Verschillende Nederlandse zorginstellingen kregen het afgelopen jaar te maken met ICT‑storingen en beveiligingsincidenten. Dit heeft soms geleid tot heel concrete problemen: zoals afspraken die moesten worden afgezegd, systemen en patiëntendossiers die tijdelijk uitvielen. Dat soort incidenten roept een belangrijke vraag op: hoe goed zijn leveranciers aan de zorg voorbereid op digitale risico’s?
Om die vraag beter te kunnen beantwoorden, is er nu een nieuw hulpmiddel beschikbaar: CYRA‑Zorg. Daarmee kunnen zorginstellingen en leveranciers aan de zorg op een gestructureerde manier ontdekken waar ze staan op het gebied van cyberweerbaarheid en waar verbetering mogelijk is.
CYRA‑Zorg is ontwikkeld door Z‑CERT, in samenwerking met een aantal aangesloten zorginstellingen. Het model, gebaseerd op de CYRA‑methode (Cyber Rating), is speciaal ontworpen voor zorginstellingen én leveranciers die met zorgorganisaties samenwerken. De CYRA-methode wordt beheerd door het Centrum voor Criminaliteitspreventie en Veiligheid (CCV).
Het model is gebaseerd op de beheersmaatregelen uit deel 2 van de NEN 7510 norm. Daarmee vormt het een praktische stap, een groeimodel, vóór een volledige NEN 7510‑certificering. Voor organisaties waar certificering (nog) niet haalbaar is - zoals startups of kleinere leveranciers - biedt CYRA‑Zorg een laagdrempelige manier om toch inzicht te geven in hun cyberweerbaarheid.
Dezelfde begrippen
Een belangrijk voordeel van CYRA‑Zorg is dat het ertoe bijdraagt dat bestuurders, ICT‑teams en securityspecialisten op dezelfde manier over digitale veiligheid praten. Iedereen gebruikt dezelfde begrippen en kijkt vanuit hetzelfde kader, maatregelen en noodzakelijke vervolgstappen.
Het model beoordeelt meer dan alleen techniek. Ook bewustwording, procesinrichting en interne sturing komen aan bod. De benadering sluit goed aan bij de dagelijkse praktijk in de zorg, waar informatieveiligheid niet alleen draait om techniek, maar ook om hoe medewerkers met informatie omgaan, hoe processen zijn ingericht om de zorg door te laten gaan bij storingen, en welke keuzes bestuurders maken om risico’s te beheersen.
CYRA‑Zorg is geen strikt afvinklijstje, maar een hulpmiddel voor reflectie. Bij het ontwikkelen van de vragenlijst heeft Z‑CERT nauw samengewerkt met verschillende aangesloten zorginstellingen. Daardoor sluit het instrument goed aan bij de daadwerkelijke eisen aan leveranciers binnen de zorgsector. Het geeft organisaties handvatten om realistische prioriteiten te stellen en gericht te werken aan een hogere digitale weerbaarheid, zonder het gevoel dat ‘alles tegelijk moet’.
Speciaal voor leveranciers
Voor zorginstellingen die nog niet NEN 7510‑gecertificeerd zijn, kan CYRA‑Zorg een duidelijk groeipad bieden richting verdere professionalisering. Organisaties die al wel gecertificeerd zijn, vinden doorgaans minder meerwaarde in dit model, omdat deze maatregelen al geborgd zijn binnen hun ISMS (Information Security Management System).
CYRA-Zorg is met name bruikbaar voor leveranciers in de zorgketen die nog geen ISO‑27001‑ of NEN 7510‑certificering hebben. Soms omdat het nog niet nodig is, soms omdat het voor jonge organisaties een te grote stap is. CYRA‑Zorg biedt zorginstellingen een manier om toch inzicht te krijgen in de cybervolwassenheid van deze partijen.
Als zorgorganisatie kan je een leverancier bijvoorbeeld vragen naar een CYRA‑zelfverklaring of een certificaat. Als dat er is, wordt snel duidelijk hoe goed de beveiligingsmaatregelen van de leverancier zijn ingericht. Wie nog een stap verder wil gaan, kan kiezen voor een onafhankelijke beoordeling door een auditor. Dat leidt tot een officieel CYRA‑certificaat.
De volledige vragenlijst en documentatie van CYRA-Zorg zijn hier beschikbaar: link
