Op 4 december 2025 stuurde de minister van Volksgezondheid, Welzijn en Sport een uitgebreide beleidsbrief aan de Tweede Kamer over informatieveiligheid in de zorg.

Die brief kwam niet zomaar. Aanleiding was een stapeling van zorgwekkende signalen: het toenemend aantal digitale aanvallen op zorgorganisaties, ernstige datalekken zoals bij Clinical Diagnostics, en de vaststelling dat veel zorgaanbieders de wettelijke normen voor informatiebeveiliging nog altijd onvoldoende naleven.

De zorgsector blijkt structureel kwetsbaar, juist omdat ze zo sterk digitaliseert én intensief samenwerkt in complexe ketens.

De boodschap van de minister is helder: zonder goede beveiliging is er geen vertrouwen, en zonder vertrouwen geen databeschikbaarheid – wat betekent dat passende, digitale zorg onhaalbaar wordt. De brief zet niet alleen de risico’s op een rij, maar wijst ook op de verantwoordelijkheden die rusten op zorgorganisaties en hun bestuurders.

Met de komst van de Cyberbeveiligingswet (NIS2), zwaarder toezicht door de Inspectie Gezondheidszorg en Jeugd en formele taken voor Z-CERT, is een nieuwe fase aangebroken.

De overheid biedt ondersteuning, maar de regie ligt bij de sector zelf.

1. Dreiging in de zorg groeit snel

Cyberdreiging zorg is geen technisch thema meer dat kan worden gedelegeerd aan een IT‑afdeling.

Cyberdreiging in de zorg raakt direct de bestuurlijke verantwoordelijkheid van zorgorganisaties. Bestuurders, managers en ceo’s krijgen ermee te maken omdat continuïteit van zorg, privacyverplichtingen en toezicht steeds sterker met elkaar zijn verbonden.

Deze dreiging speelt zich af op organisatieniveau en vraagt om sturing, keuzes en prioriteiten. Dat geldt ongeacht omvang, type zorg of digitaliseringsgraad.

In de zorg is informatiebeveiliging onlosmakelijk verbonden met primaire processen. Digitale systemen ondersteunen diagnostiek, planning, communicatie en verantwoording. Zodra deze systemen onder druk komen te staan, ontstaan directe gevolgen voor bedrijfsvoering en bestuurlijke verantwoording.

De dreiging ontwikkelt zich sneller dan veel organisaties bestuurlijk kunnen bijbenen. Niet door gebrek aan intentie, maar door onderschatting van de aard en omvang van het risico.

Cyberaanvallen als bedrijfsrisico

Cyberaanvallen in de zorg moeten worden gezien als een volwaardig bedrijfsrisico, vergelijkbaar met financiële risico’s, personeelskrapte of vastgoedvraagstukken. Het onderscheid tussen “ICT-probleem” en “bestuurlijk probleem” bestaat in de praktijk niet meer.

Bestuurders worden geconfronteerd met risico’s die zich op meerdere niveaus tegelijk manifesteren:

• Onderbreking van zorgprocessen en planning
• Reputatieschade richting patiënten, cliënten en ketenpartners
• Aansprakelijkheid bij onvoldoende beheersing
• Verscherpt toezicht door toezichthouders
• Bestuurlijke druk door meldplichten en verantwoording

Deze combinatie maakt dat cyberdreiging structureel thuishoort in risicomanagement en governance. Organisaties die dit niet expliciet zo positioneren, lopen achter de feiten aan.

Van incidentdenken naar structurele druk

Veel zorgorganisaties benaderen digitale incidenten nog als uitzonderingen. Dat perspectief past niet meer bij de huidige realiteit. De dreiging is structureel aanwezig en vormt een constante druk op de organisatie. Dit vraagt om een andere manier van kijken.

Niet het individuele incident is leidend, maar de vraag:

• In hoeverre is de organisatie ingericht om verstoringen op te vangen
• Welke afhankelijkheden zijn ontstaan door digitalisering
• Hoe zichtbaar is digitale weerbaarheid op bestuursniveau

Cyberdreiging zorg dwingt tot structurele keuzes over investeringen, prioriteiten en acceptabele risico’s. Dat gesprek hoort niet incidenteel, maar periodiek plaats te vinden in de bestuurskamer.

Bestuurlijke verantwoordelijkheid verschuift

De positie van bestuurders verandert zichtbaar. Waar informatiebeveiliging eerder vooral werd gezien als ondersteunend, wordt het nu gezien als onderdeel van goed bestuur. Wet- en regelgeving versterken deze verschuiving, maar ook maatschappelijke verwachtingen spelen een rol.

