QSN hier ook interne expertise op heeft. Wat voor ons dan vooral het verschil maakte; het was niet eenzijdig zenden. Marie-Cecile pakte de telefoon en ging verifiëren. Is het duidelijk, kunnen jullie verder? Ze heeft er vervolgens hapklare brokken van gemaakt. Denk aan een e-learning voor nieuwe medewerkers waar iemand écht iets mee kan en 5 gouden regels die overal terugkomen. Marie-Cecile heeft het echt samen gedaan met onze mensen. Dit past bij ons.’
'We voldoen nu aantoonbaar aan de eisen.'
‘We zijn trots dat we sinds november 2020 gecertificeerd zijn voor ISO 27001 en NEN 7510. Op deze manier kunnen we bewijzen dat we aantoonbaar handelen volgens deze eisen. Wij geloven niet echt in ‘werken conform de norm’, een certificaat is de stok achter de deur om daadwerkelijk scherp te blijven. Een van onze interne slogans is niet voor niets; continu verbeteren. Verbeteren doen we op basis van verbeterinformatie uit bijvoorbeeld audits. Ook letten we op andere zaken. Als bij de klantenservice ineens veel datalekken worden gemeld, zetten we daar een extra training in. Verder blijft de expertise van QSN een belangrijke verbeterbron. Marie-Cecile vertelde laatst bijvoorbeeld over een Coordinated Vulnerability Disclosure beleid voor het inzichtelijk krijgen van ICT-kwetsbaarheden. Daar hadden wij zelf nog nooit van gehoord. Toch hebben al diverse ‘white hackers’ ons op verbeterpunten gewezen.’
'Jullie zijn professioneel en pragmatisch, precies wat we nodig hebben.'
‘Verbeterpunten heb ik eigenlijk niet voor QSN, ik ben echt tevreden. Jullie zijn professioneel en pragmatisch, precies wat we nodig hebben. Marie-Cecile heeft het waanzinnig goed gedaan. Er is veel werk verzet en daar zijn we heel blij mee. Nu is het tijd voor weer een frisse blik. Vanaf juli 2021 neemt Lisa het stokje van Marie-Cecile over. Over een tijdje kunnen we concluderen of dat net zo succesvol is, daar heb ik zeker vertrouwen in.’
Mogen we jouw organisatie ook helpen met een uitdaging op het gebied van Informatiebeveiliging? Zoeken jullie een ervaren projectleider of interim CISO? Neem contact met ons op.
ContactGerelateerde referenties
Bekijk alle
Onze overkoepelende organisatie heeft ons een aantal jaar terug gevraagd conform NEN 7510 te certificeren. Informatie in de ambulance en in de meldkamer is vrijwel altijd vertrouwelijk van aard. Belangrijk om daar dus op de juiste manier mee om te gaan.
Al ruim 3 jaar ondersteunen wij CoolProfs op het gebied van Informatiebeveiliging. QSN heeft de softwareontwikkelaar en OutSystems Partner in 2018 geholpen bij de inrichting van zijn managementsysteem.
GGZ Drenthe wil aantoonbaar voldoen aan de NEN 7510. QSN Consultant Marie-Cecile Pruijn hielp de organisatie bij de realisatie hiervan. We interviewen Fimke Boerhof en Hans de Jong over dit project.