Minister Bruijn van Volksgezondheid, Welzijn en Sport (VWS) heeft de Tweede Kamer onlangs via een kamerbrief geïnformeerd over de stand van zaken rond informatieveiligheid in de zorg. Uit de brief blijkt dat de digitale dreigingen voor de zorgsector toenemen, incidenten frequenter voorkomen en de naleving van bestaande veiligheidsnormen achterblijft. De minister licht in de brief ook de maatregelen toe die worden genomen om de digitale weerbaarheid van zorginstellingen te versterken.
Daarnaast richt de ministier zich nadrukkelijk ook tot zorgbestuurders. Digitale veiligheid vraagt volgens Bruijn niet alleen om technische verbeteringen, maar óók om bestuurlijk eigenaarschap. Daarom is parallel aan de Kamerbrief een aparte bestuurdersbrief verstuurd, waarin deze verantwoordelijkheid expliciet wordt benoemd.
Flyer met adviezen en tips
De minister wijst daarbij op een belangrijke verandering: met de aankomende Cyberbeveiligingswet (Cbw) wordt bestuurlijke aansprakelijkheid ingevoerd. Daarmee wordt informatieveiligheid nadrukkelijk een bestuurlijke verantwoordelijkheid en is tijdig handelen geen optie meer, maar noodzaak. Om bestuurders en koepels daarbij te ondersteunen, is de flyer ‘Wat kunt u morgen doen’ beschikbaar.
De zorgsector blijft een aantrekkelijk doelwit voor cyberaanvallen. In de brief is te lezen dat Z-CERT en de Europese Commissie zien dat aanvallen geavanceerder worden en zich vaker richten op schakels in de keten, zoals ICT-leveranciers. De recente hack bij Clinical Diagnostics waarbij de persoonsgegevens van honderdduizenden deelnemers aan bevolkingsonderzoeken zijn buitgemaakt, laat zien hoe groot de impact van een cyberaanval kan zijn.
Invoering NIS2-richtlijn
De invoering van de Europese NIS2-richtlijn via de Cyberbeveiligingswet (Cbw) duurt langer dan gepland. De minister verwacht dat de wet in het tweede kwartaal van 2026 in werking treedt. Voor de sector betekent dit nieuwe verplichtingen, zoals het uitvoeren van risicoanalyses, het treffen van passende beveiligingsmaatregelen, meldplichten en zwaardere eisen voor bestuurders.
Al vanaf 17 oktober 2024 kunnen organisaties gebruikmaken van de rechten die NIS2 biedt, waaronder ondersteuning van het Computer Security Incident Response Team voor de zorgsector: Z-CERT. De ministeriële regeling voor de zorg ligt momenteel ter internetconsultatie. Een Kamerbrief met de concrete vervolgstappen rond de Cbw wordt uiterlijk in het tweede kwartaal van 2026 verwacht.
NEN-normen
In de brief aan bestuurders is te lezen dat veel zorgorganisaties nog niet voldoen aan de normen voor informatiebeveiliging, zoals NEN 7510. Dat signaleert de Inspectie Gezondheidszorg & Jeugd (IGJ). Vooral kleinere aanbieders hebben moeite met capaciteit en uitvoering. De minister pakt dit aan met extra toezicht, praktische hulpmiddelen en een pilot voor een periodieke monitor, zodat duidelijk wordt hoe volwassen de sector is op het gebied van informatieveiligheid.
Programma’s als Informatieveilig gedrag in de zorg en Kickstart IB&P spelen daarbij een sleutelrol. Ze bieden concrete handvatten, trainingen en toolkits die in de hele sector worden gebruikt. Ook nieuwe generieke functies binnen het gezondheidsinformatiestelsel helpen mee om gegevens veilig uit te wisselen. Een voorbeeld hiervan is Dezi (De Zorgidentiteit), het inlogstelsel voor zorgprofessionals.
