Het recente datalek bij laboratorium Clinical Diagnostics laat zien hoe kwetsbaar de zorgketen kan zijn. Hoewel het incident niet expliciet op de agenda stond, kleurde het wel de hele bijeenkomst. Tijdens de jaarlijkse netwerkbijeenkomst over informatiebeveiliging en privacy benadrukten experts dat voorkomen en beperken van datalekken samenwerking vraagt van alle partijen in de zorg. De deelnemers variërend van Chief Information Security Officers tot Privacy Officers van NVZ-leden bespraken de uitdagingen rond verantwoordelijkheid, schadebeperking en preventie.
De boodschap was duidelijk: in de zorg kan geen organisatie op zichzelf staan als het gaat om dataveiligheid. Zo benadrukte Yvon van der Zalm van het ministerie van VWS dat de zorgketen zo sterk is als de zwakste schakel. VWS richt zich op wet- en regelgeving, zoals de NIS2 (Cyberbeveiligingswet), en op het aantoonbaar voldoen aan de NEN 7510:2024.
Naleving blijft achter
Ook zet het ministerie in op toezicht door de IGJ en het aanbieden van praktische implementatiehulp, vooral voor kleinere zorginstellingen. Ondanks deze ondersteuning blijft de naleving achter, waarschuwt Van der Zalm. Volgens haar ligt de verantwoordelijkheid voor daadwerkelijke uitvoering en risicomanagement primair bij de zorgaanbieders zelf: het is aan bestuurders om dit goed in te regelen.
De Autoriteit Persoonsgegevens (AP) ontvangt elk jaar tienduizenden meldingen van datalekken. Volgens senior inspecteur Emma Dello Iacono ligt de nadruk op incidenten met de grootste risico’s. Bij ernstige datalekken is het volgens haar essentieel om slachtoffers snel te informeren, met oog voor hun perspectief en met empathie, en niet enkel de wettelijke verplichtingen na te komen. Dit vergt een zorgvuldige afweging tussen snelheid en volledigheid van de communicatie.
Ingewikkelde leverancierketens
Kwetsbaarheden ontstaan vaak door onduidelijke verantwoordelijkheden en ingewikkelde leveranciersketens. Dennis Davrados, afdelingshoofd eerstelijnsonderzoek bij de AP, benadrukt het belang van concrete afspraken en goed toezicht op onderaannemers. Volgens hem moet een verwerkersovereenkomst meer zijn dan een formaliteit. Daarnaast zijn periodieke controles en het voorbereiden op noodscenario’s onmisbaar om risico’s te beperken. De sprekers waren het over een ding zeker eens: samenwerking tegen datalekken is cruciaal.
Jaco van Duivenbode, senior inspecteur bij de Inspectie Gezondheidszorg en Jeugd (IGJ), benadrukte dat de rol van de inspectie rond naleving van de NEN 7510 is veranderd. Waar de focus eerst vooral lag op agenderen en stimuleren, draait het nu meer om toezien. “Het merendeel van de ziekenhuizen voldoet inmiddels aantoonbaar aan de NEN 7510. Dat is een mooi resultaat: de basishygiëne is op orde,” aldus Van Duivenbode. De volgende stap zou handhaving zijn, maar dat staat momenteel nog niet op de agenda van de IGJ. “We voeren liever het goede gesprek met organisaties.” Toezicht op leveranciers ligt vaak niet bij de IGJ zelf, maar bij de Rijksinspectie Digitale Infrastructuur (RDI). Ook daar wordt nauwer samengewerkt vanwege de impact op de zorg.
Oefenscenario’s
Z-CERT, het expertisecentrum voor cybersecurity in de zorg, benadrukt het belang van oefenen met meest ongunstige scenario’s en herstelplannen. Linda de Lange en Auke Nicolaï geven aan dat het cruciaal is om te weten welke maatregelen effectief zijn bij uitval van systemen. In samenwerking met NVZ-leden ontwikkelt Z-CERT hiervoor templates, projectplannen en oefenscenario’s die beschikbaar worden gesteld aan de deelnemers van het netwerk.
Het aantal cyberaanvallen op zorginstellingen in Nederland en Europa neemt volgens Z-CERT toe, terwijl internationale samenwerking achterblijft. In februari publiceerden ze daarom ‘Cybersecurity Dreigingsbeeld voor de zorg’. Z-CERT waarschuwt dat deze aanvallen leiden tot datadiefstal en verstoring van cruciale zorgprocessen, met mogelijk levensbedreigende gevolgen. Daarom is volgens Z-CERT ook een betere, Europese samenwerking nodig.
