Meander Medisch Centrum, het ziekenhuis in Amersfoort, is op alle fronten aan het digitaliseren. Niet alleen implementeren ze een volledig nieuw EPD, ook worden er op allerlei plekken in het ziekenhuis e-health toepassingen geïmplementeerd. Director Digital & ICT Vincent van Luling: “Je ziet dat security vaak een rem vormt op zorginnovatie. Wij willen dat voor zijn en dat betekent dat je het in de basis heel goed moet regelen. Bij alle innovaties nemen wij security en compliancy vanaf het begin mee: security by design. We toetsen alle innovaties aan ons Compliancy Framework en we werken nauw samen met diverse securityleveranciers en -dienstverleners die samen ons security ecosysteem vormen.”
Malversaties snel herkennen
Meander Medisch Centrum heeft zijn SOC extern belegd bij Pinewood. Daarover zegt Van Luling: “Natuurlijk nemen we allerlei maatregelen om
de slotgrachten en kasteelmuren te verstevigen, maar we willen ook weten wat er op de binnenplaats en binnen de muren van het kasteel gebeurt. Want het is een utopie om te denken Dat je met firewalls, virusscanners en endpoint security alles kunt dichtzetten. Zeker in deze nieuwe digitale wereld, waarin e-health een steeds belangrijkere rol gaat spelen en waarin medische apparatuur aan het internet hangt, kun je dat niet langer volhouden. Je haalt altijd wel virussen en malware binnen. Waar het om gaat is dat je deze malversaties zo snel mogelijk detecteert en daarop acteert. Want de tijd tussen een incident en het moment dat het wordt geconstateerd is in de regel de tijd waarin de meeste schade wordt toegebracht.”
Big data analytics
Daarom monitort het Pinewood SOC voortdurend wat er op het netwerk en in applicaties en databases gebeurt. Van Luling: “De crux is dat je afwijkend gedrag zo snel mogelijk detecteert. Dat doe je middels big data analytics. De kwaliteit van die analyses verbetert naarmate je meer externe benchmarks daarin meeneemt. Dat is een belangrijke reden waarom we deze taak extern hebben belegd. Pinewood monitort niet alleen onze omgeving, maar die van veel andere organisaties waaronder andere ziekenhuizen. Die externe data helpt hen om op ons netwerk sneller afwijkingen te detecteren.” Daarnaast is het een specialisme dat het Meander Medisch Centrum zelf niet beheerst, erkent hij. “Je moet dit soort kennis als ziekenhuis niet zelf willen opbouwen, het is zulk verschrikkelijk specialistisch werk. Je kunt als ziekenhuis nooit de kwaliteit en snelheid bereiken die een partij als Pinewood kan garanderen.”
Compliance framework
De SOC-dienstverlening past binnen het Compliance Framework van Meander Medisch Centrum. “Dat is opgesteld in samenwerking met gerenommeerde juristen. Zij hebben alle wet- en regelgeving bij elkaar opgeteld, ontdubbeld en relevant gemaakt. Dat wil zeggen: we hebben de vertaalslag gemaakt naar: wat betekent deze regel precies voor ons ziekenhuis? Uit het framework komt een enorme bak werk voort, want we voldoen nog niet aan alle regels waar we aan willen voldoen, maar het geeft ook rust. Want we weten precies waar we staan. En we kunnen ook verantwoorden waarom we bepaalde maatregelen niet nemen of nog niet hebben genomen. Bovendien helpt het framework bij het maken van afspraken met ICT-dienstverleners. We weten precies met welke partijen we wat voor afspraken moeten maken, bijvoorbeeld met de partij die ons EPD host, maar ook met Pinewood.”