IT & Operations

IT Auditors in spe lichten start-up Pluhz door

17 augustus 2017
looking

Toen een grote zorgverzekeraar zich met een eisenlijst meldde bij oprichter Robert Weij, merkte hij dat de app van zijn start-up PluhZ toch nog niet voldeed. Hij schakelde de hulp in van afstudeerders aan de opleiding IT Auditing van TIAS. Bas Weegels, Vladimir Sneider en Wahid Haidur gingen de uitdaging aan.

Pluhz is een app waar mensen 24/7 een vraag kunnen stellen of gecoacht kunnen worden op het gebied van gezondheidszorg. Medisch specialisten, verpleegkundigen en coaches beantwoorden deze vragen. De meeste vragen gaan over hoe om te gaan met stress, over de overgang en over de leefstijl.

Weij: ‘Pluhz is ontstaan vanuit het ziekenhuis. Ik was hoofd van de beschouwende vakken zoals interne geneeskunde, MDL, longgeneeskunde en cardiologie en altijd bezig met innovatieve dingen. Wat me opviel is dat innovaties in het ziekenhuis langzaam gaan. In de VS heb ik een concept van Apple gezien waar ze vragen beantwoorden van patiënten door gebruik te maken van een app in de cloud. ‘Waarom gaan we dat als ziekenhuis ook niet doen?’, vroeg ik me af: vragen beantwoorden van mensen die thuis zitten. Toen heeft het ziekenhuis me de mogelijkheid geboden om dat concept neer te zetten, maar dan wel georganiseerd van buiten het ziekenhuis.’ Het betekende een startup waar zorgondernemingen bij betrokken zijn. Al snel gingen onder meer de Erasmus Universiteit en medisch specialisten participeren in het project. Pluhz is van start gegaan met gezondheidsprojecten bij bedrijven, gemeenten en instellingen. Het verdienmodel is een brede waaier. Het ziekenhuis bijvoorbeeld betaalt per vraag. Aan de andere kant zetten bedrijven het in als arbodienst; ze nemen de dienst af per deelnemende werknemer. Ook bevat de app een stoppen-met-rokenproject – betaald per gebruiker – en een project dat draait om gezinsproblemen, betaald door de desbetreffende gemeente.

180 eisen

Het contact tussen Robert Weij en TIAS is ontstaan via Deloitte. Weij: ‘Ieder halfjaar laten we onze app daar nalopen.Checks gaan op het gebied van privacy en security. Vlak voor deze sessie waren we benaderd door een van de grote zorgverzekeraars. Die wilde een contract met ons afsluiten en had daarvoor een lijst met 180 eisen neergelegd. Dat heb ik met Deloitte besproken. Kort erna ben ik benaderd door drie afstudeerders van TIAS. Het contact was al snel heel leuk. Het waren technische jongens. Jongens die beschouwend zijn en analytisch.’

Bas Weegels is een van die drie afstudeerders. ‘De zorgverzekeraar stelde eisen aan de interne beheersing van de IT-omgeving,’ vertelt hij: ‘Dat deden ze aan de hand van een normenkader waarin circa 180 beheersmaatregelen waren gedefinieerd waaraan Pluhz zou moeten voldoen; een behoorlijke opgave voor een startup. Al snel kwamen we op het idee om een eigen normenkader op te stellen dat zich specifiek richt op de risico’s van Pluhz. Zo kun je die niet alleen aan de zorgverzekeraar tonen, maar aan alle potentiële nieuwe klanten. Organisaties willen nu eenmaal graag weten hoe beheerst de interne omgeving is van een bedrijf waar ze een contract mee afsluiten.’

NOREA Standaard 3000?

De drie deelnemers aan de IT-auditoropleiding bij TIAS - Bas Weegels, Vladimir Sneider en Wahid Haidur - begonnen hun onderzoek met testen waar het bedrijf op dat moment stond. Ze hebben gedaan alsof de app diende te voldoen aan de vereisten van de NOREA Standaard 3000, de standaard die gebruikt wordt door IT auditors in Nederland.

Als eerste moest er een normenkader gemaakt worden. Een normenkader bevat een set van beheersmaatregelen waartegen je kan toetsen. Een voorbeeld van een norm of beheersmaatregel is dat je voldoende sterke wachtwoordvereisten moet hebben in je applicatie. Of bijvoorbeeld beheersmaatregelen die toezien op logische toegangsbeveiliging en wijzigingsbeheer. Maar je kunt bijvoorbeeld ook eisen stellen aan capaciteitsmanagement, waarbij voorkomen kan worden dat de server overbelast raakt als het aantal gebruikers sneller groeit dan de capaciteit van de IT-omgeving. Of denk aan hoe je als organisatie je back-ups hebt ingeregeld. Weet je zeker dat je een back-up ook kunt terugzetten als er iets mis gaat? Zo zijn er meer onderwerpen. Die onderwerpen kunnen verschillende beheersmaatregelen bevatten en die komen op hun beurt in een normenkader.

