Informatiebeveiliging in

de keten

Yvo Hoeke

15 mei 2014

LRQA Congres 2014

Agenda

LRQA Congres 2014

• Even voorstellen

• Ontwikkelingen in IT

• Ontwikkeling van de waardeketen

• Transformatie & paradigma shift

• Impact op informatiebeveiliging

• Praktijk

• Stappenplan

• Vragen?

Even voorstellen

LRQA Congres 2014

Yvo Hoeke

Directeur en oprichter van NetSourcing

Serviceprovider voor de zorg

• Integratie van informatie (in de keten)

• Applicaties op werkplek van de zorgprofessional

• Beheer & onderhoud van achterliggende ICT-infra

2001 gestart

85 medewerkers

Focus op VVT, JZ, JGZ, GGZ, GZ, AZ en HAP

Ontwikkelingen in IT

LRQA Congres 2014

Probleem of symptoom??

LRQA Congres 2014

Voedselveiligheid 7% wereldhandel illegaal

Datalekken & veiligheid

Snowden has helped us

LRQA Congres 2014

De ontwikkelingen versterken de symptomen,

waardoor het vanzelf een probleem wordt!

The cloud as accelarator

LRQA Congres 2014

Functionaliteit

Public

Shared

Private

# ge

bru

iker

s

Specifiek Generiek

Cloud vergroot complexiteit

LRQA Congres 2014

Cloud vergroot complexiteit

LRQA Congres 2014

Cloud vergroot complexiteit

LRQA Congres 2014

Cloud vergroot complexiteit

LRQA Congres 2014

Provider X

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Provider C

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Provider B

Service Platform Service Management

Se

curi

ty

Pri

va

cy

BrokerProvider A

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Service Orchestration

Service Integration

Service Aggregation

Service Arbitrage

Auditor

Security

Privacy

Performance

Support

Configuration

Interoperability

LRQA Congres 2014

Cloud vergroot complexiteit

Waar informatiebeveiliging eerst context-gebonden

(bedrijfscontext) was, wordt het nu, als gevolg van o.a.

transmuraal werken in een keten, noodzakelijk om nu context-

ongebonden informatiebeveiliging in te richten.

Context-ongebonden informatiebeveiliging

LRQA Congres 2014

Provider X

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Provider C

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Provider B

Service Platform Service Management

Se

curi

ty

Pri

va

cy

BrokerProvider A

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Service Orchestration

Service Integration

Service Aggregation

Service Arbitrage

Auditor

Security

Privacy

Performance

Support

Configuration

Interoperability

Context gebonden

Context ongebonden

Context-ongebonden informatiebeveiliging

LRQA Congres 2014

Provider X

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Provider C

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Provider B

Service Platform Service Management

Se

curi

ty

Pri

va

cy

BrokerProvider A

Service Platform Service Management

Se

curi

ty

Pri

va

cy

Service Orchestration

Service Integration

Service Aggregation

Service Arbitrage

Auditor

Security

Privacy

Performance

Support

Configuration

Interoperability

Context gebonden

Context ongebonden

Fysieke waardeketens vandaag

LRQA Congres 2014

Grondstof Logistiek Handel Dokter Postbode Consument Industrie Apotheek

Waardeketen wordt “Ronde tafel” CONTEXT-CROSSING

LRQA Congres 2014

Dokter

Consument

Industrie

Apotheek

Handel

Logistiek

Paradigma-shift

LRQA Congres 2014

Verandering van keten naar context-crossing ronde-tafel vereist

een paradigma shift in denken.

De praktijk in de zorg wijst uit dat partijen niet bereid zijn om

posities te verlaten en steeds geprobeerd wordt om het domein

van de ronde-tafel in het eigen bedrijfsterrein te trekken!

Voorbeelden:

• Start “shared service centra” a.g.v. overcapaciteit

• Ziekenhuizen in relatie tot thuiszorg

• Thuiszorg in relatie tot huisartsen

Innovatie zit in de cross-over

LRQA Congres 2014

Innovatie zit in de cross-over

LRQA Congres 2014

Kijk naar de koningin aller markten, de RETAIL.

Wie is één van de leading actoren?

DE CONSUMENT

Deze doet in de zorg nog amper mee!

Als je werkelijk iets wil…

LRQA Congres 2014

Verlaat je positie en start met het delen van informatie aan een

ronde tafel.

Hou er rekening mee dat meta-informatie veelal voldoende is

om het proces bestuurd te krijgen.

Techniek is nog altijd volgend, en technische middelen zijn

voorhanden….

IT-security

LRQA Congres 2014

Andere aanpak noodzakelijk:

• Drukken op één van de actoren heeft geen zin en leidt tot

micromanagement zonder resultaat

• Modellen om kosten en opbrengsten van de ronde tafel met

elkaar te delen zijn noodzakelijk

Ik pleit voor….

LRQA Congres 2014

• Een door de deelnemers van de ronde-tafel

gemeenschappelijk aangestelde audit-functie die ook

informatiebeveiliging betreft.

• Zowel de technische als organisatorische aspecten van

de context optimaliseert.

• Wordt beloond door de mate van optimalisatie op vooraf

afgesproken KPI’s van de context.

Start met…

LRQA Congres 2014

1. Definitie van de rollen van de context ( Wie schuift aan?)

2. Het definiëren van de informatie (attributen) die men in de

context wenst te delen

3. Het toekennen van personen aan de rollen

4. Het koppelen van bronnen aan de attributen

Hiermee is de basis voor de informatievoorziening én beveiliging

in de context gerealiseerd.

LRQA Congres 2014

Hoe mooi zou het zijn als…

LRQA de onafhankelijke audit-rol op zich zou

nemen!

Dank u wel voor uw aandacht!

Yvo Hoeke y.hoeke@netsourcing.nl 088-0772000

Utrecht- 15 mei 2014

Titel