© SvetaZi / Getty Images / iStock
De Inspectie Gezondheidszorg en Jeugd (IGJ) startte in het najaar van 2024 een landelijk onderzoek naar informatiebeveiliging bij huisartsenspoedzorg. Het doel daarvan is om te checken of organisaties voldoen aan de wettelijk verplichte norm NEN 7510. Dat blijkt massaal niet het geval te zijn, komt naar voren uit de cijfers. In totaal vulden 49 organisaties een vragenlijst van de IGJ in, daarvan voldoen zes aan de norm.
Maatregelen
Negen organisaties hadden een onafhankelijke beoordeling laten uitvoeren, maar deze was vooral gebaseerd op documentatie, niet op de praktijktoetsing. “Van de organisaties die nog geen beoordeling hebben uitgevoerd, verwacht de inspectie dat zij binnen 6 maanden een onafhankelijke beoordeling uit laten voeren op informatiebeveiliging”, staat in het rapport. Elf organisaties gaven aan ernaar te streven om dit jaar de beveiliging op orde te krijgen. Ze nemen maatregelen als multifactor-authenticatie en medewerkersscholing.
Deadline 2026
Jaarlijks maken ongeveer 2,6 miljoen Nederlanders gebruik van huisartsenspoedzorg, blijkt uit cijfers van het Nivel. Hun gegevens zijn dus in overgrote meerderheid niet voldoende beschermd. Bovendien bedreigt de gebrekkige informatiebeveiliging de beschikbaarheid van gegevens, schrijft de inspectie. De IGJ maakte met alle organisaties die de norm niet halen afspraken over streefdata, verbeterplannen en onafhankelijke toetsing. Eind 2026 moeten alle organisaties voldoen aan de norm, stelt de inspectie.
Vanaf medio 2026 moeten alle zorgaanbieders met meer dan 50 fte of 10 miljoen euro omzet – waaronder mogelijk huisartsenspoedposten – bovendien voldoen aan de cyberbeveiligingswet. Dat is de Nederlandse vertaling van de Europese richtlijn NIS2. Ook op de naleving daarvan gaat de inspectie letten.
Bewustwording en samenwerking
De inspectie roept alle organisaties op om zo snel mogelijk werk te maken van de cybersecurity. Daarnaast staan in het rapport over dit onderwerp positieve ontwikkelingen. Zo ziet de IGJ steeds meer bewustzijn bij bestuurders over het belang van informatiebeveiliging. Bovendien is er steeds meer regionale samenwerking, ook op het gebied van digitale zorg en gegevensuitwisseling.
Externe expertise
Tot slot blijkt dat veel organisaties externe deskundigheid inhuren, omdat ze zelf te weinig expertise in huis hebben. “Voor veel organisaties die huisartsenspoedzorg leveren, zijn informatiebeveiliging en de NEN 7510 geen alledaagse materie”, schrijft de IGJ, die benadrukt dat organisaties zelf verantwoordelijk blijven.
