Michel Gulpen: “Cybersecurity is een boardthema geworden”
“Als je alles tegelijk wilt beveiligen, raak je het overzicht kwijt. Je moet weten waar je meer of juist minder kunt doen.”
Met die nuchtere observatie zet Michel Gulpen, CISO bij Zuyderland, direct de toon. Zijn uitgangspunt is dat security alleen werkt wanneer je scherp kiest. Het gesprek dat volgt laat zien hoe een zorgorganisatie met ruim 10.000 medewerkers innoveert zonder te ontsporen, en hoe een CISO daarin de rol van gids vervult, niet van poortwachter.
Het is precies het soort verhaal waar ons onderzoek naar innovatie in security om draait. Hoe maak je ruimte voor vooruitgang in een sector die tegelijk zwaar gereguleerd, maatschappelijk kwetsbaar en technisch complex is. En hoe zorg je dat innovatie niet een parallel spoor wordt, maar onderdeel van de governance, cultuur en strategie van een organisatie.
Over Michel
Huidige rol: CISO bij Zuyderland, verantwoordelijk voor informatiebeveiliging, privacy en bedrijfscontinuiteit.
Achtergrond: Michel is een ervaren securityprofessional die zich al jaren richt op risicomanagement, compliance en het ontwikkelen van volwassen securityprogramma’s. Hij werkte in diverse (internationale) organisaties als CISO, security lead, auditor en consultant. Zijn expertise ligt in het opbouwen van geïntegreerde managementsystemen en governanceprocessen die organisaties toekomstbestendig maken.
“Je moet ook niet te veel willen doen”
Zuyderland innoveert op veel fronten: nieuwe cloudomgevingen, digitalisering van werkprocessen, thuismonitoring en een groeiend aantal AI-toepassingen. In zo’n context is het verleidelijk om elk risico volledig dicht te timmeren. Michel ziet dat anders. “Waar je risicomanagement goed hebt ingeregeld, weet je precies waar je een tandje meer of minder mag bijzetten.”
Vooral bij de thuismonitoring wordt security uitdagender. Zodra data de veilige muren van het ziekenhuis verlaten, wordt de keten diffuus. Volgens Michel vraagt dat om een andere manier van denken: minder centraal, meer gedistribueerd, met duidelijke afspraken over eigenaarschap, consent en datastromen. Voorlopig is dit een praktijk die snel groeit, en waar security een wezenlijk onderdeel van moet zijn, niet een naslagpunt achteraf.
Scherp kiezen is noodzakelijk; en daarvoor is breed inzicht nodig. Daarom werkt de organisatie met één geïntegreerd risicoregister waarin security, privacy en continuïteit samenkomen. In plaats van losse lijstjes ontstaat er een totaalbeeld dat gedragen wordt door betrokken afdelingen.
Deze manier van werken werkt door in het beleid. Controles zijn vertaald naar meetbare taken, gekoppeld aan dashboards. Niet om te controleren om het controleren, maar om te voorkomen dat beleid een papieren werkelijkheid wordt. “Mijn audits gaan vrij makkelijk, kan ik je vertellen”, zegt Michel met een glimlach. Dat is het resultaat van een systeem dat dagelijks gevolgd wordt in plaats van jaarlijks geforceerd.
“Je moet bij mensen over de vloer komen om medewerking te krijgen.”
Waarom innovatie grenzen nodig heeft
Zuyderland is meer dan een ziekenhuisorganisatie. Ziekenhuizen, VVT-locaties, thuiszorg, thuishulp: het geheel is breed en complex. Innovatie gebeurt voortdurend, omdat de zorgpraktijk dat vraagt. De personeelsdruk is hoog en digitale middelen helpen zorg toegankelijk te houden.
AI speelt daarin een grotere rol dan veel mensen buiten de sector beseffen. Speech to text, besluitondersteuning, triage, monitoring op afstand: overal ontstaan initiatieven. Om die energie te benutten zonder risico’s te vergroten, werkt Zuyderland met een duidelijke afspraak: pilots zijn welkom, maar niet autonoom. “We hebben nu intern de afspraak: pilots komen eerst langs ons, zodat we de vangrails kunnen uitzetten.”
