Jo Van der Auwera, Chief Compliance Officer bij FibriCheck
De Limburgse scale-up FibriCheck is de wereld aan het veroveren met zijn app om hartritmestoornissen te detecteren. Om de gevoelige medische data van de gebruikers te beschermen, staat cybersecurity er helemaal bovenaan de agenda. Het verbetertraject dat de experts van Cranium met VLAIO-steun uitwerken, legt de lat nog hoger. “Je moet van meet af aan voluit inzetten op cyberveiligheid, of je zingt het in de wereld van de digitale gezondheidszorg niet lang uit”, zegt Jo Van der Auwera, Chief Compliance Officer bij FibriCheck.
FibriCheck maakt het mogelijk om zelf hartritmestoornissen op te sporen, door simpelweg je vinger op de camera van je smartphone te plaatsen. De app is in steeds meer landen goedgekeurd en wordt door steeds meer artsen voorgeschreven om hun patiënten vanop afstand op te volgen en te monitoren. FibriCheck lanceerde met Extra Horizon ondertussen ook een tweede pijler waarmee bedrijven zélf medische applicaties kunnen bouwen op een cloud platform.
Gebruikers vertrouwen ons hun medische data toe en ze verwachten terecht dat wij daar zorgvuldig mee omspringen
“Cyberveiligheid is extreem belangrijk voor ons”, benadrukt Jo Van der Auwera. “Digitale gezondheid is dé trust business bij uitstek. Gebruikers vertrouwen ons hun medische data toe en ze verwachten terecht dat wij daar zorgvuldig mee omspringen en die niet te grabbel gooien. Van alle data die mensen delen, zijn die over hun eigen gezondheid waarschijnlijk het meest delicaat en het meest waardevol. Vertrouwen is reden nummer één om met ons in zee te gaan. Vertrouwen dat we jouw gezondheid vooruit kunnen helpen én vertrouwen dat je gezondheidsdata in veilige handen zijn.”
“Je moet van meet af aan voluit inzetten op cyberveiligheid, of je zingt het in onze sector niet lang uit. Onze klanten vragen hoe we hun data en hun privacy beschermen, maar ook regelgevende instanties stellen strenge cyberveiligheidseisen. Dat was al zo toen we begonnen, maar op een paar jaar tijd zijn ze alleen maar strenger en veeleisender geworden. Cybersecurity is voor ons geen extra, het is de basis. Zonder waterdichte cyberveiligheid krijgen we geen license to operate. Elke nieuwe gebruiker prikkelt ons om onze cyberveiligheid in vraag te stellen en verder aan te scherpen.”
Het kasteel beveiligen
Cranium - Latijns voor ‘schedel’, die “onze eigen menselijke data beschermt” – zette voor FibriCheck een verbetertraject op om de cybersecurity naar een nog hoger niveau te brengen. “We zijn buren op de Corda Campus in Hasselt, we wisten wat FibriCheck doet”, zegt Koen Mathijs. “We wisten dus ook dat ze fors investeren in cyberveiligheid en dat ze daar al erg matuur in zijn. Er is al veel expertise en een grote sense of urgency. Soms moeten we kmo’s nog overtuigen van het belang van cybersecurity, bij FibriCheck staat die vanaf dag één al helemaal bovenaan de agenda. Maar VLAIO heeft de trajecten niet voor niets verbétertrajecten genoemd. Er is altijd marge om het nog beter te doen, zelfs bij de technologisch meest geavanceerde ondernemingen.”
“Technologie evolueert razendsnel. Cyberveiligheid vraagt dus ook voortdurend om nieuwe innovaties. Wij brengen inzichten uit andere bedrijven en andere sectoren binnen. Het helpt altijd om je eigen cyberverdediging eens door de ogen van een buitenstaander te bekijken.”
