Over CIZ
Het Centrum Indicatiestelling Zorg (CIZ) is een publiekrechtelijk zelfstandig bestuursorgaan van het ministerie van volgezondheid, welzijn en sport. Zij houden zich bezig met de indicatiestelling op het gebied van de Wet Langdurige Zorg (WIZ) en de uitvoering van de Wet zorg en dwang (Wzd). Daarbij adviseren zij op het gebied van dubbele kinderbijslag (BUK). CIZ heeft 4 regiokantoren in Nederland die gevestigd zijn in Amsterdam, Rotterdam, Nijmegen en Zwolle. Het hoofdkantoor bevindt zich in Utrecht. Momenteel heeft het CIZ rond de 1500 werknemers. Kees Poederbach, voormalig CISO en privacy officer, was één van die werknemers en heeft ruim 7 jaar gewerkt voor het CIZ.
Cybersecurity CIZ
De gehele IT-dienstverlening van CIZ is uitbesteed aan ATOS/ Accent Automatisering. Jaarlijks verkrijgt het CIZ certificaten en assurance rapporten met betrekking tot de kwaliteit van deze uitbestede dienstverlening. Naast deze documenten was er behoefte aan aanvullende informatie op het gebied van de cybersecurity. Dit was dan ook de reden voor Kees om op zoek te gaan naar een externe partij die het CIZ hierbij kon gaan helpen. De overwegingen om SBL Cybersecurity te selecteren als partij waren de volgende:
“Er waren offertes opgevraagd bij 3 verschillende dienstverleners die een cybersecurity assessment zouden gaan uitvoeren op basis van het NIST Cybersecurity Framework. SBL Cybersecurity was kwalitatief de beste aanbieding qua ‘value for money’. Kortom, alles was heel transparant.”
Aanvullend geeft Kees nog aan:
“Ik vond het vooral belangrijk dat we met de aanpak voldoende houvast kregen om er daadwerkelijk iets mee te doen. De professionaliteit ervoer ik dan ook gelijk bij Stef, met name in de gesprekken die we hadden. Ik had gelijk door dat hij wel van de hoed en de rand weet.”
Verder heeft SBL Cybersecurity al veel ervaring bij grotere (overheid)organisaties. Dit zorgde voor vertrouwen.
“Stef heeft overheidservaring en dit klikte. Hij komt en kwam bij organisaties die ik ook ken wat zorgde voor een extra raakvlak.”
Nadat de beslissing genomen was om met SBL Cybersecurity in zee te gaan werden alle doelen goed doorgesproken. Zo wilde het CIZ graag inzicht krijgen in de cybersecurity risico’s. Kees verwoordt dit zelf erg mooi:
“Plat gezegd wilde we graag onder de motorkap kijken maar gezien de contractuele afspraken konden wij dit zelf niet doen. Niet alleen maar zeggen we hebben een certificaat maar ook echt de diepte ingaan.
Het CIZ wilde ook een indruk krijgen van de kwaliteit van de uitvoering van de werkzaamheden door de huidige IT-dienstverlener (ATOS/Accent).
De uitvoering
SBL-cybersecurity heeft gebruik gemaakt van het NIST cybersecurity framework. Het NIST Cybersecurity framework bestaat uit een vijftal categorieën die gericht zijn op het identificeren en beschermen van bedrijfsmiddelen en het detecteren, reageren en herstellen van cybersecurity gebeurtenissen/dreigingen.
SBL heeft op basis van dit framework een uitgebreide vragenlijst gehanteerd waarmee een diepgaande analyse van de cyberweerbaarheid van CIZ is uitgevoerd. Het resultaat is vastgelegd in een uitgebreide rapportage met aanbevelingen en concrete stappen waar het CIZ aan kan werken.
In dit onderzoek is er ook gebruik gemaakt van zogenoemde ethical hackers die gebruikt worden om het systeem geautoriseerd binnen te treden. Zij kunnen zo ontdekken of ze bij informatie kunnen die eigenlijk niet beschikbaar mag zijn voor buitenstaanders. Kees gaf aan dat hij in eerste instantie vanuit deze hackers een stukje diepgang miste in de rapporten:
“Ik heb in het begin veel bij moeten schaven aan de rapporten omdat ik hierin enkele handvatten miste. Het rapport bevatte veel feitelijke informatie zonder een daarmee verbonden oordeel.”
Nadat Kees dit heeft aangekaart bij Stef ziet hij echter al snel een positieve verandering in het rapport.
“Ik heb dan ook gelijk aan Stef gevraagd of hij hiernaar wilde kijken. Dankzij Stef zijn input en opmerkingen wist ik wat de vervolgstappen zouden zijn. Via dit rapport konden we dan ook de volgende fase ingaan.”
Verder vonden er tussentijds ook verschillende gesprekken plaats. SBL Cybersecurity geeft de klant graag altijd de mogelijkheid om aan te geven waar zij de focus op willen hebben, met name in de rapportages. Kees vond het dan ook erg fijn dat hij tussentijds kon aangeven waar hij tegenaan liep of wat hij ervan vond.
Daarnaast heeft Stef van SBL Cybersecurity de resultaten en bevindingen ook moeten presenteren aan het bestuur van het CIZ. Wat er precies aan het bestuur gepresenteerd en verteld zou worden, wordt van tevoren altijd goed overlegd. Zo worden de wensen van onze klanten altijd meegenomen:
“Ik vond het belangrijk dat Stef zijn boodschap afstemde op het publiek wat hij voor zich zou gaan hebben. Stef liet vanaf het begin zien dat hij het in zich had om dit goed aan het management en bestuur te presenteren. Hij geeft duidelijk uitleg over lastige onderwerpen. Door de handige plaatjes en het model wist hij de boodschap en de informatie heel goed over te brengen.”
Het resultaat

Dankzij de samenwerking met SBL Cybersecurity heeft het CIZ antwoord gekregen op de cybersecurity risico’s op basis van NIST CSF (NIST Cybersecurity Framework). Daarbij hebben ze hiermee ook een model gekregen wat herhaald kan worden.
“Dankzij de handige spreadsheet met vragen per onderdeel weten we nu hoe we de cybersecurity in de toekomst zelf kunnen bijhouden.”
Kees is dan ook erg te spreken over de samenwerking tussen SBL Cybersecurity en het CIZ. Zelf zou hij de dienst zeker aanbevelen:
“Ik zou SBL Cybersecurity zeker aanbevelen aan anderen. Wat met name beviel was de deskundigheid van Stef, dit kwam erg goed naar voren in de verschillende gesprekken en de presentatie voor het management. Daarnaast vond ik de tussentijdse bijsturing en de vorm van de rapportages erg fijn.”
Herken je jouw organisatie in dit probleem en ben je benieuwd wat SBL voor jouw organisatie kan doen? Neem dan snel contact met ons op!