Michel Gulpen: “Iedereen begon de mail massaal als phishing te melden, dat was een trots moment”
Zuyderland is een brede zorgorganisatie waar digitalisering en innovatie continu doorlopen: cloudmigraties, nieuwe werkplekken, thuismonitoring, data-intensieve systemen en een groeiend aantal AI-toepassingen. In die context moet security richting geven in plaats van remmen. Het gesprek met Michel laat zien hoe dat er concreet uitziet.
Risicogestuurd werken met actieve betrokkenheid van de board
Zonder bestuurlijke aandacht blijft risicomanagement volgens Michel vrijblijvend. Bij Zuyderland is dat anders. Pas als het bestuur actief meekijkt, vragen stelt en zelfs wil meedenken kan je als security team impact maken. “Het valt of staat met commitment van de board. Op het moment dat de board zegt: jongens, ik wil rapportages zien, ik wil kunnen sturen, dan krijg je het goede gesprek en merk je dat je tractie krijgt in de organisatie.”
Daarbij is het belangrijk om scherpe keuzes te maken. In plaats van overal tegelijk maatregelen door te voeren, concentreert Zuyderland zich op risico’s die daadwerkelijk impact hebben op zorgcontinuïteit. Dat gebeurt via 1 geïntegreerd risicoregister waarin security, privacy en bedrijfscontinuïteit zijn samengebracht. Het resultaat is een gedeeld beeld waarop bestuurders en afdelingen beslissingen kunnen baseren.
“Waar je risicomanagement goed hebt ingeregeld, weet je waar je extra stappen moet zetten én waar je ruimte hebt om minder te doen. Dat geeft rust en duidelijkheid in een grote organisatie.”
Innovatie mogelijk maken door duidelijke kaders te stellen
Innovatie hoeft security niet te vertragen, vindt Michel. Sterker nog: zonder duidelijke kaders wordt innovatie juist onvoorspelbaar. Daarom hanteert Zuyderland een simpele afspraak voor AI-projecten en andere vernieuwingen: pilots mogen, maar wel binnen afgebakende grenzen.
“We hebben nu intern de afspraak dat pilots eerst langs ons komen, zodat we de vangrails kunnen uitzetten.” Die aanpak is praktisch en voorkomt dat losse initiatieven uitgroeien tot onbeheersbare risico’s. Als een pilot kansrijk blijkt, volgt een formeel traject met duidelijke eisen op het gebied van privacy, security, integratie en beheer. Zo ontstaat ruimte om te experimenteren zonder dat de fundering onder het zorgproces wankel wordt.
Met een AI-beleidskader waarin 25 disciplines meewerken, zorgt Zuyderland ervoor dat nieuwe technologie niet alleen technisch beoordeeld wordt, maar ook juridisch, organisatorisch en medisch. Dat is volgens Michel noodzakelijk in een sector waar beslissingen direct invloed hebben op patiënten en medewerkers.
Oefenen om kwetsbaarheden te herkennen voordat ze problemen vormen
“Als wij eruit liggen, dan geeft dat echt een zorginfarct. We hebben een verzorgingsgebied van ongeveer 500.000 inwoners. Het volgende station is Venlo of Maastricht. Daar word je niet vrolijk van.” Zuyderland organiseert daarom meerdere keren per jaar oefeningen waarin systemen bewust wegvallen. Welke stappen neemt de Spoedeisende Hulp? Hoe informeert het bestuur de zorgteams? Wat gebeurt er wanneer dossiers tijdelijk niet te raadplegen zijn?
Oefeningen leggen bloot waar processen stagneren, waar communicatie ontbreekt en waar afhankelijkheden groter zijn dan vooraf gedacht. Michel benadrukt dat het beter is om die pijnpunten tijdens een oefening te ontdekken dan tijdens een werkelijke crisis. Voor hem is oefenen daarom een structureel onderdeel van het werk.
“Je wilt niet tijdens een incident ontdekken dat processen niet op elkaar aansluiten. Oefenen maakt zichtbaar wat in de dagelijkse praktijk onzichtbaar blijft.”
Cultuur als graadmeter voor digitale weerbaarheid
1 van de momenten waar Michel zichtbaar trots op is, gaat niet over techniek, maar over gedrag. Tijdens een medewerkerstevredenheidsonderzoek werden mails verstuurd die niet als veilig gemarkeerd waren. Medewerkers vertrouwden het niet en meldden het massaal als phishing.
Dat is voor Michel een belangrijke indicatie dat securitybewustzijn niet alleen in e-learning zit, maar in dagelijkse alertheid. Organisaties die zich richten op gedrag, niet alleen op tooling, bouwen volgens hem aan een fundament dat incidenten kan beperken voordat ze ontstaan.
Digitale zorg vraagt om een andere manier van beveiligen
Zuyderland begeleidt inmiddels duizenden patiënten thuis via digitale coaches, slimme pleisters en andere monitoring. Daarmee verschuift het zwaartepunt van beveiliging: data bevindt zich niet alleen binnen het ziekenhuis, maar overal. Dat vraagt volgens Michel om een andere manier van denken. Minder centraal, meer gedistribueerd. Met duidelijke afspraken over datastromen, eigenaarschap en consent.
“We hebben een pilot gedaan met astmapatiënten waarbij we via smartwatches data uitlezen en trends herkennen. Zo kunnen we medicatie eerder bijstellen.” Dat zijn ontzettend mooie projecten, en het is belangrijk dat deze gevoelige data op een veilige manier wordt gedeeld en opgeslagen om datalekken te voorkomen.
Conclusie: cyberweerbaarheid vraagt om bestuurlijke aandacht, duidelijke kaders en realistische oefening
Michel ziet cyberweerbaarheid als een organisatievraagstuk. Zonder bestuurders die verantwoordelijkheid nemen, zonder kaders waarbinnen innovatie kan plaatsvinden en zonder oefeningen die de echte pijnpunten laten zien, blijft security fragmentarisch. Zijn verhaal laat zien hoe je als grote organisatie richting houdt in een omgeving die steeds digitaler, drukker en afhankelijker wordt.
“Op het moment dat de board wil sturen, krijg je tractie in de organisatie.”
Het interview met Michel Gulpen maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen security professionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.