Toezichthouders en partners verwachten dat bestuurders:

• Weten welke digitale risico’s spelen
• Aantoonbaar sturen op beheersing
• Kunnen uitleggen waarom keuzes zijn gemaakt
• Niet uitsluitend vertrouwen op externe leveranciers

Deze ontwikkeling maakt dat onwetendheid geen verdedigbaar standpunt meer is. Bestuurders hoeven geen technische specialisten te zijn, maar wel risicobewust en besluitvaardig.

Vertrouwen als kwetsbaar kapitaal

Zorgorganisaties opereren op basis van vertrouwen. Vertrouwen van patiënten, cliënten, medewerkers, samenwerkingspartners en financiers. Digitale incidenten tasten dit vertrouwen direct aan, ook wanneer de zorginhoud niet zichtbaar wordt geraakt.

Vertrouwen verdwijnt sneller dan het wordt opgebouwd. Dat heeft gevolgen voor:

• Bereidheid om gegevens te delen
• Samenwerking in regionale netwerken
• Imago van de organisatie
• Relatie met toezichthouders

Cyberdreiging zorg is daarmee niet alleen een technisch of juridisch risico, maar ook een strategisch reputatierisico. Dit vraagt om een bredere blik dan alleen naleving van regels.

Complexiteit door ketens en afhankelijkheden

Zorg wordt steeds vaker geleverd in netwerken. Gegevensstromen lopen over meerdere organisaties, systemen en leveranciers heen. Die verwevenheid vergroot de kwetsbaarheid.

Bestuurders krijgen te maken met:

• Afhankelijkheid van externe partijen
• Beperkte invloed op ketenbeveiliging
• Onduidelijkheid over verantwoordelijkheden
• Risico’s die buiten de eigen organisatie ontstaan

Deze context maakt cyberdreiging zorg lastig te beheersen met klassieke interne maatregelen. Het vraagt om bestuurlijke aandacht voor afspraken, samenwerking en ketenrisico’s, ook wanneer die buiten de directe hiërarchie liggen.

Toezicht en handhaving worden zichtbaarder

Toezicht op digitale weerbaarheid in de zorg wordt concreter en actiever.

De IGJ (Inspectie Gezondheidszorg en Jeugd) kijkt nadrukkelijker naar hoe bestuurders omgaan met risico’s rond informatiebeveiliging en privacy. De AP (Autoriteit Persoonsgegevens) toetst strenger op naleving en opvolging.

Voor bestuurders betekent dit:

• Minder ruimte voor vrijblijvende plannen
• Meer nadruk op aantoonbaarheid
• Verantwoordingsvragen op bestuursniveau
• Toenemende samenhang tussen toezicht en beleid

Cyberdreiging zorg wordt daarmee ook een toezichtsdossier. Niet alleen wat er gebeurt telt, maar ook wat vooraf is geregeld.

Digitale dreiging vraagt bestuurlijke taal

Een belangrijk knelpunt is taal. Digitale risico’s worden vaak technisch geformuleerd, terwijl bestuurlijke besluitvorming vraagt om helderheid over impact, prioriteit en consequenties.

Effectieve sturing ontstaat wanneer:

• Risico’s worden vertaald naar bedrijfsimpact
• Scenario’s begrijpelijk zijn voor bestuur en toezicht
• Keuzes expliciet worden vastgelegd
• Verantwoordelijkheden duidelijk zijn belegd

Zonder deze vertaalslag blijft cyberdreiging zorg abstract en moeilijk bestuurbaar. Dat vergroot de kans op ad‑hocbeslissingen onder druk.

Informatiebeveiliging als onderdeel van continuïteit

Informatiebeveiliging staat niet los van continuïteit van zorg. Digitale verstoringen hebben direct effect op beschikbaarheid, betrouwbaarheid en planning. Bestuurders die continuïteit serieus nemen, moeten digitale weerbaarheid daarin meenemen.

Dit raakt onder meer:

• Crisisstructuren en besluitvorming
• Oefenen van verstoringsscenario’s
• Afstemming met externe partijen
• Communicatie richting stakeholders

Cyberdreiging zorg laat zien dat continuïteit niet alleen fysiek of organisatorisch is, maar ook digitaal.

Bestuurlijke keuzes worden zichtbaar

De manier waarop een zorgorganisatie omgaat met cyberdreiging laat zien hoe bestuur en management omgaan met risico’s in brede zin. Niet alles is te voorkomen, maar keuzes worden zichtbaar in voorbereiding, prioritering en transparantie.

Organisaties die wachten tot iets misgaat, worden ingehaald door realiteit en toezicht. Organisaties die cyberdreiging structureel agenderen, bouwen aan bestuurlijke wendbaarheid en geloofwaardigheid.

De dreiging gaat niet meer weg.

De vraag verschuift naar hoe organisaties ermee omgaan, welke keuzes zij maken en hoe zij daar verantwoording over afleggen.

