Zorgorganisaties moeten expliciet rekening houden met scenario’s waarin digitale systemen langere tijd niet beschikbaar zijn. Dat blijkt uit het nieuwe ‘Cybersecuritybeeld voor de zorg’, gepubliceerd door Z-CERT. In deze jaarlijkse analyse brengt het expertisecentrum de belangrijkste digitale dreigingen voor de Nederlandse zorgsector in kaart.
Volgens Z-CERT is de afhankelijkheid van digitale systemen in de zorg inmiddels zo groot dat verstoringen directe gevolgen kunnen hebben voor de continuïteit van zorg. Elektronische patiëntendossiers, medicatieprocessen, domotica, roosterplanning en communicatie zijn sterk verweven met ICT-systemen. Tegelijkertijd nemen de digitale dreigingen toe, mede door internationale spanningen en een groeiend aantal cyberincidenten.
Digitale uitval raakt direct de zorg
Uitval van systemen kan verschillende oorzaken hebben, zoals ransomware-aanvallen, storingen bij IT-leveranciers of problemen met elektriciteit en dataverbindingen. Volgens Wim Hafkamp, directeur van Z-CERT, heeft dat directe gevolgen voor patiënten en zorgprofessionals.
“Digitale uitval is geen abstract IT-probleem. Het gaat om mensen die zorg nodig hebben. In België zagen we in januari 2026 hoe een cyberaanval op een ziekenhuis leidde tot langdurige uitval van systemen en uitgestelde operaties. Dat raakt patiënten en zorgverleners direct. Goede voorbereiding zorgt ervoor dat zorg ook dan veilig en zorgvuldig kan doorgaan.” De nieuwste versie van het ‘Cybersecuritybeeld voor de zorg’, is hier te downloaden (pdf).
Digitaal noodpakket
Z-CERT pleit daarom voor het structureel invoeren van een zogenoemd digitaal noodpakket binnen zorgorganisaties. Dit pakket moet zowel digitaal als offline, bijvoorbeeld op papier, beschikbaar zijn en regelmatig worden geoefend en geactualiseerd.
Het idee sluit aan bij de oproep van de overheid aan burgers om een noodpakket in huis te hebben waarmee zij zich minimaal drie dagen kunnen redden. Voor zorginstellingen betekent dit dat zij vooraf moeten vastleggen hoe processen doorgaan wanneer IT-systemen langdurig uitvallen.
Daarbij gaat het onder meer om alternatieve werkprocessen, duidelijke afspraken met leveranciers en samenwerking met zorgpartners wanneer technologie tijdelijk niet beschikbaar is. Volgens Z-CERT is een digitaal noodpakket nooit ‘af’, maar vraagt het voortdurende aandacht en oefening om in een crisissituatie effectief te zijn.
Een digitaal noodpakket moet in ieder geval bestaan uit basisgegevens en contactinformatie, uitgewerkte incident- en crisisprocedures, afspraken over hoe zorg kan doorgaan zonder IT-systemen en herstelplannen voor het opnieuw opstarten van systemen na een incident. Daarmee kunnen zorgorganisaties beter voorbereid zijn op situaties waarin digitale infrastructuur tijdelijk niet beschikbaar is.
Aandacht voor digitale continuïteit groeit
Steeds meer zorgorganisaties nemen volgens het rapport stappen om hun digitale weerbaarheid te vergroten. Een groeiend aantal instellingen heeft inmiddels maatregelen getroffen om de continuïteit van zorg bij IT-uitval te waarborgen.
Toch blijft verdere implementatie in de sector noodzakelijk. Het Cybersecuritybeeld laat zien dat het oefenen van noodscenario’s en het structureel borgen van maatregelen nog breder moet worden opgepakt.
Zorginstellingen zijn bovendien verplicht om maatregelen te nemen op het gebied van informatiebeveiliging en continuïteit. Deze verplichtingen zijn onder meer vastgelegd in de norm NEN 7510 en in de aankomende Cyberbeveiligingswet.
Onderdeel van goed bestuur
Voor patiënten en cliënten moet zorg betrouwbaar en toegankelijk blijven, ook wanneer digitale systemen uitvallen. Volgens Z-CERT is investeren in digitale weerbaarheid daarom geen vrijblijvende keuze, maar onderdeel van goed bestuur.
Dat vraagt niet alleen om technologische maatregelen, maar ook om structurele aandacht, oefening en investeringen. Zorgcontinuïteit moet immers worden georganiseerd vóórdat een crisis zich voordoet.
Cyberweerbaarheid
Vorig jaar presenteerde de Europese Commissie een actieplan om de cyberveiligheid van ziekenhuizen en zorgverleners te verbeteren en een veiligere en meer beveiligde omgeving voor patiënten te creëren. Een plan dat voortbouwde op bestaande wetgeving en ertoe moet leiden dat ziekenhuizen en andere zorginstellingen minder vaak met succes het slachtoffer worden van hackers, datadiefstallen en andere cyberdreigingen.