‘Als basis voor het normenkader hebben we gekozen voor de Cloud Controls Matrix,’ vertelt Weegels. ‘We hebben gekeken naar wat het type dienst is dat Pluhz aanbiedt. In principe is dat een cloudoplossing. Een afnemer neemt een dienst af bij Pluhz en hoeft zelf zeer weinig aan te beheren; alles bevindt zich in de cloud.’ Toch zitten er specifieke risico’s aan een cloudomgeving. Weegels: ‘Het mooie aan de Cloud Controls Matrix is dat die specifiek toeziet op cloudrisico’s, met daarnaast een mapping naar de meest gebruikte normenkaders op het gebied van IT-beheersing. We vonden het belangrijk dat Pluhz een normenkader kreeg dat ook herkenbaar is voor andere organisaties. Pluhz moet er wel iets mee kunnen.’

De boel op orde

De Cloud Controls Matrix is behoorlijk uitgebreid. Niet alle beheersmaatregelen bleken van toepassing op de opdrachtgever. Weegels, Sneider en Haidur hebben dit veelgebruikte normenkader teruggebracht tot een werkbare omvang om de boel op orde te krijgen. Weegels: ‘In een organisatie waar de interne beheersing nog opgezet moet worden, heeft het weinig zin om een normenkader op te zetten en daarin heel veel beheersmaatregelen op te nemen. De uiteindelijk geselecteerde beheersmaatregelen, zijn in de beginjaren ruim voldoende om toe te zien op de belangrijkste risico’s die de organisatie loopt. Als Pluhz in de komende jaren in omvang en complexiteit toeneemt, kan worden bekeken of het opnemen van additionele beheersmaatregelen in het normenkader van Pluhz gewenst is’.

Vervolgens zijn de afstudeerders met Robert Weij, de app-ontwikkelaar en de IT-beheerder in gesprek gegaan. ‘We hebben alle beheersmaatregelen met elkaar getoetst door te bespreken hoe het proces nu in elkaar steekt,’ legt Weegels uit: ‘En we hebben testen gedaan in de app om zo te zien hoe het systeem ervoor staat. Daar waren we al een aantal dagen mee bezig. Je toetst dat op verschillende niveaus. Als je het hebt over de Pluhz-app, dan heb je het niet alleen over een app, maar ook over de database en server waar die op draait. Het toetsen van de beheersmaatregelen is dus niet beperkt tot de Pluhz-app alleen. De onderliggende infrastructuur is minstens zo belangrijk. Je toetst elke beheersmaatregel tegen de norm zoals opgenomen in het Pluhz-normenkader. Iedere afwijking van de norm stem je af met de opdrachtgever door middel van hoor en wederhoor.’

Bij alle bevindingen hebben de IT-auditors in spe risico’s geformuleerd. Weegels: ‘Waarom is dit punt relevant? Wat kan er gebeuren als dat punt misgaat? Dat is belangrijk om de klant een beeld te geven, zowel voor de organisatie zelf, als voor de klant die de dienst afneemt. Voor iedere bevinding hebben we een aanbeveling geschreven. De klant wil weten wat belangrijk is, hoe start hij het verbeterproces? We hebben een roadmap gemaakt waarin we alle bevindingen die we hebben aangetroffen op een tijdslijn hebben gezet waarbij we een logische volgorde hebben aangebracht om de bevindingen op te volgen. Je kunt je voorstellen dat de volgorde van het opvolgen van de bevindingen belangrijk is: sommige zijn sterk van elkaar afhankelijk. Dat komt terug in de roadmap. Zo kunnen we Pluhz helpen om de bevindingen zo snel mogelijk op te lossen. We hebben ze daarnaast een richtlijn gegeven binnen welke periode ze dat kunnen doen. We wisten al bij aanvang van de opdracht dat het niet mogelijk was om meteen een assurancerapport af te kunnen geven.’ Pluhz heeft nu onze resultaten en kan die opvolgen.’ Het doel is om vanaf 1 januari 2019 de eerste assuranceperiode te laten aanvangen en door een externe auditor te laten toetsen of de Pluhz-app voldoet aan de interne beheersing.

Professionaliseringsslag

‘Het heeft een mooi rapport opgeleverd dat niet in de la verdwijnt,’ zegt Robert Weij: ‘Het is fantastisch dat ze heel goed hebben beschreven wat we nog moeten doen en wat een reële tijdsplanning is. Het geeft ons het gevoel van ‘daar kunnen we wat mee.’’

De toekomst ziet Weij positief tegemoet. ‘Als we groeien zoals we willen groeien, - nu kun je nog wegkomen met bepaalde dingen omdat je nog niet heel groot bent – maar als je verder gaat groeien dan heb je een stukje IT auditing nodig. Dat hebben we deels afgedekt met Deloitte met halfjaarlijkse testen. Bas Weegels, Vladimir Sneider en Wahid Haidur hebben ons volledig doorgelicht, dus we weten wat goed gaat en waar we aandacht aan moeten besteden. En daar ben ik ze heel dankbaar voor. Ik zou elke startup aanraden om dit te doen, want je maakt gelijk een professionaliseringsslag. Als klein bedrijf is het heel wat om deze audit te doen, zowel in tijd als geld, maar je zet wel tien stappen vooruit. Als startup hebben we nu een mooi rapport waar zelfs grote organisaties jaloers op zijn.’ 

Executive Master of IT Auditing

Met de Executive Master of IT Auditing versterkt u uw IT-kennis en ontwikkelt u een unieke combinatie van technische en communicatieve vaardigheden.

Lees meer over deze master

Reageren
U kunt reageren op bovenstaand artikel. Reacties worden gemodereerd en na goedkeuring geplaatst.