Zorgaanbieder Carinova biedt thuiszorg, woonzorg en huishoudelijke ondersteuning aan ouderen en mensen met een beperking. Een Microsoft Software Asset Management (SAM) Cybersecurity onderzoek naar de IT omgeving en processen leerde Carinova hoe zij cyberdreiging risico’s kon terugdringen en tegelijk te voldoen aan de Algemene Verordening Gegevensbescherming (AVG, Privacywet). Mede met het advies van het Quexcel SAM team heeft Carinova nu een veilige, flexibele werkplekomgeving en IT Infrastructuur in de cloud.
“Op basis van het SAM Cybersecurity traject hebben we besloten om Microsoft 365 cloud technologie in te zetten om al onze mobiele apparaten te beheren, met informatiebeveiliging en identiteitsmanagement functionaliteit die we nodig hebben om aan de AVG te voldoen.”
Ton Kuiper: IT Specialist, Carinova
Carinova levert vertrouwde, gepersonaliseerde zorg in het oosten van Nederland. Zij biedt klokje rond zorgdiensten in acht zorglocaties en ambulante zorgmedewerkers bezoeken cliënten tot vijf keer per dag thuis. Om het vertrouwen van het publiek te behouden en voorkeursleverancier voor zorg te blijven is beveiliging van data en het voldoen aan standaarden in de zorg een topprioriteit. Medewerkers werken met tot personen herleidbare informatie (PII) die bovendien zeer gevoelig is, zoals een elektronisch cliëntendossier. Deze informatie valt onder diverse normen, standaarden en wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG, Privacy wetgeving) die in mei 2018 in werking is getreden.
IT speelt een belangrijke rol bij het voldoen aan de AVG, maar Carinova ziet IT tegelijk als een strategische voordeel. “Er is veel vraag naar professionele zorgmedewerkers en tegelijk een beperkt aanbod op de arbeidsmarkt. Om het beste talent aan te trekken moeten zorgaanbieders een moderne, flexibele en op de cloud gebaseerde werkplek aanbieden,” zegt Ton Kuiper, IT Specialist bij Carinova. Kuiper merkt op dat, in tegenstelling tot de wens, de IT Infrastructuur bij Carinova veel tijd vroeg om te onderhouden. Om die reden wilde zij naar de cloud, om het beheer en onderhoud eenvoudiger te maken en veiligheid te verhogen. Begin 2017 nam zij contact op met Microsoft om navraag te doen over een migratie naar Office 365 productiviteitsdiensten. Parallel startte zij een traject met Microsoft Software Asset Management (SAM) voor een evaluatie van de gehele IT omgeving.
Het Cybersecurity onderzoek
IT dienstverlener Quexcel, een Microsoft SAM Solutions Expertise Partner en lid van de Microsoft SAM Partner Advisory Council, voerde het SAM Cybersecurity onderzoek uit. Onderdeel is onderzoek naar de software die Carinova gebruikt en welke softwarelicenties daarvoor nodig zijn. Het SAM Cybersecurity onderzoek richtte zich op verbetering van de veiligheid en voorbereiding op de AVG. Het onderzoek omvatte een interview met de Functionaris Gegevensbescherming en een technisch en functioneel onderzoek naar de gehele IT omgeving. Peter van Uden, Software Licensing en SAM Specialist van Quexcel vertelt: “Wij kijken naar de technologie, het proces en de mens. Dit helpt ons om een compleet te krijgen van de gehele omgeving. Wat veel organisaties zich niet realiseren is dat je de meest moderne technologie in huis kunt hebben, maar niet moet vergeten te kijken naar hoe medewerkers met die technologie omgaan om informatie veilig te houden.”
Het SAM Assessment bevestigde Carinova dat haar IT Infrastructuur in basis veilig was. Tegelijk bleken er onderdelen binnen de omgeving te zijn die aanpassing nodig hadden om aan de AVG te voldoen. Daarnaast werd duidelijk dat de organisatie veel baat kon hebben bij veiligheidstrainingen en een aanpassing in de applicatievirtualisatie om de mobiele zorgmedewerkers de flexibele werkplek te geven die zij voor effectief en efficiënt werken nodig hebben. Het SAM Team adviseerde oplossingen en best practices om de voordelen van een geïntegreerd cloud platform volledig te benutten, waaronder hogere bewustwording, vereenvoudigd beheer, schaalbaarheid, flexibiliteit en apparaat- en medewerker-identiteitsmanagement.
Voldoen aan de AVG
Carinova versleutelde al de communicatie binnen de IT Infrastructuur en werkplekken en gebruikte een eenvoudige beheeroplossing voor haar smartphones en tablets (MDM, Mobile Device Management). Deze oplossing voldeed echter niet aan de eisen en wensen van de moderne omgeving, zoals het traceren van mobiele apparaten, het gebruik van die apparaten en de mogelijkheid om op afstand informatie te verwijderen.
