FEops optimaliseert zijn cybersecurity met verbetertraject

FEops volgde EY’s cybersecurity verbetertraject, ondersteund door VLAIO, en heeft nu een scherper beeld op zijn informatiebeveiligingsbeheer.

FEops is een Gentse scale-up die wereldwijd actief is in de cardiovasculaire sector en ruim 95% van zijn omzet in het buitenland haalt. Het bedrijf heeft regulatoire goedkeuring voor de Europese, Australische, Canadese en Amerikaanse markten. Deze spin-off van UGent is vooral actief op het digitale traject dat voorafgaat aan hartoperaties, onder de vorm van computersimulaties. Op die manier verleent FEops steun aan cardiologen bij het plannen van hun ingrepen. In deze voorbereidende fase maakt het gebruik van CT-beelden die het met de artsen uitwisselt. Op basis van deze beelden bouwt FEops dan een virtueel model van het hart en simuleert het op voorhand de ingreep. Het voorspelt daarbij bepaalde parameters, zoals de risico’s op complicaties en hoe het implantaat zich zal gedragen binnen de patiënt.

“Dankzij onze ondersteuning kan de arts op een gepersonaliseerde manier de ingreep al virtueel inschatten en bepalen welk implantaat het best zal passen in de gegeven omstandigheden”, verduidelijkt CTO Peter Mortier. Een andere activiteit van de Gentse scale-up is de adviesverlening (van ontwerp tot vermarkting) aan bedrijven die cardiovasculaire implantaten ontwikkelen (o.a. stent-gebaseerde hartkleppen). In beide gevallen is de cyberveiligheid van de uitgewisselde digitale bestanden erg belangrijk, een gegeven waar FEops de laatste jaren intensiever mee aan de slag is gegaan. 

Cybersecurity ook in medische wereld steeds crucialer

“Wij wisselen constant medische data uit via een cloudapplicatie. Vanuit die optiek wordt cybersecurity voor FEops steeds crucialer”, aldus Peter Mortier. Ook de regelgevende instanties voeren in toenemende mate de druk op om aan steeds strengere beveiligingsnormen te beantwoorden. FEops was enige tijd terug op zoek naar een partner die hen kon helpen om te voldoen aan HIPAA, de Amerikaanse wetgeving rond bescherming van persoonsgegevens in de medische sector en – op enkele verschilpunten na – de tegenhanger van de Europese GDPR. FEops vertrouwde deze opdracht toe aan EY dat inhoudelijk een stevig onderbouwd en interessant voorstel had ingediend.

Verbetertraject

EY raadde FEops aan om een cybersecurity verbetertraject te volgen dat het aanbiedt via zijn partnership met VLAIO. FEops was bereid om te laten nakijken waar ze stonden op het vlak van cybersecurity. “Het is een feit dat cybersecurity een proces is dat continu moet worden gemonitord en bijgeschaafd. Bij de kick-off verzamelde EY informatie in over de bestaande cybersituatie via een reeks interviews. Na een tussentijds rapport voerde EY penetratietesten uit met specialisten (ethische hackers) die probeerden om in het FEops-netwerk binnen te dringen. Aansluitend maakte EY een rapport met een gedetailleerde oplijsting van de aspecten die voor verbetering vatbaar waren”, zegt Peter Mortier. En hij vervolgt: “Voor ons was het zeer verfrissend en leerrijk om van een externe partner een overzicht te krijgen van onze maturiteit inzake cybersecurity.” 

Nadien volgde de begeleiding met EY bij de implementatie en opvolging van de acties uit het rapport, om cybersecurity verder te integreren in de bedrijfsvoering. Het ging hierbij om het aanmaken van een risicoregister met bijhorend ISMS-handboek en controlemaatregelen op basis van ISO 27002:2022, het nader uitklaren van de technische tekortkomingen om te helpen mitigeren en het optimaliseren van incident management waarbij een procedure werd opgesteld om de continuïteit van de activiteiten te kunnen garanderen.

EY heeft FEops de aanzet gegeven om te werken aan het ‘ik ben in orde met cybersecurity’ keurmerk, wat internationale samenwerkingen kan faciliteren. FEops is momenteel verder acties aan het implementeren die in de rapporten werden aanbevolen, zodat het zich voortaan GDPR en HIPAA-compliant kan noemen. Deze implementatie gebeurde op basis van een gap-analyse die EY uitvoerde. Daarbij werd gekeken naar wat FEops al had en nog nodig had om HIPAA-compliant te zijn. Hoewel de HIPAA-naleving initieel de insteek van het cybersecurity verbetertraject was, werd de scope breder getrokken richting de voorbereiding naar een ISO 27001-certificatie. Resultaat: FEops heeft nu een breder en scherper beeld op zijn informatiebeveiligingsbeheer.
 

Informatiebeveiliging naar next level brengen

Dankzij het cybersecurity verbetertraject en de aanbevelingen van EY weet FEops wat hen te doen staat. Ze volgen momenteel het ISO 27001-traject met de bedoeling om de certificering in 2023 rond te krijgen. Aangezien ook ziekenhuizen de lat op het vlak van cybersecurity steeds hoger leggen, kan een certificering FEops de nodige extra credibiliteit en leverage geven.

Doordat FEops werk maakt van informatieveiligheid, dragen vertrouwen en weerbaarheid bij als concurrentievoordeel op de markt. FEops moet uiteraard alert blijven en de bewustwording rond cybersecurity vergroten bij zijn stakeholders. Het verbetertraject heeft zowel op organisatorisch vlak – de manier waarop ze hun cybersecuritybeleid uitwerken in hun bedrijfsvoering – als op technisch vlak nog een paar werkpunten aan het licht gebracht. Het blijft belangrijk dat ze het overzicht continu evalueren.