
Lees over de openheid van de Ons® Suite en hoe dit bijdraagt aan werkgemak en zorgkwaliteit.
Over de Software Development Life Cycle
Achter de schermen werkt een groep specialisten van Nedap iedere dag aan een veilige en betrouwbare Ons® Suite.
Wanneer zorgorganisaties werken met de Ons® Suite, verwachten zij dat het systeem veilig omgaat met de gegevens die erin staan. En terecht. Maar wat er achter de schermen gebeurt om dat mogelijk te maken, blijft vaak onzichtbaar. Toch zijn er iedere dag specialisten bezig met het veilig bouwen en beschermen van systemen, het controleren van software en het verkleinen van de kans op risico's.
“We willen dat beveiliging geen stap aan het einde van het ontwikkelproces is, maar onderdeel van iedere stap in het proces.” Aan het woord is Willie Nel, Application Security Engineer bij Nedap.
Geplaatst op 06-07-2026

Willie maakt deel uit van het securityteam binnen de bredere Risk, Security & Compliance Group. In totaal werken daar zo'n zeventien specialisten aan verschillende onderdelen van digitale veiligheid, waaronder compliance en technische beveiliging. Het securityteam zelf bestaat uit specialisten met ieder een eigen expertise, zoals webapplicaties, AI en in het geval van Willie mobiele apps. Tegelijkertijd delen zij continu kennis met elkaar, zodat het hele team zich blijft ontwikkelen.
Het team van Willie heeft een belangrijke rol in de Software Development Life Cycle (SDLC). Dat is het volledige proces waarin software wordt ontworpen, ontwikkeld, getest en uiteindelijk beschikbaar komt voor gebruikers. “Wij proberen op meerdere momenten binnen de SDLC aanwezig te zijn.”
Dat begint al voordat een ontwikkelaar één regel code schrijft, tijdens de design fase. Samen met ontwikkelteams voert het securityteam een zogenoemde threat modeling-sessie uit. Daarbij bekijken ze middels een brainstorm welke risico’s een nieuwe functionaliteit met zich mee zou kunnen brengen en welke maatregelen nodig zijn om die risico’s te verkleinen.
Zodra ontwikkelaars aan de slag gaan tijdens de ontwikkeling, controleren automatische beveiligingsscans voortdurend de broncode. Er volgt direct een melding wanneer er kwetsbaarheden worden gevonden of wanneer gevoelige informatie per ongeluk in de code terechtkomt. Zo kunnen problemen vaak direct worden opgelost, nog voordat ze verder in het ontwikkelproces terechtkomen. Er ontstaat software waarin dataveiligheid geen toevoeging achteraf is, maar een vast onderdeel van iedere stap binnen de SDLC.
Wanneer een nieuwe functionaliteit technisch gereed is, stopt het werk van het securityteam niet. Integendeel. Voordat software naar productie gaat, voeren de specialisten penetratietesten uit. Daarbij proberen ze bewust de software te misbruiken of binnen te dringen, precies zoals een aanvaller dat ook zou doen.

“We proberen het systeem eigenlijk zelf te hacken. Alleen zo ontdek je kwetsbaarheden die je met automatische scans niet altijd ziet.”Willie Nel, Application Security Engineer bij Nedap
Naast technische kwetsbaarheden wordt ook gecontroleerd of gebruikers alleen toegang hebben tot informatie waarvoor zij geautoriseerd zijn. Dat soort controles vraagt menselijke expertise en is niet volledig te automatiseren.
Het werk van het team wordt sterk bepaald door de actualiteit. Nieuwe kwetsbaarheden verschijnen dagelijks. Dat betekent dat het team 24/7 beschikbaar moet zijn en dat er gewerkt wordt met pager-duties, waarbij je ook in de avond, nacht of in het weekend paraat moet staan. Zodra ergens ter wereld een nieuwe aanval of beveiligingslek bekend wordt, onderzoekt het team direct of de software van Nedap daardoor geraakt kan worden.
Dat betekent onder andere:
continu monitoren van nieuwe beveiligingsmeldingen;
controleren welke softwarecomponenten gebruikt worden;
beoordelen van de impact;
waarnodig direct patches (oplossingen) voorbereiden en uitrollen;
ontwikkelteams ondersteunen bij het oplossen van kwetsbaarheden.
Voor klanten blijft dit grotendeels onzichtbaar. Toch vormt juist dit dagelijkse werk een belangrijk onderdeel van de betrouwbaarheid van de software.

“Wanneer er een nieuwe aanval naar buiten komt, dan starten we meteen een onderzoek om te controleren of wij die betreffende component gebruiken en wat de mogelijke impact is.”Willie Nel, Application Security Engineer bij Nedap
Cybersecurity verandert voortdurend. Willie omschrijft het als een kat-en-muisspel. "We moeten up to date zijn, we worden steeds uitgedaagd want aanvallers zijn creatief in het vinden van wegen voor de verkeerde dingen. Zij hoeven maar één keer succesvol te zijn, terwijl wij continu alert moeten zijn.”
Daarom investeert Nedap veel tijd in opleidingen, certificeringen en het volgen van de nieuwste ontwikkelingen. Nieuwe kwetsbaarheden worden continu besproken binnen het team. Wat de één ontdekt, deelt hij direct met de rest van de collega's. Zo blijft de gezamenlijke kennis voortdurend groeien.
Het veiligheidsteam vraagt ook het nodige van ontwikkelaars. “We kijken pro-actief naar broncode en zorgen dat deze veilig is, maar we verwachten ook dat ontwikkelaars naar ons toekomen als ze extra hulp nodig hebben. Dat betekent dat we voor hen ook een soort van consultant zijn. Willie: “We proberen niet achteraf te zeggen wat fout ging. We willen juist samen vanaf het begin veilige software bouwen.”
Hoewel veel beveiligingsmaatregelen centraal worden geregeld, kunnen zorgorganisaties zelf ook bijdragen aan een veilige digitale werkomgeving. Een belangrijke stap is het gebruik van apparaten die nog beveiligingsupdates ontvangen. Oude smartphones, tablets of computers waarop geen updates meer beschikbaar zijn, vormen een groter risico. Vervolgens blijft het belangrijk om updates tijdig uit te voeren. Veel beveiligingsupdates lossen kwetsbaarheden op die inmiddels openbaar bekend zijn. Door apparaten actueel te houden, verklein je de kans dat deze misbruikt kunnen worden. Daarnaast is het belangrijk om als zorgorganisatie tijd en ruimte te nemen om stil te staan bij welke risico’s er mogelijk zijn. Wat wil je als organisatie accepteren en wat kun je doen om de weerbaarheid te vergroten?
Dataveiligheid draait niet alleen om reageren op incidenten. Juist het werk dat daaraan voorafgaat, maakt het verschil. Het zorgt ervoor dat zorgprofessionals iedere dag met vertrouwen hun werk kunnen doen. Daar zet het securityteam van Nedap in de zorg zich elke dag opnieuw voor in.
Sinds 1999 is onze missie ‘Meer tijd voor zorg’. We willen dat mensen in de zorg zo leuk en makkelijk mogelijk kunnen werken. Natuurlijk is er veel veranderd in het zorglandschap en op het gebied van technologie. Daarom willen we dat de suite zich steeds meer gaat gedragen als een goede collega. Eentje waarop je kunt vertrouwen, die verbindt en je voldoening geeft over je werk. Nedap Ons® werkt voor jou.