Het SAM Team adviseerde om over te stappen naar een oplossing die tegelijk rechtenbeheer bevat om te voorkomen dat zorgmedewerkers gevoelige informatie lokaal kunnen opslaan. “Gebaseerd op het SAM Cybersecurity traject hebben we besloten over te stappen op Microsoft 365 cloud technologie om al onze mobiele apparaten te beheren, met de dataveiligheid en identiteitsbeheer mogelijkheden die we nodig hebben om aan de AVG te voldoen; het veiligstellen van cliëntinformatie en tegelijk onze medewerkers in het veld optimaal ondersteunen,” zegt Kuiper.
Nu de AVG in werking is getreden, merkt van Uden op, moeten organisaties zeker weten of de persoon die zich digitaal meldt ook daadwerkelijk díe persoon is en de juiste rechten heeft voor toegang tot de beveiligde omgeving. Van Uden, “Een SAM Cybersecurity traject geeft organisaties een compleet beeld van het gebruik van niet-geautoriseerde applicaties door onderzoek naar schaduw-IT en zogenaamde ‘dark data’. Wij adviseren vaak een gedegen identiteitsbeheer oplossing met Microsoft 365 om bij te houden welke software medewerkers op welk apparaat installeren en gebruiken.”
Carinova gebruikt de nieuwe omgeving om een scheiding te maken tussen zakelijke, zorginformatie en niet-zakelijke Apps, zoals de AVG voorschrijft. Dit helpt het per ongeluk overzetten of kopiëren van beveiligde informatie naar een niet beveiligde omgeving voorkomen. Tegelijk kunnen zorgprofessionals nu via zakelijke chat en videovergaderen overleggen met collega’s via Skype for Business binnen Microsoft 365. Dat maakt het eenvoudiger om tot personen herleidbare en privacygevoelige informatie binnen de beveiligde omgeving te houden wanneer medewerkers met elkaar overleggen over een cliënt.
Meer bewustwording voor hogere veiligheid
“Veiligheid moet holistisch zijn,” zegt van Uden. “Bijvoorbeeld, wanneer IT aan medewerkers verplicht om regelmatig hun wachtwoord te wijzigen en zich met hun zakelijk account moeten aanmelden bij kernapplicaties, moet het tegelijk eenvoudig zijn om te voorkomen dat medewerkers gevoelige data vanuit de beveiligde omgeving naar een onveilige omgeving kopiëren. Medewerkers moeten zich bewust zijn van risico’s die zij creëren door te snappen hoe hun acties de IT veiligheid beïnvloeden.”
Met de immer toenemende cyberdreiging is het niet langer voldoende om gaten in de technologie op te vullen of nieuwe regels te introduceren. Veiligheid is op zijn sterkst wanneer medewerkers begrijpen hoe zij aan de veiligheid bijdragen, weten welke veiligheidsprocessen er zijn (en waarom) en alle technische componenten optimaal geconfigureerd zijn. Carinova biedt vandaag de dag regelmatige workshops over veiligheid en medewerkers hebben een e-learning omgeving om hun veiligheidsvaardigheden omhoog te brengen. “We zijn nu veel bewuster bezig,” zegt Kuiper. “Met elk nieuw proces kijken we nu eerst naar veiligheidszaken voordat we ook maar iets implementeren.”
Nu het SAM Cybersecurity traject is afgerond start Carinova met een zes-maanden proefabonnement op de Quexcel SAM in a BOX Managed SAM dienst. “Wanneer organisaties hun IT omgeving optimaal inrichten om organisatieprocessen te beheren, medewerkers de moderne werkplek te geven die zij nodig hebben en cybersecurity te standaardiseren bevinden zij zich precies op het snijvlak van technologie en compliance,” zegt van Uden. Managed SAM ondersteunt digitale transformatie door de focus te leggen op controle over kosten, het beheren en omlaag brengen van organisatie en juridische risico’s, softwarelicentie- en cloud kosten te optimaliseren en IT investeringen naadloos te laten aansluiten bij bedrijfsdoelstellingen. Kuiper’s ervaring met het SAM Cybersecurity traject sluit volledig daarbij aan. “Wij zijn klaar voor de AVG en voeren onze gekozen strategie om meer cloud computing in te zetten uit,” zegt hij. “De Carinova medewerkers zijn zich veel meer bewust van, en beter opgeleid in dataveiligheid. Wanneer we kijken naar onze IT doelstellingen weten we nu exact welke koers we moeten varen.”
Leer meer over Carinova op Twitter, Facebook en LinkedIn.
“De Carinova medewerkers zijn zich veel meer bewust van, en beter opgeleid in dataveiligheid. Wanneer we kijken naar onze IT doelstellingen weten we nu exact welke koers we moeten varen.”
Ton Kuiper: IT Specialist, Carinova
“Wat veel organisaties zich niet realiseren is dat je de meest moderne technologie in huis kunt hebben, maar niet moet vergeten te kijken naar hoe medewerkers met die technologie omgaan om informatie veilig te houden.”
Peter van Uden: Software Licensing en SAM Specialist, Quexcel
Eerste publicatie van dit klantverhaal op de website van Microsoft