2. Naleving van normen blijft achter

NEN 7510 zorg is voor veel bestuurders een bekende naam, maar zelden een actief stuurinstrument. NEN 7510 zorg verschijnt vaak pas op de agenda wanneer toezicht zich aandient of wanneer een incident vragen oproept.

Toch vormt NEN 7510 zorg het formele fundament onder informatiebeveiliging in de zorg en daarmee onder bestuurlijke verantwoordelijkheid. De achterblijvende naleving is geen randverschijnsel, maar een structureel patroon dat zichtbaar is in vrijwel alle zorgsegmenten.

De kern van het probleem zit niet in onwil, maar in positionering.

Normen worden nog te vaak gezien als technische checklists of certificeringstrajecten, terwijl ze bedoeld zijn als bestuurlijk raamwerk voor risicobeheersing. Daardoor ontstaat een kloof tussen formele verplichtingen en dagelijkse praktijk.

Normenkaders als bestuurlijk vraagstuk

Informatiebeveiligingsnormen in de zorg zijn geen vrijblijvende richtlijnen. Ze leggen vast hoe organisaties moeten omgaan met risico’s rond gegevensverwerking, continuïteit en betrouwbaarheid. Wanneer naleving tekortschiet, raakt dat direct aan governance.

Bestuurders krijgen hiermee te maken op meerdere niveaus:

• Aanspreekbaarheid door toezichthouders
• Verwachtingen van samenwerkingspartners
• Verantwoordingsdruk richting cliënten en financiers
• Interne sturing en prioritering

Het normenkader fungeert daarmee als meetlat voor professioneel bestuur. Onvoldoende naleving wordt steeds vaker gezien als tekortschietende beheersing.

Waarom naleving structureel achterblijft

De oorzaken van achterblijvende naleving zijn divers en vaak organisatiebreed. Het gaat zelden om één ontbrekende maatregel, maar om samenhang.

Veelvoorkomende bestuurlijke oorzaken:

• Onvoldoende eigenaarschap op directieniveau
• Versnipperde verantwoordelijkheden
• Afhankelijkheid van externe partijen
• Onderschatting van inspanning en doorlooptijd

Daarbij speelt mee dat normen abstract kunnen overkomen. Zonder vertaling naar concrete keuzes blijven ze op papier bestaan, terwijl de praktijk zich anders ontwikkelt.

Toezicht maakt verschillen zichtbaar

Toezicht op informatiebeveiliging in de zorg is niet uniform, maar wel consistent in boodschap. De IGJ (Inspectie Gezondheidszorg en Jeugd) kijkt nadrukkelijk naar de mate waarin normen zijn ingebed in beleid, sturing en verantwoording.

Het gaat niet alleen om documenten, maar om aantoonbare werking.

Voor bestuurders betekent dit dat:

• Beleidsstukken alleen niet voldoende zijn
• Besluitvorming herleidbaar moet zijn
• Verbeteracties worden opgevolgd
• Verantwoordelijkheden duidelijk zijn vastgelegd

Toezicht legt daarmee bloot of normen daadwerkelijk worden gebruikt als stuurmiddel.

Certificering is geen eindpunt

Een hardnekkig misverstand is dat certificering gelijkstaat aan naleving. Certificering kan ondersteunen, maar vervangt geen actieve sturing. Normen vragen om continu onderhoud, evaluatie en bijstelling.

Organisaties die uitsluitend sturen op audits lopen het risico dat:

• Verbeteringen tijdelijk zijn
• Afwijkingen blijven bestaan
• Bestuur geen actueel beeld heeft
• Schijnzekerheid ontstaat

Naleving vraagt om cyclisch werken, niet om een eenmalig traject.

Kleine en middelgrote organisaties onder druk

Voor kleinere zorgorganisaties is naleving vaak extra complex. Beperkte capaciteit, meerdere rollen per medewerker en afhankelijkheid van leveranciers maken structurele borging lastig. Dat neemt de verplichting niet weg, maar vraagt wel om realistische keuzes.

Bestuurlijk gezien betekent dit:

• Bewuste prioritering van risico’s
• Heldere afspraken met leveranciers
• Gebruikmaken van beschikbare hulpmiddelen
• Acceptatie dat niet alles tegelijk kan

Het normenkader biedt ruimte voor proportionaliteit, maar die ruimte moet wel expliciet worden benut en onderbouwd.

Leveranciers bepalen mede de naleving

Een groot deel van informatieverwerking in de zorg vindt plaats buiten de directe invloedssfeer van de organisatie. Applicaties, hosting en beheer zijn vaak uitbesteed. Toch blijft de zorgorganisatie verantwoordelijk voor naleving van normen.

