Veiligheid en privacy integraal gewaarborgd

Secure by design

Ordina onderzoekt op basis van de businesspropositie Security & privacy hoe zorgverzekeraar VGZ het waarborgen van informatiebeveiliging en privacy kan integreren in zijn software-ontwikkelingsprocessen. Doel is om al in de ontwikkelingsfase meer grip te krijgen op het niveau van informatiebeveiliging. Wanneer security-risico’s pas achteraf worden geconstateerd kost het herstel daarvan veel tijd en geld. Dat is onnodig en te voorkomen met integrale toepassingen van Secure by design-principes.

Verantwoord versnellen

VGZ is met ruim 4 miljoen verzekerden een van de grootste zorgverzekeraars van Nederland. Net als bij andere verzekeraars zijn de processen bij VGZ in hoge mate geautomatiseerd, met veel dataopslag in servers. Cliënten hebben toegang tot hun data via de ‘Mijn-omgevingen’ van de verschillende labels. VGZ wil zijn digitale dienstverlening verder verbeteren, wendbaarder zijn, zaken sneller afhandelen, (potentiële) cliënten effectiever informeren, en dit alles liefst via de cloud. Daarbij is het van belang dat gegevens rond aanvragen, polissen en declaraties onder alle omstandigheden veilig opgeslagen blijven. Nu kost het testen van IT-processen op veiligheid en privacy gevoeligheid altijd veel tijd. Nieuwe ontwikkelingen die voor de business belangrijk zijn, moeten daar op wachten. VGZ wil dit proces op een verantwoorde manier versnellen. In 2018 hebben de Security en High performance teams van Ordina via een nulmeting onderzocht welke kansen en mogelijkheden hiervoor binnen het ontwikkelingsproces aanwezig zijn.

Volgens Vincent Meijer, eigenaar businesspropositie Security & privacy van Ordina, staat er altijd veel druk op de snelheid waarmee IT-toepassingen moeten worden ontwikkeld: “Ook de eisen op het gebied van veiligheid en privacy worden steeds hoger. Dus is ons doel al direct grip te krijgen op het niveau van informatiebeveiliging. Dit kan door security en privacy vanaf het eerste begin – vanaf beleid, risicoanalyse en set van security-eisen – integraal mee te nemen en vooral op de juiste wijze toe te passen binnen de ontwikkelprocessen. Dat voorkomt dat je later op de rem moet gaan staan.”

Belast teams die IT-applicaties ontwikkelen niet met onnodige issues.

Superrelevant

Meijer vindt het daarbij vooral van belang om de teams die IT-applicaties ontwikkelen niet met onnodige issues te belasten: “Het IT-landschap is al complex genoeg. Dus voorzien wij de ontwikkelteams alleen van die eisen op het gebied van veiligheid en privacy die voor hun taak superrelevant zijn. Zo zien zij die niet als ballast en nemen zij die graag mee in het ontwerp.” Veiligheid en privacy moeten door iedereen gedeelde verantwoordelijkheden worden”, vindt Meijer. “We kunnen het ons niet langer veroorloven te blijven wachten op de security-specialist die een code-review of een pentest tegen hackers komt uitvoeren. Laten we er vooral voor zorgen dat iedereen dit als een cruciaal onderdeel gaat zien van de eigen taak. En laten we dat vooral goed faciliteren.”

Gepassioneerd bezig

“Bij VGZ gaat dit zeker gebeuren”, voorspelt Meijer. “De nulmeting heeft aangetoond dat het mogelijk is om security door de processen heen te verankeren. Wij helpen VGZ nu om die integratie ook daadwerkelijk tot stand te brengen.” En Meijer voert gesprekken met andere dienstverleners over dit onderdeel binnen Secure by design: “Ik krijg dezelfde vraag uit de zorg en de bankensector. Iedereen vindt het vreemd dat zo weinig IT-bedrijven hier gepassioneerd over zijn. Ordina loopt hierin duidelijk voorop.”

Veiligheid en privacy moeten door iedereen gedeelde verantwoordelijkheden worden.