Om de zorg voor iedereen goed, toegankelijk en betaalbaar te houden, maken we de beweging naar databeschikbaarheid: de juiste gegevens, op het juiste moment, op de juiste plek. Maar dat kan alleen wanneer gegevens en systemen veilig zijn én wanneer zorgprofessionals, patiënten, burgers en onderzoekers vertrouwen hebben in de kwaliteit en het verantwoorde gebruik van die gegevens en systemen. Daarin is het cruciaal dat iedereen in het zorgveld zich inzet voor de digitale (en fysieke) weerbaarheid van de zorg.
Om zorgorganisaties te helpen hun digitale weerbaarheid planmatig op orde te krijgen, is er onder andere de nationale wettelijke norm voor informatiebeveiliging in de zorg: NEN 7510. Begin 2024 verscheen een herziene versie die beter aansluit op nieuwe dreigingen en technologische ontwikkelingen. De meeste ziekenhuizen voldoen inmiddels aan de norm, en de komende jaren volgen ook de gehandicapten- en ouderenzorg. Vooral kleinere organisaties hebben nog een inhaalslag te maken – niet vreemd, want informatie-beveiliging is daar vaak nog een neventaak van de applicatiebeheerder.
“Cyberaanvallen kun je nooit helemaal voorkomen. Wat je wél kunt doen, is risicobeperkende maatregelen nemen. En open en transparant zijn: over incidenten, de manier waarop je ermee omgaat en de maatregelen die je neemt om herhaling te voorkomen.”
- Bianca Rouwenhorst, directeur Informatiebeleid en CIO bij het ministerie van VWS.
Wettelijke verankering
Voldoen aan NEN 7510 vormt een stevige basis om straks ook te voldoen aan de eisen van de Cyberbeveiligingswet (Cbw) – de Nederlandse uitwerking van de Europese Network and Information Security Directive (NIS2). De Cbw, die naar verwachting in 2026 in werking treedt, verplicht grotere zorgorganisaties hun informatiebeveiliging structureel op orde te hebben, incidenten te melden en risico’s te beheersen.
In de Cbw wordt bovendien de ketenverantwoordelijkheid wettelijk verankerd, waardoor organisaties niet alleen verantwoordelijk zijn voor hun eigen digitale veiligheid, maar ook voor die van hun leveranciers. En daarbij worden zorgbestuurders onder de nieuwe wet hoofdelijk aansprakelijk voor beslissingen over netwerk- en informatiebeveiliging. Ze moeten aantoonbaar over voldoende kennis beschikken om die verantwoordelijkheid goed te kunnen dragen.
Z-CERT: samen leren van incidenten
Digitale dreigingen nemen toe en veranderen razendsnel. Daarom is het essentieel dat kennis continu wordt gedeeld en dat organisaties samen leren van incidenten. Het expertisecentrum Z-CERT speelt daarin een belangrijke rol. Als sectorale organisatie voor cybersecurity in de zorg ondersteunt Z-CERT zorgaanbieders bij het voorkomen, signaleren en oplossen van digitale dreigingen. Onder de nieuwe wet worden meldingen van cyberincidenten verplicht. Z-CERT krijgt daarbij een formele taak om te ondersteunen en te adviseren.
Technologie alleen is niet genoeg
Digitale weerbaarheid draait om veel meer dan alleen techniek; ook bewustwording, processen en gedrag zijn belangrijk. VWS werkt daarom gericht aan het vergroten van dat bewustzijn bij iedereen in de sector, bijvoorbeeld via webinars en werkbezoeken. En binnen het programma ‘Informatieveilig gedrag in de zorg’ van platform ECP werkt VWS nauw samen met veldpartijen om zorgmedewerkers te helpen veilig digitaal te werken.
Praktijkvoorbeelden die werken
Het besef dat digitale weerbaarheid vooral om mensen en gedrag draait – leeft gelukkig ook al breed bij zorgorganisaties zelf. Bij Heliomare bijvoorbeeld, een organisatie die mensen met een fysieke beperking ondersteunt met revalidatie, arbeid en onderwijs, is digitale weerbaarheid en inzet op gedrag inmiddels topprioriteit. Ook bij Livit Ottobock Care, leverancier van orthopedische hulpmiddelen, is er veel aandacht voor gedrag en bewustwording.
“Van alle datalekken is 60 procent gedragsgerelateerd. Daar moet je dus iets mee.”
- Marcel Floor, MT-lid bij de directie Informatiebeleid van het ministerie van VWS.