Dit vraagt om bestuurlijke aandacht voor:

• Contractuele afspraken
• Verdeling van verantwoordelijkheden
• Inzicht in afhankelijkheden
• Escalatie bij tekortkomingen

Zonder deze aandacht ontstaat een papieren naleving die in de praktijk niet standhoudt.

Normen als hulpmiddel voor besluitvorming

Wanneer normen goed worden gebruikt, ondersteunen ze bestuurders bij lastige keuzes. Ze bieden een gemeenschappelijke taal om risico’s te bespreken en afwegingen vast te leggen.

Voorbeelden van vragen die normen helpen structureren:

• Welke risico’s worden geaccepteerd en waarom
• Waar zijn aanvullende maatregelen nodig
• Welke investeringen zijn verdedigbaar
• Hoe wordt voortgang gevolgd

Op die manier verschuift de norm van verplicht nummer naar bestuurlijk hulpmiddel.

Aantoonbaarheid wordt steeds belangrijker

In de zorg telt niet alleen wat is geregeld, maar ook wat aantoonbaar is. Bestuurders moeten kunnen laten zien dat keuzes bewust zijn gemaakt en opgevolgd. Dat geldt richting toezicht, maar ook intern.

Aantoonbaarheid vraagt om:

• Vastgelegde besluiten
• Duidelijke eigenaarschap
• Periodieke evaluatie
• Transparante rapportage

Zonder deze elementen blijft naleving kwetsbaar.

Privacy en informatiebeveiliging zijn verweven

Normen voor informatiebeveiliging staan niet los van privacyverplichtingen. In de praktijk lopen deze verantwoordelijkheden door elkaar. Bestuurlijke keuzes op het ene vlak hebben direct effect op het andere.

Dat betekent dat:

• Privacy geen los dossier is
• Beveiligingskeuzes impact hebben op gegevensbescherming
• Verantwoordelijkheden samenkomen op bestuursniveau

Deze verwevenheid maakt integrale sturing noodzakelijk.

Van compliance naar volwassenheid

De grootste uitdaging is de stap van minimale compliance naar volwassen risicobeheersing. Zolang normen worden gezien als externe druk, blijft naleving achter. Pas wanneer ze worden ingezet als intern kompas, ontstaat beweging.

Organisaties die hierin investeren:

• Hebben beter zicht op risico’s
• Kunnen sneller bijsturen
• Zijn beter voorbereid op toezicht
• Bouwen vertrouwen op bij partners

De druk groeit, vanuit toezicht en ketens.

Naleving van normen blijft daarmee geen administratieve verplichting, maar een zichtbaar onderdeel van professioneel bestuur.

3. Nieuwe wetgeving verandert alles

Cyberbeveiligingswet zorg betekent dat digitale risico’s in de zorgsector voortaan wettelijk zijn verankerd. Daarmee verschuift informatiebeveiliging van een interne verantwoordelijkheid naar een formele verplichting onder publiek toezicht.

Zorgorganisaties vallen niet meer alleen onder sectorale normen, maar krijgen te maken met brede wetgeving die toezicht, aansprakelijkheid en ondersteuning structureel anders regelt.

Deze ontwikkeling komt voort uit de Europese NIS2-richtlijn en wordt in Nederland vastgelegd in de Cyberbeveiligingswet (Cbw). De wet geldt voor een groot deel van de zorgsector en stelt eisen aan hoe organisaties omgaan met digitale weerbaarheid, meldingsplichtige incidenten en verantwoord bestuur.

Juridische verantwoordelijkheid wordt explicieter

Bestuurders in de zorg zijn vanaf de inwerkingtreding van de Cbw niet alleen bestuurlijk verantwoordelijk, maar ook juridisch aanspreekbaar. De wet introduceert expliciete verplichtingen voor bestuur en toezicht.

Onderdeel van deze verantwoordelijkheid:

• Bestuurders moeten voldoende kennis hebben van cyberbeveiliging
• Opleiding en training worden verplicht
• Aansprakelijkheid bij nalatigheid is wettelijk vastgelegd
• Besluitvorming over risico’s moet aantoonbaar zijn

Dat vraagt om meer dan alleen reactief gedrag. Organisaties die onvoldoende voorbereid zijn, lopen het risico op boetes, ingrepen of juridische claims.

Meldplicht incidenten wordt een toetsmoment

De meldplicht voor significante incidenten wordt onder de Cbw wettelijk verankerd. Daarmee verandert het karakter van incidentmanagement. Het wordt niet langer alleen een interne zorgplicht, maar ook een toetsmoment richting toezichthouders.

