Nadat Rivas Zorggroep voor P&O, Finance en Inkoop was overgestapt van Oracle EBS naar AFAS, moest het op zoek naar een losstaande oplossing voor Identity & Access Management voor het instroom-, doorstroom- en uitstroomproces voor het personeel. Rivas koos voor SmartAIM, dat binnen vier maanden werd uitgerold, inclusief de benodigde koppelingen met andere systemen. Een knap staaltje werk, waarbij het scheelde dat Rivas al gewend was aan Roll Based Access Control (RBAC). Applicatiebeheerders Jeroen Verweij en Roy Krutzer kijken terug op een succesvol traject en zijn aangenaam verrast over de mogelijkheden van SmartAIM. “Het lijkt wel een Zwitsers zakmes.”
Rivas Zorggroep is een stichting die verschillende soorten zorg levert in de regio tussen Dordrecht en Gorinchem. Het levert onder meer ziekenhuiszorg, woonzorg, verpleeghuiszorg, huren met zorg, wijkverpleging, revalidatie, dagbesteding en dagbehandeling. Er werken meer dan 5000 medewerkers en daarnaast telt Rivas Zorggroep duizenden vrijwilligers.
Jeroen werkt alweer 19 jaar bij Rivas, eerst in de fysieke beveiliging en zo’n 3 jaar geleden stapte hij over naar de digitale beveiliging op de IT-afdeling. Hij vertelt dat Rivas zo’n 70 verschillende locaties telt, waarvan het Beatrixziekenhuis in Gorinchem de grootste is. Daarnaast heeft Rivas 17 woonlocaties en biedt Rivas in een deel van Noord-Brabant, Zuid-Holland, Gelderland en Utrecht wijkverpleging
Zijn collega Roy vult aan dat er in totaal misschien wel 500 verschillende afdelingen zijn en dat het aantal verschillende functies vrijwel wekelijks stijgt. “Ik schat dat we nu al boven de 500 functies uitkomen. Dus dan gaat het om zo’n 250.000 verschillende situaties waarvoor je de toegang goed moet regelen en beheren”, aldus Roy. Geen wonder dat dit proces zo veel mogelijk wordt geautomatiseerd binnen Rivas Zorggroep.
De aanleiding
Toen de zorginstelling besloot Oracle EBS na veertien jaar uit te faseren en voor een aantal afdelingen, waaronder P&O, overstapte op AFAS, betekende dit dat het op zoek moest naar een solide IAM-oplossing voor het zogeheten Joiners-Movers-Leavers-proces. Deze manier van Identity and Access Management (IAM) zorgt onder meer voor een efficiënte onboarding, nauwkeurig beheer van toegangsrechten wanneer medewerkers van functie veranderen en bij vertrek worden de toegangsrechten automatisch ingetrokken. “Bij Oracle EBS was dit door middel van maatwerk toegevoegd volgens het RBAC-model. Bij AFAS bleek dit niet het geval. Na een uitvoerig selectieproces zijn we middels een tender uiteindelijk bij SmartAIM uitgekomen”, vertelt Jeroen.
Het belang van een goede IAM-oplossing voor de zorg
Goed Identity and Access Management (IAM) is van cruciaal belang voor alle organisaties, maar zeker voor zorginstellingen zoals Rivas. “Wij moeten de privacy van onze patiënten en cliënten waarborgen, aan wettelijke eisen voldoen, onze beveiliging 24/7 versterken, maar ook de efficiency verbeteren en over het algemeen de operationele integriteit van de organisatie waarborgen”, vertelt Roy.
Hij en zijn collega’s moeten ervoor zorgen dat alleen geautoriseerde personen toegang hebben tot gevoelige medische en persoonlijke patiëntinformatie. Daarnaast is de gezondheidszorgsector onderhevig aan strikte wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en andere lokale wetten. Zo geldt voor toegang tot de medicatieruimte bijvoorbeeld de Opiumwet. “Een effectief IAM-pakket zorgt ervoor dat we voldoen aan deze wettelijke eisen”, licht Jeroen toe.
Daarnaast kan zo’n pakket risico’s op bijvoorbeeld ongeoorloofd toegang, datalekken of identiteitsdiefstal verminderen. IAM-software helpt bij het beheren en monitoren van gebruikersrechten en -toegang, waardoor de kans op beveiligingsincidenten wordt verkleind. Een ander groot voordeel van IAM-software is de optimalisatie van het toegangsbeheerproces. “Hierdoor krijgen medewerkers snel toegang tot de benodigde systemen en applicaties. Dit levert efficiency en productiviteitswinst op en sowieso veel minder gemopper van medewerkers en hun leidinggevenden”, licht Roy toe.
Stel, je krijgt een ziekmelding binnen van een verpleegkundige en die wordt vervangen door een zzp’er. Jeroen: “Die moet vaak binnen een paar uur aan de slag kunnen. Met SmartAIM kan dit binnen het uur geregeld worden, omdat het script voor de koppelingen ieder uur loopt. In de oude situatie was dit 4 tot 8 uur. Overigens kan het nóg sneller als je het meteen handmatig regelt, wat handig kan zijn in noodgevallen. Het systeem biedt dus veel flexibiliteit en levert ons veel tijdwinst op.”
