Michel Gulpen, Zuyderland: security als voorwaarde voor zorgcontinuïteit

“Dit is ook geen luxe voor ons, digitalisering is voor een brede organisatie zoals Zuyderland een noodzaak”, begint Gulpen. “Zeker in Zuid-Limburg hebben we te maken met snelle vergrijzing – dus meer zorgvraag – en minder zorgpersoneel – iets dat de komende jaren alleen maar erger gaat worden. Verdergaande digitalisering is in feite de enige mogelijkheid om verantwoorde zorg te kunnen blijven bieden.”

Zuyderland ontstond in 2015 uit een fusie en omvat een brede mix van zorgvormen, van ziekenhuiszorg tot ouderenzorg, GGz, thuiszorg en thuishulp. Die breedte vertaalt zich ook naar uiteenlopende securityvraagstukken. Toen Gulpen vijf jaar geleden begon, was security nog beperkt georganiseerd. Inmiddels is sprake van een gespecialiseerde afdeling die organisatiebreed opereert.

“De organisatie is groot en divers, met uiteenlopende behoeften en uitdagingen op security-gebied”, stelt Gulpen. Die groei weerspiegelt een bredere ontwikkeling: security wordt niet langer gezien als IT-vraagstuk, maar als onderdeel van de digitale zorgplicht. Het veilig kunnen gebruiken van digitale middelen is net zo vanzelfsprekend als fysieke patiëntveiligheid.

Digitalisering speelt daarin een sleutelrol. Denk aan monitoring op afstand en hybride zorgvormen, die niet alleen de druk op personeel moeten verlichten, maar ook de kwaliteit van zorg verbeteren. Tegelijkertijd vergroten deze ontwikkelingen het aanvalsoppervlak en daarmee de noodzaak van structurele beveiliging.

Mindshift in security

Met de groei van digitalisering verandert ook de rol van de security-afdeling. Waar security traditioneel vooral begrensde, verschuift de focus naar faciliteren, betoogt Gulpen.

“Hiervoor is wel een radicale mindshift nodig. We voeren eerlijk, open en transparant het gesprek over hoe we dit met zijn allen blijvend kunnen realiseren. We hebben het vraagstuk inmiddels omgekeerd. Mensen komen naar ons met een vraag: hoe kunnen we iets op een veilige manier doen. Dan heb je de juiste insteek bereikt.”

Die verschuiving is volgens de CISO essentieel om shadow IT tegen te gaan. Wanneer medewerkers zelf oplossingen gaan zoeken buiten de organisatie om, neemt het risico juist toe. Door security vroeg in processen te betrekken, ontstaat een cultuur waarin veilig werken onderdeel wordt van het dagelijks handelen.

Cultuur en vaardigheden

Die cultuurverandering vraagt tijd en inzet op alle niveaus van de organisatie. Volgens Gulpen begint dat bij bestuur en directie, maar moet het uiteindelijk landen op afdelingsniveau.

“Er zijn heel wat liters koffie doorheen gegaan om deze manier van samen veilig en weerbaar zijn, goed te laten landen. Maar die interactie zorgt er wel voor dat mensen op elk niveau snappen waar we voor staan en daarin willen meewerken.”

Daarbij spelen digitale vaardigheden een belangrijke rol. Binnen Zuyderland wordt actief gewerkt aan het verkleinen van verschillen in digivaardigheid, zowel bij medewerkers als bij patiënten. Initiatieven zoals Digipunten ondersteunen die beweging en maken digitalisering inclusiever.

AI als versneller én risico

De opkomst van AI voegt een nieuwe dimensie toe aan het securityvraagstuk. Enerzijds biedt AI kansen, bijvoorbeeld bij het verminderen van administratieve lasten. Anderzijds introduceert het nieuwe risico’s, met name rond datagebruik en controle. Gulpen: “Die discussie zie ik nog te weinig in de Nederlandse zorg. Ik vind het wel interessant om te zien hoe zich dat de komende tijd gaat ontwikkelen.”

Volgens Gulpen ligt het risico niet alleen in technologie zelf, maar ook in gedrag. Shadow AI – het ongecontroleerd gebruik van AI-tools door medewerkers – vraagt om een combinatie van beleid, bewustwording en technische maatregelen.

“Verder maken we richtlijnen en beleidskaders hier omheen. Maar soms dwingen we ook bepaalde zaken op de ‘harde’ manier af, door technologisch sommige zaken te verbieden. Deze gelaagdheid zorgt ervoor dat we nog enigszins grip op de ontwikkeling hebben.”

