In de zorg is dat risico groot: waardevolle data, hoge werkdruk en een cultuur waarin fouten liever worden weggepoetst dan gedeeld. Maar wat bijna iedereen mist is dat digitale veiligheid niet draait om techniek, maar om gedrag.
De paradox van de zorg: goudmijn voor hackers
De zorg is een goudmijn voor hackers. Een medisch dossier is tot tien keer meer waard dan een creditcard, omdat het identiteit, betaalinformatie én medische historie bevat.
Toch besteden zorginstellingen gemiddeld maar 6 procent van hun IT-budget aan security, tegenover 13 procent in andere sectoren. Die kloof maakt de zorg aantrekkelijk én kwetsbaar: 83 procent van de aanvallen begint met één e-mail.
Nieuwe varianten, zoals Adversary-in-the-Middle-phishing, nemen explosief toe met 146 procent in één jaar. Bij deze aanvallen lijkt alles normaal: je klikt op een vertrouwde link en logt in op wat eruitziet als de echte pagina van Microsoft 365 of een epd-systeem. Wat je niet ziet: je verkeer loopt via de infrastructuur van een aanvaller die onderweg sessie-cookies onderschept.
Op het moment dat je sessie-cookies wordt onderschept, heeft de aanvaller toegang tot je account nog vóórdat je iets vreemds merkt. Eén klik, één sessie-cookie, één overgenomen account. Een fout is dus snel gemaakt.
Shaming: de stille killer van security
Na zo’n incident zie ik vaak hetzelfde patroon: de medewerker krijgt een training of een reprimande, en het onderwerp verdwijnt in stilte. Die stilte is dodelijk. Want als mensen bang zijn om fouten te melden, leren organisaties niets.
Shaming creëert angst, geen bewustzijn. Zonder openheid zie je alleen de incidenten die toevallig worden ontdekt, niet de tientallen bijna-fouten die net zo waardevol zijn om van te leren. Echte veiligheid ontstaat pas als medewerkers zó veilig zijn dat ze durven zeggen: “Ik denk dat ik iets fout heb gedaan.”
De aanvaller leert sneller dan wij
Zelfs als die cultuur op orde is, verandert het speelveld razendsnel. Want waar menselijk gedrag vroeger de zwakste schakel was, wordt de tegenstander dankzij AI juist menselijker.
Aanvallen zijn niet langer simpel opgezet of slecht vertaald, maar hyperrealistische berichten die inspelen op vertrouwen en routine. Phishing-mails klinken foutloos, deepfake-stemmen zijn overtuigend, en helpdeskfraude voelt betrouwbaar. Ik liet onlangs zien hoe ik met elf seconden audiomateriaal de stem van onze CEO kon nabootsen. Bijna iedereen trapte erin.
Dat maakt één ding duidelijk: technologie is niet langer de bottleneck. De uitdaging zit in hoe snel organisaties leren en zich aanpassen. Geen enkel systeem is zo slim als een team dat van fouten durft te leren.
De NIS2- en BIO-regels bevestigen dat: echte veiligheid begint bij gedrag, meldcultuur en leiderschap. Wie dat serieus neemt, bouwt niet alleen aan compliance, maar aan blijvende weerbaarheid.
Van shaming naar learning: wat wérkt in 2025?
Als de aanvaller sneller leert dan wij, dan is de enige échte verdediging een organisatie die zélf leert. Niet door meer regels of strengere firewalls, maar door gedrag, beleid en techniek op elkaar af te stemmen.
Ik zie elke dag dat het verschil niet wordt gemaakt door technologie, maar door hoe mensen reageren als het misgaat. Organisaties die aanvallen het beste doorstaan, hebben één ding gemeen: ze leren sneller dan hun tegenstander. Hoe doe je dat in de praktijk?
Zes dingen die ik zie werken:
- Maak melden normaal
Beloon openheid in plaats van bestraffen. Angst maakt kwetsbaar; vertrouwen maakt alert. - Train met eigen incidenten
Theorie beklijft niet, herkenning wel. Laat medewerkers zien hoe een echte phishing-mail eruitzag binnen jullie eigen organisatie. - Schrap uitzonderingen
Eén uitzondering ondermijnt alle regels en kan zorgen voor onbedoelde aanvalsmogelijkheden voor een malafide actor. Controleer of je Conditionele Access-regels echt afdwingen wat je beleid bedoelt. - Monitor 24×7
Aanvallers hebben geen kantoortijden en ransomware evenmin. Zorg voor een 24×7 SOC die je systemen bewaakt met de juiste specialisten. - Stap over op Zero Trust
Geef toegang op basis van apparaat, locatie en identiteit, niet op aannames of gewoontes. Overweeg moderne toegangsarchitecturen zoals NetSkope, waarmee toegang automatisch wordt beperkt op basis van apparaat en context.
- Gebruik AI defensief
Machine-learning-filters herkennen patronen die mensen missen en reduceren aantoonbaar het aantal geslaagde aanvallen. Denk aan oplossingen als Abnormal.ai, met filters die leren van gedrag en daardoor ook nieuwe, nog onbekende phishing-varianten tegenhouden.
Cybersecurity draait niet om angst, maar om eerlijkheid: de vraag of je organisatie sterk genoeg is om fouten toe te geven. Want zodra we stoppen met shamen en beginnen met delen, stijgt niet alleen de digitale veiligheid, maar ook het vertrouwen in onze zorginstellingen.
Joep Kremer, business unit director cybersecurity bij ilionx