De digitalisering van de zorg neemt toe en daarmee de afhankelijkheid van veilige en beschikbare ICT-systemen. Digitale weerbaarheid is daardoor steeds nadrukkelijker een randvoorwaarde voor continuïteit van zorg en patiëntveiligheid. De aankomende Cyberbeveiligingswet (Cbw) sluit daarop aan. De wet scherpt bestaande verplichtingen aan, breidt ze uit naar een grotere groep organisaties en legt nadrukkelijker de verantwoordelijkheid ook bij bestuurders.
Daarmee draagt de wet – die voortkomt uit de Europese richtlijn NIS2 - bij aan het structureel verankeren van cyberveiligheid in beleid en organisatie. Tegelijkertijd maakt het invoeren van de wet inzichtelijk waar organisaties staan in hun digitale weerbaarheid en waar verdere stappen nodig zijn. Want digitale weerbaarheid is geen eindpunt, maar een continu proces van verbeteren en aanpassen.
“Je zou die hele wetgeving eigenlijk niet nodig moeten hebben, want je zou zelf als organisatie al moeten willen dat het veilig is.” Met die uitspraak raakt Ronald Westerveen, CISO bij het Prinses Máxima Centrum, de kern van de Cyberbeveiligingswet. Samen met Stijn Strous, bestuurder bij Hadoks (regionale huisartsenorganisatie en huisartsenpost regio Haaglanden), schetst hij hoe cyberveiligheid zich in de praktijk ontwikkelt. Tussen beleid en uitvoering, en tussen technische maatregelen en bestuurlijke afwegingen.
“Je bent zo veilig als de zwakste schakel”, meent Strous. “Dat klinkt misschien als een cliché, maar in de praktijk van de zorg is het gewoon de realiteit. We werken in netwerken waarin data continu bewegen. In ons geval tussen huisartsenposten, ziekenhuizen, leveranciers. Dan kun je je eigen organisatie nog zo goed op orde hebben, maar als ergens in die keten iets misgaat, heb je daar direct last van. En dat maakt cyberveiligheid niet alleen een technisch vraagstuk, maar ook een bestuurlijke verantwoordelijkheid.”
Opgave helder
Op hoofdlijnen is de opgave helder: risico’s in beeld brengen, maatregelen treffen en incidenten melden. Recente incidenten laten zien dat de dreiging reëel is en dat deze incidenten nooit volledig te voorkomen zijn. De focus verschuift daarom naar het verkleinen van risico’s en het beperken van impact.
Voor Strous fungeert de wet als een versneller. “We waren bij Hadoks al bezig met cyberbeveiliging. Maar de wet maakt het expliciet. En eerlijk gezegd, misschien soms ook ongemakkelijker. Maar dat heeft een doel. Want je moet ineens uitleggen waar je als bedrijf staat en waar je misschien nog niet bent.” Cyberveiligheid komt daarmee nadrukkelijker op de bestuurstafel. “Het betekent dat je soms iets níét doet”, zegt Strous. “Of dat je moet uitleggen waarom je ergens wel of niet in investeert, terwijl de opbrengst daarvan niet direct zichtbaar is.”
'De zorg moet doorgaan, maar wel zo veilig mogelijk'
Westerveen herkent dat. “De wet helpt ons in gesprekken met ketenpartners en leveranciers”, zegt hij. “Vroeger moesten we uitleggen waarom iets belangrijk was. Nu kunnen we zeggen: het moet vanwege de wet. Maar dat betekent niet dat het dan ook ineens makkelijk wordt.”
Door de Cyberbeveiligingswet verschuift de aandacht nadrukkelijk naar de (zorg)keten. Organisaties worden gestimuleerd, en deels verplicht, om verder te kijken dan de eigen organisatie en ook de digitale weerbaarheid van leveranciers en partners te beoordelen. Zorgorganisaties opereren immers in een netwerk van leveranciers en partners, waarbij verantwoordelijkheden niet altijd scherp afgebakend zijn.
“Je bent afhankelijk van zoveel partijen”, zegt Westerveen. “Leveranciers, sub-leveranciers, applicaties. En iedereen zegt: wij hebben het goed geregeld. Maar uiteindelijk blijft het voor organisaties wel een eigen verantwoordelijkheid.”
Strous vult aan: “Je wilt vertrouwen, maar je moet ook controleren. En dat is ingewikkeld. Want hoe ver ga je? Ga je bij al je leveranciers audits doen? En doen zij dat bij hún leveranciers dan ook?” Het eerlijke antwoord: dat lukt niet altijd. “Eigenlijk zou je iedereen moeten toetsen”, zegt Westerveen. “Maar dat is praktisch niet te doen. Dus je maakt keuzes. En daarmee accepteer je ook risico’s.”
Extra inspanningen
De implementatie van de wet vraagt om extra inspanningen. “Ja, het is drukker geworden”, zegt Westerveen. “En nee, we hebben er niet ineens een leger mensen bijgekregen. ICT-afdelingen zitten vaak al aan hun grens. De Cyberbeveiligingswet voegt daar taken aan toe: rapportage, ketenbeheer, training.”