De meldplicht betekent concreet:

• Significante verstoringen moeten worden gemeld bij het sectorale CSIRT
• Niet melden of te laat melden kan leiden tot sancties
• De kwaliteit van de melding wordt meegewogen
• Structurele opvolging wordt verwacht

Organisaties moeten dus beschikken over een meldstructuur die past binnen hun governance en crisisstructuur. Incidenten worden daarmee ook bestuurlijk relevant.

Toezicht krijgt een andere lading

Waar toezicht op informatiebeveiliging in de zorg eerder indirect verliep via normen zoals NEN 7510, introduceert de Cbw een duidelijk en wettelijk kader. De IGJ (Inspectie Gezondheidszorg en Jeugd) wordt aangewezen als toezichthouder binnen de zorgsector.

De gevolgen van dit formele toezicht:

• Toetsing vindt plaats op basis van wet, niet alleen op norm
• Toezichthouders kunnen sancties opleggen
• Structurele audits en controles zijn mogelijk
• Herstelmaatregelen kunnen worden afgedwongen

De verhouding tussen zorgorganisatie en toezichthouder verandert hierdoor fundamenteel. Niet alleen intentie telt, maar vooral aantoonbaar handelen.

Ketenverantwoordelijkheid wordt juridisch afdwingbaar

Digitale risico’s beperken zich niet tot de eigen organisatie. De Cbw benoemt expliciet dat ook toeleveranciers, ICT-partijen en andere ketenpartners binnen het risicobeeld moeten worden meegenomen.

Bestuurders moeten zorgen dat:

• Leveranciers voldoen aan normen en verplichtingen
• Ketenafspraken schriftelijk zijn vastgelegd
• Inkoopprocedures rekening houden met informatiebeveiliging
• Verantwoordelijkheden bij uitbesteding helder zijn geregeld

Afhankelijkheden zijn geen verzachtende omstandigheden meer. Het ontbreken van grip op leveranciers kan worden aangemerkt als nalatig bestuur.

Ondersteuning via het sectorale CSIRT

Naast verplichtingen brengt de wet ook rechten met zich mee. Organisaties in de zorg die onder de Cbw vallen, krijgen recht op ondersteuning via het sectorale Computer Security Incident Response Team.

In de zorg is deze rol belegd bij Z-CERT. Z-CERT staat voor Zorg Computer Emergency Response Team. Het is het sectorale expertisecentrum voor cybersecurity in de zorg in Nederland. De taken van Z-CERT omvatten:

• Dreigingsinformatie en waarschuwingen verspreiden
• Ondersteuning bij incidentanalyse en herstel
• Onderhoud van kennisbanken en richtlijnen
• Advies over implementatie van maatregelen

Deze ondersteuning is beschikbaar, maar vraagt actieve participatie. Organisaties die zich niet aansluiten of niet reageren op waarschuwingen lopen risico’s die voorkomen hadden kunnen worden.

Aansluiting op bestaande normen is vereist

De Cbw werkt aanvullend op bestaande normen zoals NEN 7510 en ISO 27001. Wie nu al werkt volgens deze normen, heeft een voorsprong. Maar dat betekent niet dat deze normen automatisch voldoen aan de eisen uit de wet.

Verschillen zitten onder meer in:

• De juridische status van verplichtingen
• De specifieke meldplicht en rapportage-eisen
• De expliciete betrokkenheid van bestuurders
• De reikwijdte richting keten en leveranciers

Naleving van normen wordt dus geen alternatief voor wettelijke naleving, maar een onderdeel van de totale vereisten.

Inwerkingtreding dwingt tot voorbereiding

De verwachte inwerkingtreding van de Cbw ligt in het tweede kwartaal van 2026. Dat lijkt ver weg, maar de voorbereiding vraagt tijd, capaciteit en aandacht op strategisch niveau.

Voorbereiding vereist:

• Herijking van risicobeoordelingen
• Aanpassing van governance en besluitvorming
• Inrichting van meldprocessen en escalatie
• Interne training en bewustwording op directieniveau

Organisaties die wachten tot de wet van kracht is, zullen moeite hebben om op tijd te voldoen aan alle eisen. Tijdige voorbereiding is daarom noodzakelijk.

Bestuurders worden meetbaar geacht

De wet maakt het gedrag en de keuzes van bestuurders expliciet toetsbaar. Er wordt niet alleen gekeken of iets is geregeld, maar ook of het bestuur daar actief op heeft gestuurd.

Dit betekent dat:

• Onwetendheid of passiviteit geen verdedigbare positie meer is
• Bestuurlijke besluiten moeten worden vastgelegd en gemotiveerd
• Externe toetsing zal plaatsvinden op bestuursniveau
• Training en bewustzijn niet optioneel zijn

Bestuurders worden geacht digitaal volwassen te zijn in hun sturing. De lat ligt hoger dan ooit.