Verantwoordelijkheid van iedereen
De zorg digitaliseert razendsnel en is een gegevensrijk doelwit voor cyberaanvallen. Digitale weerbaarheid is dan ook nooit af. Het vraagt om een continue, gezamenlijke inspanning en is de verantwoordelijkheid van ons allemaal – van bestuurders tot zorgprofessionals en van leveranciers tot beleidsmakers. Laten we daarom – juist omdat digitale weerbaarheid uiteindelijk draait om gedrag en bewustwording – allemaal het goede voorbeeld geven en onze verantwoordelijkheid nemen.
‘Zorgverlening betekent óók digitale weerbaarheid'
De zorgsector maakt steeds meer gebruik van digitale systemen en technologie. Dat betekent kansen om de zorg toegankelijk te houden, maar het brengt ook risico’s met zich mee: met name op het gebied van cyberbeveiliging. Digitale weerbaarheid is cruciaal om de continuïteit en de kwaliteit van zorg te kunnen blijven waarborgen, stelde Marcel Floor, MT-lid bij de Directie Informatiebeleid van het ministerie van VWS, in een eerdere editie van ICT&health.
“De maatschappelijke opgave die er ligt, zit hem meer in weerbaarheid in algemene zin dan alleen in de cybersecurity”, stelt Floor. “Die opgave naar weerbaarheid hoor je terug in de woorden van het kabinet: we zijn niet in oorlog maar zeker ook niet in vrede. Dat geldt wat mij betreft ook zeker voor de zorg. Gelukkig hoor ik steeds vaker als ik bij zorgaanbieders kom dat ze ‘weerbaarheid’ hoog op de agenda hebben staan. Maar wat mij betreft gaat dit niet alleen over de technische infrastructuur van zorgaanbieders. Het gaat over ons allemaal. Als digitale voordeuren niet goed worden beveiligd en het gaat mis, dan raakt het iedereen en dus ook de continuïteit van de zorg.”
“Wij werken bijvoorbeeld met nano-learnings. Om de zoveel dagen krijgen onze medewerkers in de mail een kort leermomentje over digitale weerbaarheid. Dat slaat enorm aan. En we hebben op al onze locaties een escaperoom laten neerzetten, een container waarin medewerkers spelenderwijs aan de slag konden met digitale weerbaarheid. Die beleving, daar kan geen cursus tegenop.”
- Jan Welmers, Bestuursvoorzitter Heliomare
Wat is weerbaarheid?
Digitale weerbaarheid betekent dan ook veel meer dan je inzetten voor cybersecurity. Volgens Floor heeft het ook te maken met ‘preventie’ en de vraag hoe snel je je als organisatie kan herstellen na een cyberaanval. Dus is het belangrijk om te investeren in bewustwording, processen, gedrag en technologie.
“Ik vergelijk het wel eens met de voordeur van je huis. Daar zit toch ook een slot op dat je kunt dichtdraaien als je bijvoorbeeld op pad gaat. Waarom denken we dan nog te gemakkelijk over onze digitale voordeur? We liggen permanent onder vuur in de digitale wereld, ook in de zorg. Dat vraagt in de eerste plaats om het vergroten van de bewustwording hiervan. Vanuit het ministerie proberen we die bewustwording te vergroten, bijvoorbeeld via webinars en bezoeken op locatie. Van topklinische zorg tot de individueel vrijgevestigde zorgverlener: allemaal willen we ze attenderen op het belang van het organiseren van een goede digitale weerbaarheid.”
“Elk jaar organiseren we voor al onze medewerkers een cybersecurityweek met gastsprekers. We sturen nep-phishingmails rond om mensen scherp te houden. Met een spamknop kunnen collega’s verdachte mailtjes melden. We bieden e-learnings aan. We hebben een cybersecurity-expert die trainingen volgt en kennis borgt. En vorig jaar lieten we een ethische hack uitvoeren – binnen een minuut was de hacker geïsoleerd.”
- Luuk Duijnham, CEO Livit Ottobock Care
Nederland als doelwit
De cybercriminaliteit neemt toe en Nederland is wat dat betreft een gegevensrijk doelwit. Het is volgens Floor een kwestie van tijd tot we grote incidenten op dat gebied zien. “Cyberbeveiliging is nooit af, dat is een permanente beweging. Er moet voortdurend aan de bewustwording worden gewerkt bij zorgpersoneel. Veiligheidsvraagstukken moeten top of mind zijn bij personeel, ook op digitaal gebied. Zowel in de boardroom als op de vloer van de verpleegafdeling. En met het voldoen aan een NIS2 of een vernieuwde NEN7510 alleen kom je er niet.”
Lees het hele artikel in ons online magazine: link