Strous legt de vinger op de zere plek: “We vragen veel van organisaties. Terwijl de zorgdruk al hoog is. Dan moet je als bestuur keuzes maken. En die zijn niet altijd populair.” Want: elke euro en elke minuut kan maar één keer worden uitgegeven.
“Cyberveiligheid concurreert met andere urgente thema’s”, vervolgt hij. “Personeel, toegankelijkheid, kwaliteit van zorg. En de opbrengst van cyberveiligheid? Die zie je pas als het misgaat. Of, als het goed is, juist niet.” Tegelijkertijd biedt de wet houvast, doordat cyberveiligheid minder vrijblijvend wordt en beter te positioneren is binnen bestuurlijke besluitvorming.
Gedrag en cultuur
Naast techniek en governance is gedrag bepalend. “De menselijke factor blijft de zwakste schakel”, zegt Westerveen. “Niet omdat mensen het verkeerd willen doen, maar omdat ze het gevaar of het nut van cyberbeveiliging niet altijd zien of herkennen. Daar helpt geen wet, norm of protocol tegen.”
In het Prinses Máxima Centrum zet Westerveen met zijn collega’s in op kennis vergroten en bewustwording stimuleren onder medewerkers. En ook Hadoks zet bewust in op gedrag. “We investeren in bewustwording”, zegt Strous. “Maar vooral ook in een cultuur waarin mensen dúrven te melden. Want fouten gáán gemaakt worden. Dat is onvermijdelijk. Je hebt er dan als organisatie niets aan als mensen hun mond houden wanneer ze de fout in gaan.”
Ook daar zit een spanningsveld. Want organisaties willen online veilig zijn, maar ook efficiënt. “Het komt nog steeds voor hoor, een wachtwoord op een briefje aan de computer geplakt”, zegt Strous. “Het is niet veilig, maar soms wel praktisch. Zeker als iemand snel moet handelen. En dan wint gemak het toch.” Westerveen herkent dit en voegt daaraan toe: “Als mensen het niet belangrijk vinden, gaan ze er ook niet naar handelen. Zo simpel is het.”
Herkenbaar dilemma
Misschien wordt het nergens zo scherp als hier, want wat doe je als cyberweerbaarheid haaks staat op de praktijk in de zorg? Westerveen schetst een herkenbaar dilemma. “Soms heb je een leverancier nodig voor een zorgpad of -behandeling. Maar, die voldoet niet volledig aan de eisen rondom cyberbeveiliging. Wat doe je dan? Stop je? Of ga je door?”
Volgens hem ligt het antwoord op deze vraag niet alleen bij ICT. “En ook niet bij alleen security of alleen het bestuur. Dan moet je samen besluiten. De zorg moet doorgaan, maar wel zo veilig mogelijk. En dat ‘zo veilig mogelijk’ is geen absolute waarheid. Het is een afweging.”
Strous vult aan: “Je kunt niet zeggen: veiligheid gaat altijd voor. Of zorg gaat altijd voor. Je moet het samenbrengen. En dat is precies waar leiderschap nodig is.” Dit is ook de reden dat in de Cbw de bestuurlijke verantwoordelijkheden zijn benoemd. De uitvoerende bestuurders van een organisatie moeten passende maatregelen nemen en de naleving van de wet waarborgen.
Continu proces
Het gesprek maakt duidelijk dat de Cyberbeveiligingswet richting geeft. “Daarbij loopt wetgeving wel altijd iets achter,” zegt Westerveen. “Als iets eenmaal in de wet staat, had je het eigenlijk al moeten doen. En ondertussen zijn de externe dreigingen alweer veranderd.” Dit betekent niet dat als aan de wet voldaan wordt een organisatie klaar is. “Dat is een illusie,” zegt hij. “Het is een basis. Niet meer dan dat.”
Strous ziet de wet daarom vooral ook als een middel. “Het helpt om het gesprek te voeren. Om prioriteit te geven. Maar uiteindelijk moet je het zelf doen.”
“Het grootste risico is dat je denkt dat je klaar bent,” stelt Westerveen. “Of dat je dingen niet ziet. Wat onder het tapijt blijft, is gevaarlijker dan een risico dat je kent.” Strous is minstens zo duidelijk: “Wacht niet. Niet op meer duidelijkheid, niet op meer middelen. Begin. En accepteer dat het nooit af is.”
Cyberbeveiligingswet in het kort
De verwachting is dat de Cyberbeveiligingswet in het tweede of derde kwartaal van 2026 ingaat, afhankelijk van de parlementaire behandeling en het formele inwerkingtredingsbesluit. De nieuwe wet verplicht zorgorganisaties tot inzicht in cyberrisico’s en kritieke systemen, passende beveiligingsmaatregelen en melding van ernstige incidenten in het portaal van het Nationaal Cyber Security Centrum (NCSC).
Z-CERT is het CSIRT van de zorg en heeft wettelijke taken om de organisaties in de zorg te ondersteunen bij tijde van cyberincidenten. Daarnaast moet cyberweerbaarheid structureel onderdeel zijn van bestuur en risicomanagement. Ook moeten organisaties voldoen aan toezicht- en nalevingsverplichtingen.