Doordat SmartAIM de mogelijkheid biedt om specifieke toegangsrechten toe te kennen op basis van rollen, krijgen medewerkers alleen toegang tot applicaties en data die relevant zijn voor hun functie, wat het beheer vereenvoudigt en de beveiliging versterkt. Daarnaast biedt het pakket mogelijkheden voor uitgebreide auditing en rapportage. Dit helpt bij het monitoren van gebruikersactiviteiten, wat cruciaal is voor het identificeren van verdachte of ongeautoriseerde toegangspogingen.
Over het implementatieproces
Nadat de keus op SmartAIM was gevallen, moest er snel worden geschakeld. Binnen vier maanden zou AFAS live gaan. Roy: “Ik weet nog dat SmartAIM zei: WIJ durven het wel aan. Maar zijn JULLIE er intern ook klaar voor? Gelukkig bleek dat het geval. Het scheelde dat wij al gewend waren de toegang op basis van rollen te regelen. RBAC hadden wij al compleet in de vingers zitten.”
In februari 2022 ging SmartAIM live, nadat het bedrijf uit Houten de koppelingen rechtstreeks op AFAS had gebouwd, dat een maand ervoor was uitgerold. Er was dus slechts een maand lang sprake van dubbele mutaties. De twee applicatiebeheerders zijn naar eigen zeggen ‘super enthousiast’ over de mogelijkheden van SmartAIM. Jeroen: “We kunnen het IAM-softwarepakket niet op fouten betrappen. Als het fout gaat, is er een fout gemaakt bij de invoer van gegevens in een ander pakket. Of onze functiematrix is niet helemaal compleet. Dat is een geruststellende gedachte.”
De twee weten dat er nog veel meer uit SmartAIM gehaald kan worden dan nu al het geval is, dus de komende tijd staat in het teken van uitbreiding en optimalisatie. Nu is er bijvoorbeeld nog sprake vaneen minimale koppeling voor de Active Directory, waarbij er alleen een account aangemaakt wordt, waaraan een aantal groepen worden gekoppeld. In de toekomst wil Rivas dit verder uitbouwen. Bijvoorbeeld door ooknetwerkschijven toe te kennen en door applicaties te koppelen die specifiek voor bepaalde groepen medewerkers nodig zijn. Dit levert niet alleen een aanzienlijke tijdsbesparing op, omdat dit nu nog handmatig bij de servicedesk gebeurt, maar ook een betere monitoring. “Als iemand binnen het bedrijfeen andere functie krijgt, wordt dan niet vergeten om bepaalde autorisaties in te trekken, zoals nu nog weleens gebeurt”, aldus Roy.
Een van de belangrijkste pluspunten van SmartAIM is de zelfontwikkelde methode op basis van de IST- en SOLL-situatie. IST is de bestaande situatie, de personen die nu toegang hebben, de autorisaties die nu uitgegeven zijn en de business rules die nu gedefinieerd zijn. SOLL is waar de organisatie naar toe wil of moet. “Wij krijgen met SmartAIM steeds meer inzicht in de situatie. Met één druk op de knop zien we welke rollen zijn toegekend”, licht Roy toe. SmartAIM kan bovendien zo rigide of soepel ingericht worden als de organisatie zelf wil. “De Safety Officer bepaalt uiteindelijk het speelveld. Die flexibiliteit is echt een pré.”
Uitdagingen en toekomstplannen
De krappe planning werd van tevoren gezien als de grootste bottleneck. “Maar uiteindelijk hebben we in SmartAIM een partner gevonden die met ons mee wilde denken en proactief wilde anticiperen. Door strak projectmanagement aan beide kanten konden weecht meters maken”, aldus Jeroen. Door de komst van SmartAIM is er ook een gedragsverandering bewerkstelligd. “Er is nog maar één waarheid en dat is die van SmartAIM. Het IAM is een stuk zuiverder wordt. Het loopt niet meer uit de pas. We werken nog maar met één UID (gebruikersidentificatie) voor alle systemen, dat afkomstig is uit AFAS.”
Daarnaast is SmartAIM buitengewoon flexibel, benadrukt Jeroen. “En dan heb ik het niet alleen over het systeem, maar ook over de mensen die er werken. Bij een incident wordt er een ticket aangemaakt dat doorgaans snel wordt opgepakt. De lijntjes zijn kort en er werken deskundige mensen, die ieder hun eigen specialisme hebben. Als we een vraag hebben wordt die opgepakt door degene die er het meest vanaf weet. De samenwerking verloopt heel prettig.”
Tips voor andere organisaties
Voor organisaties die werk willen maken van automatisch Identity and Access Management hebben de twee nog wel wat tips en adviezen. Jeroen: “Weet welke paden je wilt bewandelen. Breng in kaart welke koppelingen er al zijn en hoe die plaatsvinden en denk na over hoe je dit in de toekomst geregeld wilt hebben. Breng je processen in kaart, teken ze uit, desnoods op de achterkant van een bierviltje.”
Roy voegt hier nog aan toe dat je oog moet hebben voor je schaalgrootte. “Een bedrijf met ruim 5.000 medewerkers zoals wij heeft best wel een groot verloop in joiners, movers, leavers. Maar als je maar 50 medewerkers hebt, dan wordt dit een ander verhaal. Je moet dat omslagpunt eerste zien te bepalen. En vergeet ook niet je eerst goed in RBAC te verdiepen, voordat je een plan opzet.”
Hij vergelijkt SmartAIM wel eens met een Zwitsers zakmes. “Je kunt er ontelbaar veel dingen mee. Je moet alleen wel weten welke opties er allemaal opzitten. En dat lukt je alleen als je een bepaalde IAM-volwassenheid bereikt.”
