Zorgaanbieders moeten aan steeds meer eisen voor cyberbeveiliging voldoen, zoals de NEN7510-norm. Vanaf het tweede kwartaal 2026 komt daar de Cyberbeveiligingswet, NIS2, nog bij. Deze geldt voor organisaties met meer dan 50 medewerkers en een omzet boven 10 miljoen euro. Voor wie daaronder valt, is deze wet allesbehalve vrijblijvend. Omdat de zorgsector als essentieel wordt gezien, zullen spelers in de zorg worden gecontroleerd of ze eraan voldoen. Head of product security bij Philips Dirk de Wit legt uit dat de wet diverse verplichtingen kent, zoals registratie bij het Nationaal Cyber Security Centrum, risicoanalyse, incidentmelding binnen 24 uur en training van bestuurders. “Iedere zorgbestuurder moet getraind zijn in cybersecurity en dat ook onderhouden.” De zorgsector is nog niet klaar voor de nieuwe normen en wet, denkt chief information security officer bij het Prinses Máxima Centrum voor kinderoncologie Ronald Westerveen. Regels en normen zijn fijn, vindt hij, maar het allerbelangrijkste is dat jij je bewust bent van de gevaren en je daartegen beschermt. Ook zonder wettelijke verplichtingen moet iedereen in de zorg beseffen dat hij of zij met kwetsbare informatie werkt, vindt Westerveen. “Gezondheidsgegevens zijn belachelijk veel waard. Hackers kunnen er veel mee doen.” Zo kunnen ze patiënten afpersen of zelfs een identiteit overnemen.
Filteren
De cyberbeveiligingswet NIS2 dwingt ook om scherp te zijn op ketenpartners. Iedere speler in de keten heeft de verantwoordelijkheid om zijn toeleveranciers te controleren, stelt De Wit van Philips. “Daarover maken wij duidelijke contractuele afspraken met toeleveranciers. Het belangrijkste is dat zij ons over kwetsbaarheden zo snel mogelijk informeren, zodat we direct kunnen acteren.” Philips, trekt in de rol van leverancier alles uit de kast om de door hen geleverde medische apparaten te beveiligen. Zo monitoren ze bedreigingen en analyseren ze kwetsbaarheden. Zodra een kwetsbaarheid kritisch is – bijvoorbeeld omdat hackers door lagen van beveiliging breken – informeert Philips hun klanten hierover. Al die meldingen van kwetsbaarheden stelt Westerveen voor uitdagingen. “Bij het Prinses Máxima Centrum ontvangen we tientallen meldingen per maand over kleine kwetsbaarheden.” Volgens Westerveen levert het wettelijk verplicht melden van elk incident echter weinig op. “We kunnen de meldingen nauwelijks verwerken, waardoor er een risico dreigt dat belangrijke signalen over het hoofd worden gezien.” Westerveen is met diverse partijen in gesprek om meldingen vaker te filteren, zodat alleen doorsijpelt wat werkelijk moet leiden tot actie. De Wit: “Het draait om de samenwerking in de keten. Je moet samen nagaan wat de werkelijke risico’s zijn en die zoveel mogelijk beperken.”
Tussen de oren
Medische apparaten kunnen kwetsbaar zijn voor aanvallen omdat ze vaak relatief lang meegaan. De Wit realiseert dat dit de zorg voor uitdagingen stelt. “Een medisch apparaat is geen laptop. Een MRI-scanner, bijvoorbeeld, gaat wel zo’n vijftien jaar mee. Dergelijke apparaten up to date houden is een uitdaging en kost geld. Zorginstellingen komen voor de vraag te staan: investeren we hier nog in of niet?” Het is belangrijk dat zorgbeslissers, zoals bestuurders, zich van het belang van cyberveiligheid bewust zijn. Dat mag nog wel wat meer tussen de oren zitten, vindt Westerveen. “Ons security operations center weet, samen met Informatiebeveiliging en IT, veel aanvallen tijdig te verijdelen. Hierdoor is het niet nodig de Raad van Bestuur te informeren over elk incident. Toch dragen zorgbestuurders een grote verantwoordelijkheid voor de bescherming van gevoelige patiëntinformatie.” Volgens Westerveen blijkt in de praktijk dat veel bestuurders zich nog bewuster zouden kunnen zijn van deze verantwoordelijkheid en dat hun kennis over informatiebeveiliging nog verder kan verbeteren. “Ik vraag bestuurders wel eens: ‘Stel dat een incident plaatsvindt en de media staan op de stoep, kun je dan goed uitleggen wat er is gebeurd en hoe je hebt gehandeld?’ Dan blijkt waar er ruimte voor verbetering is.” Westerveen hoopt dat de wet een duw in de goede richting geeft. “Hoewel je de wet niet nodig zou moeten hebben, helpt deze wel om een koers uit te zetten. Het geeft houvast en je kunt ernaar verwijzen.” Volgens hem is het daarom van groot belang dat bestuurders niet alleen hun verantwoordelijkheid erkennen, maar ook investeren in kennis en voorbereiding. “Gerichte training en heldere procedures zijn hierbij onmisbaar.”
