Een groot deel van de organisaties die huisartsenspoedzorg leveren, voldoet nog niet aan de wettelijke normen voor informatiebeveiliging. Uit onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2024 en 2025 blijkt dat 43 van de 49 huisartsenposten niet of slechts gedeeltelijk voldoen aan de NEN 7510-norm. Vooral onafhankelijke beoordelingen, die verplicht zijn om de beveiliging van digitale patiëntgegevens te toetsen, bleken vaak te ontbreken of onvolledig te zijn.
Hierdoor is onduidelijk of vertrouwelijke informatie overal voldoende beschermd en beschikbaar is. Sinds het onderzoek hebben alle betrokken organisaties maatregelen genomen om hun informatiebeveiliging te verbeteren. De IGJ verwacht dat zij in 2026 volledig aan de eisen gaan voldoen.
Huisartsenspoedzorg in Nederland
De huisartsenspoedzorg in Nederland wordt geleverd door 49 huisartsendienstenstructuren (HDS’en), via zo’n 100 huisartsenspoedposten. Patiënten kunnen hier terecht buiten de reguliere openingstijden van hun eigen huisarts. In 2024 bezocht 15,7 procent van de Nederlanders (ongeveer 2,6 miljoen mensen) ten minste één keer een huisartsenspoedpost.
Deze posten maken gebruik van digitale patiëntinformatie, zoals de medische voorgeschiedenis. Goede informatiebeveiliging is daarbij cruciaal. De inspectie ziet wel dat de organisaties zich hiervan bewust zijn. Positief is ook de toegenomen samenwerking tussen zorgaanbieders en de inzet van externe deskundigheid bij informatiebeveiliging.
NEN 7510
Iedereen in de zorg moet erop kunnen vertrouwen dat gegevens veilig en beschikbaar zijn wanneer dat nodig is. NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de internationale ISO 27001-norm, maar specifiek toegespitst op de eisen en de risico’s binnen de zorgsector in Nederland. De eisen die met de NEN 7510 aan zorgaanbieders stelt die werken met digitale systemen gaan onder meer over: verantwoordelijkheid en beheer, toegang tot gegevens en het maken van een risicoanalyse.
De zorgaanbieders moeten ook kunnen aantonen dat zij werken volgens de norm door middel van een onafhankelijke beoordeling. Dit is ook verplicht voor de Cyberbeveiligingswet, die binnenkort van kracht wordt. Het onderzoek naar informatiebeveiliging in de huisartsenspoedzorg maakt deel uit van het toezicht van de IGJ op informatiebeveiliging in de zorg. Eerder deed zij onder meer onderzoek bij ziekenhuizen, ggz-instellingen en organisaties in de ouderen- en gehandicaptenzorg.
Preventie en herstel
Begin dit jaar spraken wij Marcel Floor, MT-lid bij de Directie Informatiebeleid van het ministerie van VWS over onder meer de NIS2-richtlijn, NEN7510, cyberbeveiliging en digitale weerbaarheid. De zorgsector maakt steeds meer gebruik van digitale systemen en technologie. Dat betekent kansen om de zorg toegankelijk te houden, maar het brengt volgens ook risico’s met zich mee. Volgens Floor heeft het ook te maken met ‘preventie’ en de vraag hoe snel je je als organisatie kan herstellen na een cyberaanval. Dus is het belangrijk om te investeren in technologie maar ook in bewustwording, processen én gedrag.