Technologie evolueert razendsnel. Cyberveiligheid vraagt dus ook voortdurend om nieuwe innovaties
“Stilstaan is achteruitgaan”, vult Van der Auwera aan. “Cranium helpt ons om te weten wat er leeft in de markt. Wij zijn een scale-up, we groeien heel snel. Dat betekent dat er ook voortdurend nieuwe cyberveiligheidsrisico’s bijkomen. Die moet je continu monitoren, je verdedigingsmuur moet continu steviger worden. Eeuwen geleden hadden ze in Engeland al een spreekwoord: ‘My house is my castle.’ Vroeger volstonden een hoge muur en een slotgracht om je kasteel veilig te houden, vandaag moeten mensen met slechte bedoelingen niet eens de muur of de gracht meer over. Je bent op veel meer plekken kwetsbaar, ook vanop afstand.”
De metafoor van het kasteel is herkenbaar voor Mathijs. “Dan komen we bij een bedrijf en zien we een hek met prikkeldraad, camera’s, veiligheidsagenten die patrouilleren. We geraken niet binnen zonder badge en zonder identificatie. Maar die ondernemingen hebben tegelijkertijd wel computersystemen die zo lek zijn als een zeef. Ze beseffen niet dat cybercriminelen een heel bedrijf plat kunnen leggen via één smartphone, één computer of één sensor. Dan zijn al die dure veiligheidsmaatregelen om je kantoren of je fabriek te beschermen nutteloos. Cyberveiligheid is een integraal en onmisbaar onderdeel van elk veiligheidsbeleid.”
Altijd vertrekken van het allerergste scenario
Het cybersecurity verbetertraject bij FibriCheck is na de zomervakantie gestart, verduidelijkt Van der Auwera. “Het traject verloopt in drie fases: eerst de analyse van de huidige situatie en de bestaande maatregelen, dan een concreet verbeterplan met prioriteiten en met het mappen van acties, en tenslotte de roll-out van die verbeteracties. We zijn nog maar net gestart, we zitten ergens tussen de eerste en de tweede fase in.”
Wat is het ergste dat ons kan overkomen? Dat absolute rampscenario is de leidraad. Daar moeten we ons tegen wapenen, daar leggen we de lat
“Hout vasthouden, maar we hebben nog nooit een cyberveiligheidsincident gehad. Dat is omdat we heel streng zijn voor onszelf, nu ook weer met het verbetertraject dat we samen met Cranium uitwerken. We denken nooit dat het ons niet kan overkomen. Eén lek kan een enorme impact hebben op de continuïteit van FibriCheck, dus we moeten altijd en overal het zekere voor het onzekere nemen. Better safe than sorry. Bij elk plan vertrekken we van het worst case scenario. Wat is het ergste dat ons kan overkomen? Dat absolute rampscenario is de leidraad. Daar moeten we ons tegen wapenen, daar leggen we de lat.”
Medewerkers op de rooster
“Belangrijk is dat het verbetertraject niet alleen inzoomt op technologie”, vindt Van der Auwera. “Technologie is en blijft mensenwerk, dus al onze medewerkers moeten doordrongen zijn van het belang van cyberveiligheid. We zijn voortdurend nieuwe mensen aan het onboarden, we leren hen hoe ze risico’s detecteren en vermijden. We organiseren voor iedereen halfjaarlijkse trainingen, (lacht) onze security officer legt tussendoor ook mensen op de rooster als ze onvoorzichtig zijn. In het verbetertraject van VLAIO zit ook standaard e-learning en we krijgen ook een phishing training om pogingen te herkennen en af te blokken.”
“Het helpt dat we naar onze klanten toe heel helder en transparant communiceren over de manier waarop we hun data beschermen. Dat dwingt ons om ook intern heel goed na te denken over cyberveiligheid. Het werkt in twee richtingen. We krijgen van gebruikers vaak positieve feedback. Die verspreiden we – uiteraard volledig geanonimiseerd – onder onze medewerkers. Als onze mensen zich ervan bewust zijn dat onze technologie levens helpt redden, vertaalt die verantwoordelijkheid zich ook naar de omgang met waardevolle en gevoelige persoonsgegevens.”