Vooruitkijken is geen luxe meer

Wetgeving zoals de Cbw legt de nadruk op proactief handelen. Besturen op basis van incidenten of externe druk is niet meer houdbaar. Digitale weerbaarheid moet worden geïntegreerd in beleid, strategie en risicomanagement.

Nadenken over de impact van toekomstige wetgeving:

• Maakt organisaties wendbaarder
• Versterkt de interne besluitvorming
• Vergroot vertrouwen bij ketenpartners
• Vermindert risico op incidenten en sancties

Zorgorganisaties die wetgeving alleen formeel volgen, lopen achter. Organisaties die wetgeving gebruiken als sturingsinstrument, bouwen aan duurzame digitale weerbaarheid.

4. Gedrag maakt het verschil

Bewustwording informatiebeveiliging zorg is geen bijzaak. De mate waarin medewerkers risico’s herkennen, opvolging geven aan beleid en veilig omgaan met systemen bepaalt in grote mate hoe effectief technische en organisatorische maatregelen zijn.

Organisaties investeren in systemen, normen en processen, maar gedrag bepaalt of het allemaal functioneert zoals bedoeld.

Gedrag in de zorgorganisatie is de verbindende laag tussen beleid en praktijk. Bestuurders kunnen beleidsdocumenten goedkeuren, en systemen kunnen conform norm worden ingericht, maar als medewerkers klikken op schadelijke links, wachtwoorden delen of systemen open laten staan, valt alle techniek weg.

Informatiebeveiliging is dus niet alleen een ICT-aangelegenheid of een complianceverplichting, maar een structureel gedragsvraagstuk dat bestuurlijk moet worden aangestuurd.

Onveilig gedrag is nog steeds de grootste oorzaak

De meeste datalekken in de zorg ontstaan niet door hackers, maar door menselijk handelen. Dit varieert van verkeerd geadresseerde e-mails tot onzorgvuldige omgang met patiëntgegevens. Zelfs in organisaties waar technisch alles op orde is, blijven menselijke fouten de zwakke schakel.

De belangrijkste gedragsrisico’s binnen zorginstellingen zijn:

• Gebrek aan alertheid bij phishing of frauduleuze communicatie
• Onvoldoende naleving van basisafspraken (zoals schermvergrendeling)
• Onbedoeld delen van patiëntinformatie via onveilige kanalen
• Gebrek aan kennis over beveiligingsinstellingen bij het gebruik van nieuwe software

Bestuurlijke aandacht is nodig omdat deze risico’s niet vanzelf verdwijnen. Gedrag verandert niet door beleid alleen, maar door gerichte sturing, herhaling en voorbeeldgedrag.

Traditionele trainingen zijn onvoldoende

Eenmalige e-learningmodules of standaard awarenesssessies leveren zelden blijvende gedragsverandering op. Ze zijn vaak te algemeen, te vrijblijvend en sluiten niet aan bij de werkpraktijk van zorgmedewerkers.

Effectieve bewustwording vraagt om:

• Continue en praktijkgerichte interventies
• Verschillende formats zoals simulaties, microlearning en coaching
• Inbedding in dagelijkse werkprocessen
• Aansluiting bij rollen en verantwoordelijkheden

Het doel is niet kennisoverdracht, maar gedragsverandering. Dat vereist dat organisaties investeren in programmatische, cyclische benaderingen – niet in losse acties.

Voorbeeldgedrag begint bij de top

Bestuurders, managers en teamleiders geven het signaal af hoe serieus informatiebeveiliging genomen wordt. Als veiligheidsregels consequent worden toegepast en overtredingen besproken, ontstaat normbesef. Als leidinggevenden zelf slordig omgaan met wachtwoorden of beleid omzeilen, is elke boodschap daarover ongeloofwaardig.

Voorbeeldgedrag op bestuurlijk niveau laat zich vertalen in:

• Actieve deelname aan trainingen of simulaties
• Duidelijke communicatie over prioriteiten
• Zichtbare betrokkenheid bij incidentafhandeling
• Integratie van informatiebeveiliging in overleggen en jaarplannen

De mate waarin dit gebeurt, bepaalt in belangrijke mate de cultuur rond veilig gedrag.

Praktische hulpmiddelen beschikbaar voor ondersteuning

Organisaties hoeven niet zelf het wiel uit te vinden. Er bestaan diverse initiatieven en tools die gericht zijn op gedragsverandering specifiek voor de zorg.

Voorbeelden hiervan:

• De wegwijzer van Informatieveilig gedrag in de zorg
• Praktische toolkits over onderwerpen als datalekken, veilig gebruik van AI en e-mail
• Voorgeprogrammeerde phishingsimulaties en gedragsmetingen
• Modules uit het programma Kickstart Informatiebeveiliging en Privacy, via Samen werken aan eOverdracht

Toegang tot deze middelen is vaak gratis. Wat ontbreekt is niet het aanbod, maar de integratie in het werkproces. Organisaties die dat wel doen, versterken hun weerbaarheid op structurele basis.