Data als fundament

AI maakt de afhankelijkheid van data explicieter dan ooit. Tegelijkertijd is de infrastructuur voor data-uitwisseling in de zorg nog niet overal op orde. Dat creëert een spanningsveld: de ambitie om meer met data te doen versus de technische en organisatorische beperkingen.

Er zijn in zorgland, mede ingezet vanuit het ministerie van VWS, inmiddels wel initiatieven om zowel landelijk als regionaal tot standaard en veilige data-infrastructuren te komen. Landelijk onder meer het programma CumuluZ en het Landelijk dekkend netwerk (LDN), regionaal en bovenregionaal onder meer een initiatief van Holland-Midden, Noord-Brabant en Limburg.

Ook Zuyderland ziet het belang van standaarden en interoperabiliteit om tot volledige databeschikbaarheid te komen. Binnen de organisatie wordt daarom ingezet op het versterken van de eigen databasis, onder meer via een datalake. Dat moet dienen als fundament voor toepassingen zoals dashboards en AI.

“Zeker wanneer we straks op steeds grotere schaal data gebruiken voor allerlei AI-toepassingen, moet dat vooraf al afgetikt zijn, zodat het altijd veilig en verantwoord gebeurt. Als je dat aan de voorkant al inregelt, maakt dat het gebruik aan de achterkant ook een stuk makkelijker.”

Op dit punt raken governance, juridische kaders en techniek elkaar direct, aldus Gulpen. Juist in de zorg, waar data vaak medisch en daarmee zeer gevoelig is, vraagt dit om een integrale aanpak zoals Zuyderland dat voorstaat.

Weerbaarheid als systeemvraagstuk

Naast een solide databasis is ook een stevige weerbaarheidsbasis nodig. Die bestaat niet alleen uit technologie, maar ook uit processen, beleid en cultuur. Gulpen hierover: “Wat mij betreft is allereerst belangrijk dat we goed overzicht hebben, want overzicht creëert inzicht. Zonder dat kun je nooit goed bepalen welke risico’s je hebt als het gaat om mensen, systemen en data, en op welk niveau je die risico’s moet of wilt afdekken.”

Inzicht vormt daarmee de basis voor dialoog binnen de organisatie, benadrukt de CISO: “We zien dit gebeuren, hoe gaan we hiermee om, wat is jullie oordeel; hoe kunnen we dit samen aanvliegen? Zo kun je de hele organisatie ook intrinsiek motiveren om vraagstukken goed op te pakken, werken mensen mee in plaats van tegen.”

Samenwerking en grenzen

Security is bij uitstek een domein waarin samenwerking cruciaal is. Zuyderland werkt samen met andere ziekenhuizen, brancheorganisaties en initiatieven zoals Z-Cert. Ook informele netwerken tussen CISO’s spelen een rol.

Tegelijkertijd wordt de impact van externe factoren groter. Geopolitieke ontwikkelingen kunnen direct doorwerken in de zorg, bijvoorbeeld via verstoringen in toeleveringsketens.

Soevereiniteit en realiteit

Ook vraagstukken rond datasoevereiniteit en afhankelijkheid van technologieplatformen spelen een steeds grotere rol. De praktijk blijkt weerbarstig: alternatieven zijn beperkt en vaak minder schaalbaar.

“Voor nu kijken we onder meer naar een betere scheiding tussen de data- en infrastructuurlaag”, benadrukt Gulpen. “Dat kan ons meer flexibiliteit geven in de keuzes die we in de toekomst moeten maken. Maar ook als we in een Europese cloud staan straks, draaien we mogelijk nog altijd op Microsoft active directory. Daar breng je niet zomaar verandering in.” Hier is volgens Gulpen heel duidelijk te zien dat strategische autonomie niet alleen een wens is, maar ook een langetermijn-vraagstuk.

Tussen zorg en onzekerheid

De balans tussen vooruitgang en risico’s loopt als rode draad door het verhaal. Professioneel kijkt Gulpen met vertrouwen naar de ontwikkelingen, mede door de groeiende aandacht voor weerbaarheid binnen organisaties.

“Er is een mindshift gaande in organisaties om weerbaarheid goed te regelen. Zuyderland vindt dit gelukkig ook heel belangrijk, dat is nog niet overal zo. Op persoonlijk vlak maak ik me wel eens zorgen over alles dat er in de wereld gaande is, en welke wereld we voor onze kinderen achterlaten.”