Zorgorganisaties beoordelen hun digitale weerbaarheid gemiddeld met een 6,9: onder het landelijk gemiddelde van 7,1 en gelijk aan de overheid. Dat blijkt uit het onderzoek Cybervolwassen Nederland 2026 van KPN. Hoewel governance en aandacht voor informatiebeveiliging in de zorg zichtbaar toenemen, blijven structurele kwetsbaarheden bestaan, met name rond ketenafhankelijkheid, menselijk handelen en beperkte middelen.
Het onderzoek Cybervolwassen Nederland 2026 is uitgevoerd onder IT- en securityprofessionals van voornamelijk middelgrote en grote organisaties in vijf vitale sectoren: overheid, financiele dienstverlening, zorg, Maakindustrie/energie/transport & logistiek en retail. Het onderzoek combineert een survey met diepte-interviews en maakt gebruik van een volwassenheidsmodel om de digitale weerbaarheid van organisaties in kaart te brengen.
Algemene conclusies: niet geruststellend
Nederlandse organisaties geven zichzelf gemiddeld een 7,1 voor digitale weerbaarheid. Dat wijst op vertrouwen in de basis, maar verhult volgens de onderzoekers ook structurele tekortkomingen. Veel organisaties hebben beleid, monitoring en governance ingericht, maar deze fundamenten blijken in de praktijk minder stabiel dan ze op papier lijken.
Opvallend is dat basishygiëne – zoals patching, identitybeheer en segmentatie – slechts door een kleine minderheid als prioriteit wordt genoemd. Tegelijkertijd blijft ketenbeveiliging een zwak punt, terwijl incidenten steeds vaker via leveranciers en partners ontstaan. Ook crisisvoorbereiding wordt overschat: een meerderheid voelt zich voorbereid, maar slechts een beperkt deel oefent structureel.
Volwassenheidsmodel als meetlat
Voor het onderzoek is gebruikgemaakt van een volwassenheidsmodel met twaalf samenhangende domeinen, waaronder governance, compliance, monitoring, identity & access management, leveranciersmanagement en risicomanagement. Organisaties plaatsen zichzelf per domein op vier niveaus: reactief, basis, strategisch of visionair.
De uitkomsten laten zien dat de meeste organisaties zich in de basisfase bevinden. Processen zijn ingericht en verantwoordelijkheden benoemd, maar slechts een minderheid werkt strategisch of visionair. Juist bij organisaties in vitale sectoren roept dat vragen op, omdat daar continuïteit en betrouwbaarheid randvoorwaardelijk zijn.
Zorgsector: groeiende aandacht, kwetsbaarheid blijft
Binnen dit bredere beeld komt de zorgsector naar voren als een sector in transitie. Met een gemiddelde score van 6,9 blijft de zorg onder het landelijk gemiddelde. Governance en compliance zijn de afgelopen jaren versterkt, mede door NEN7510, toezicht en toenemende bestuursbetrokkenheid. Ook verwacht een meerderheid van de zorgorganisaties een stijging van het cybersecuritybudget.
Tegelijkertijd kent de sector hardnekkige kwetsbaarheden. Zorgprocessen zijn sterk afhankelijk van leveranciers, SaaS-platformen en gekoppelde instellingen. Legacy-systemen en gefragmenteerde cloudomgevingen maken het lastig om risico’s integraal te beheersen. Menselijk handelen wordt door respondenten het vaakst genoemd als grootste risico, terwijl middelen en capaciteit in de praktijk vaak beperkter zijn dan in andere sectoren.
De prioriteiten van zorgorganisaties sluiten daarbij aan: voldoen aan strengere wet- en regelgeving (zoals NIS2), veilig AI-gebruik en het vergroten van security awareness worden het vaakst genoemd. Incidenten, zoals DDoS-aanvallen op ziekenhuizen, onderstrepen volgens de onderzoekers dat digitale verstoringen in de zorg directe gevolgen kunnen hebben voor patiëntveiligheid en zorgcontinuïteit.
Nog niet cybervolwassen
Het onderzoek concludeert dat Nederland ‘op weg’ is, maar nog niet cybervolwassen. Structurele weerbaarheid ontstaat pas wanneer beleid, governance en technologie consequent worden doorvertaald naar de dagelijkse praktijk. Daarbij waarschuwen de onderzoekers expliciet voor zelfgenoegzaamheid: een voldoende mag geen eindpunt zijn.
Voor de zorgsector benoemt het rapport meerdere aandachtspunten:
- Versterk de fundamenten van digitale weerbaarheid, met name identitybeheer, segmentatie en monitoring.
- Borg governance organisatiebreed, zodat informatiebeveiliging niet afhankelijk is van individuele kennisdragers.
- Vergroot grip op ketens en leveranciers, verder dan contracten en certificeringen.
- Organiseer AI-governance expliciet, gezien het toenemende gebruik van AI in zorgprocessen.
- Investeer in structurele awareness, gericht op gedrag en meldbereidheid in plaats van eenmalige trainingen.
De centrale boodschap: de zorgsector heeft duidelijke stappen gezet, maar structurele cyberweerbaarheid vraagt om blijvende aandacht, juist vanwege de maatschappelijke impact van digitale verstoringen.