Risicobewustzijn verschilt per functiegroep

Niet alle medewerkers hebben dezelfde toegang tot systemen of werken met dezelfde gegevens. Dat betekent ook dat risicobewustzijn niet uniform is. Een algemeen bewustwordingsprogramma doet daardoor zelden recht aan de praktijk.

Effectieve programma’s differentiëren tussen:

• Zorgprofessionals aan het bed of in de wijk
• Administratief personeel met toegang tot dossiers
• Technische dienst of facilitair personeel
• Management en staf

Elke groep heeft andere risico’s, andere leerbehoeften en andere triggers voor gedrag. Zonder deze differentiatie blijven programma’s vaag en ineffectief.

Gebrek aan feedback ondermijnt gedragsverandering

In veel organisaties ontbreekt structurele terugkoppeling op veilig of onveilig gedrag. Incidenten worden wel geregistreerd, maar niet besproken. Positief gedrag wordt niet herkend of beloond. Dat maakt het lastig om cultuur te veranderen.

Gedrag wordt pas structureel beïnvloed als:

• Incidenten worden besproken met de betrokken teams
• Successen zichtbaar worden gemaakt
• Teams inzicht krijgen in hun eigen prestaties
• Informatiebeveiliging onderdeel is van het functioneringsgesprek

Zonder feedback blijft informatiebeveiliging abstract en afstandelijk.

Informele cultuur heeft invloed

In zorgorganisaties is sprake van een sterke informele werkcultuur. Collega’s helpen elkaar, regels worden soms pragmatisch toegepast. Hoewel deze flexibiliteit essentieel is voor goede zorg, kan het ook leiden tot het negeren van veiligheidsregels als die ‘onhandig’ zijn.

Voorbeelden:

• Inloggen op elkaars account om ‘even snel’ iets te regelen
• Dossiers open laten staan voor de nachtdienst
• Patiëntgegevens mondeling bespreken in openbare ruimtes

Dit soort situaties vraagt niet om strengere regels, maar om bespreekbaarheid. Organisaties die dit gedrag herkennen én bespreekbaar maken, zetten echte stappen in bewustwording.

Meten van gedrag maakt verschil zichtbaar

Gedrag is lastig te sturen zonder inzicht. Veel zorginstellingen meten wel incidenten, maar niet structureel het gedrag van medewerkers. Daardoor blijft onduidelijk of interventies effect hebben.

Mogelijkheden om gedrag zichtbaar te maken:

• Periodieke gedragsmetingen via enquêtes of interviews
• Analyse van herhaalde fouten of terugkerende incidenten
• Rapportages van phishing-simulaties of awarenessmodules
• Observaties in de praktijk

Meten is niet bedoeld om te controleren, maar om te verbeteren. Bestuurders die zicht hebben op gedrag, kunnen beter sturen op cultuur.

Gedrag bepaalt de werkelijke weerbaarheid

Informatiebeveiliging in zorginstellingen bestaat uit techniek, beleid en mensen. De mens is daarin de enige variabele die niet programmeerbaar is. Organisaties met technisch sterke oplossingen zijn niet automatisch veilig.

Gedrag maakt het verschil tussen een plan en een praktijk die werkt.

In een sector waar vertrouwen, zorgvuldigheid en continuïteit centraal staan, is het ondenkbaar dat veilig gedrag niet structureel wordt gestuurd. Gedragsbeïnvloeding is daarom niet optioneel, maar essentieel voor organisaties die informatiebeveiliging daadwerkelijk willen borgen.

5. Leveranciers en technologie vormen risico

Cloudgebruik zorgsector levert voordelen op, maar introduceert ook nieuwe kwetsbaarheden. Zorgorganisaties zijn in toenemende mate afhankelijk van externe partijen voor hun informatiesystemen, digitale communicatie en gegevensopslag.

Daarmee komt een deel van de informatiebeveiliging buiten de directe invloedssfeer van de organisatie te liggen, terwijl de verantwoordelijkheid wettelijk blijft rusten op de zorgaanbieder zelf.

Technologische ontwikkelingen zoals kunstmatige intelligentie, externe dataopslag, nieuwe encryptiemethoden en keteninfrastructuren veranderen het risicolandschap snel.

Bestuurders moeten keuzes maken over inrichting, samenwerking en continuïteit. Deze keuzes kunnen niet langer alleen op basis van gemak of kostenefficiëntie worden genomen.

Externe leveranciers zijn onderdeel van de eigen verantwoordelijkheid

Leveranciers van EPD-systemen, portalen, communicatieoplossingen of ICT-beheer hebben directe toegang tot kritieke gegevens of systemen. De wetgeving verplicht zorgaanbieders om in te staan voor de beveiliging van deze keten.