Die vangrails zijn niet bedoeld om innovatie te remmen, maar om te voorkomen dat nieuwe middelen buiten de governance vallen. Het AI-beleidskader dat Zuyderland ontwikkelt, omvat 25 disciplines. Niet om processen te verzwaren, maar omdat AI vrijwel altijd raakt aan juridische, ethische, medische en organisatorische vragen tegelijk.
En voor wanneer het toch mis gaat: oefenen, oefenen, oefenen
Ondanks de beste poging om cyberincidenten te voorkomen, is voor Michel niet de vraag of je moet oefenen, maar hoe vaak. De zorg kan simpelweg niet uitvallen, en de impact is direct zichtbaar in de regio. “Als er een cybercrisis is en we liggen plat dan geeft dat een zorginfarct in de regio. We hebben een verzorgingsgebied van ongeveer 500.000 inwoners. Als wij eruit liggen is het volgende station Venlo of Maastricht.”
Daarom oefent Zuyderland meerdere keren per jaar met scenario’s waarin systemen daadwerkelijk wegvallen. Wat doet de Spoedeisende Hulp, welke beslissingen neemt het bestuur, hoe worden patiënten geïnformeerd, en wat gebeurt er als digitale dossiers niet beschikbaar zijn?
Michel vindt die confrontatie noodzakelijk. Echte weerbaarheid ontstaat niet door beleid of software, maar door te weten hoe een organisatie reageert als de druk oploopt. Oefenen legt niet alleen kwetsbaarheden bloot, maar laat ook zien waar afhankelijkheden groter zijn dan gedacht. Die inzichten voorkomen dat een incident pas tijdens een crisis echt begrepen wordt.
Het bestuur moet achter de maatregelen staan
In een zorgorganisatie waar digitalisering en innovatie overal tegelijk plaatsvinden, is het volgens Michel onmogelijk om elke maatregel even streng door te voeren. Het maken van keuzes is dus belangrijk en dat helpt dat helpt bij het betrokken krijgen van het bestuur.
“Het valt of staat ook met commitment van de board. Op het moment dat de board het belangrijk vindt en zegt: jongens, ik wil graag rapportages krijgen, ik wil kunnen sturen, dan heb je volgens mij het goede verhaal te pakken en dan merk je ook dat je tractie krijgt in de organisatie.”
Die bestuurlijke steun geeft ruimte om prioriteiten uit te leggen, grenzen te stellen en te voorkomen dat security verzandt in brandjes blussen. Het maakt risicomanagement niet alleen een operationele activiteit, maar een gedeelde verantwoordelijkheid die doorwerkt in de besluitvorming op alle lagen. Daardoor ontstaat een omgeving waarin innovatie mogelijk blijft, juist omdat duidelijk is wat wel moet, wat niet hoeft en wat later kan.
Conclusie: cybersecurity hoort thuis in het bestuur
Michel ziet cyberweerbaarheid niet als een technisch vraagstuk, maar als een bestuurlijk thema dat structureel aandacht verdient. Niet omdat security belangrijk gevonden moet worden, maar omdat continuïteit, zorgkwaliteit en innovatie onmogelijk zijn zonder een bestuur dat daar actief op stuurt. In zijn woorden: cybersecurity moet net zo vanzelfsprekend aan de bestuurstafel liggen als financiën, zorgkwaliteit of patiëntveiligheid.
De rol van de CISO verandert daardoor mee. Niet alleen bewaken, maar richting geven. Niet alleen risico’s signaleren, maar organisaties helpen kiezen. En vooral: duidelijk maken wat de impact is wanneer digitale processen wegvallen in een sector die daar direct de gevolgen van voelt.
“Cybersecurity is een boardthema geworden”, zegt Michel. Het is een constatering, maar ook een opdracht aan elke organisatie die wil meegroeien met de ontwikkelingen die al in volle gang zijn.
Het interview met Michel maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