Dat betekent:

• Verantwoordelijkheid blijft bij de zorgaanbieder, ook bij uitbesteding
• Leverancierskeuze moet gebaseerd zijn op toetsbare beveiligingscriteria
• Eisen uit wetgeving en normen moeten contractueel worden vastgelegd
• Periodieke toetsing en audits zijn nodig om naleving te controleren

Zonder contractuele borging ontstaat een risico dat pas zichtbaar wordt bij incidenten. Dan blijkt vaak dat toezicht, logging of herstelcapaciteit ontbreken.

Clouddiensten verhogen afhankelijkheid

Cloudtoepassingen bieden schaalvoordelen, maar maken organisaties ook afhankelijk van de beschikbaarheid, compliance en support van de dienstverlener. Voor zorgorganisaties betekent dit dat zij minder controle hebben over fysieke locaties, infrastructuur en back-ups.

Belangrijke aandachtspunten:

• Waar worden gegevens opgeslagen (jurisdictie en data-eigendom)
• Hoe wordt versleuteling toegepast en beheerd
• Wat zijn de voorwaarden bij storingen, updates of migratie
• Welke exit-strategie is beschikbaar bij beëindiging van de samenwerking

Zonder duidelijke afspraken over deze aspecten ontstaat een vorm van ‘vendor lock-in’ waarbij overstappen technisch, juridisch en operationeel vrijwel onmogelijk wordt.

AI en automatisering versterken onbekende risico’s

Kunstmatige intelligentie wordt steeds vaker toegepast voor triage, planning, dossiervorming en communicatie. Tegelijkertijd is de controle op dataverzameling, bias en beveiliging van AI-modellen nog beperkt.

Mogelijke risico’s bij gebruik van AI in de zorg:

• Onbedoelde blootstelling van gevoelige gegevens via publieke modellen
• Slecht beveiligde of ongetrainde algoritmen in commerciële software
• Gebrek aan transparantie over gegevensverwerking en beslislogica
• Misbruik van AI door derden voor phishing of gegevensmanipulatie

Organisaties moeten duidelijke kaders stellen voor de inzet van AI, ook als de technologie via leveranciers wordt aangeboden. Zonder dit toezicht kunnen AI-toepassingen een nieuwe bron van kwetsbaarheid vormen.

Nieuwe encryptiestandaarden zijn nodig

Postquantum cryptografie is in opkomst vanwege de verwachte kracht van toekomstige quantumcomputers. Hoewel dit nu nog theoretisch lijkt, is het risico van ‘nu stelen, straks ontsleutelen’ al actueel. Gegevens die nu worden onderschept kunnen in de toekomst alsnog leesbaar worden.

Bestuurlijke aandacht is vereist voor:

• Inventarisatie van informatie die lang vertrouwelijk moet blijven
• Toepassing van versleuteling die aanpasbaar is in de tijd
• Eisen aan apparatuur of leveranciers die afhankelijk zijn van langdurige encryptiestandaarden

Dit vraagt niet direct om ingrijpende technische vernieuwing, maar wel om visie en beleid op de langere termijn. Het ontbreken van dit perspectief vergroot de toekomstige kwetsbaarheid.

End-to-end encryptie wordt nieuwe norm

Bij digitale communicatie binnen de zorg wordt steeds vaker geëist dat alleen de verzender en ontvanger toegang hebben tot de inhoud. Dit zogeheten end-to-end encryptie sluit derden, zoals e-mailproviders of softwareleveranciers, uit.

Invoering hiervan vereist:

• Afspraken over welke systemen hieraan moeten voldoen
• Technische aanpassing van mail-, chat- en overdrachtsdiensten
• Certificering van afzender en ontvanger via betrouwbare kanalen
• Eisen aan leveranciers en IT-partners om dit te ondersteunen

Zorgaanbieders moeten bij nieuwe IT-inkopen standaard deze eisen stellen. Anders wordt er gekozen voor oplossingen die binnen korte tijd verouderd of onacceptabel zijn.

Ketenrisico’s moeten actief beheerd worden

De zorgsector is sterk verweven: gegevens worden gedeeld met andere zorgaanbieders, laboratoria, verzekeraars, softwareleveranciers en onderzoeksinstellingen. Elke partij kan een toegangspunt worden voor aanvallers.

Ketenbeheer betekent:

• Inventarisatie van alle externe verbindingen en systemen
• Vastlegging van wie waarvoor verantwoordelijk is
• Periodieke evaluatie van beveiligingsniveaus in de keten
• Standaardisering van eisen op sectorniveau

Zonder dit overzicht ontstaan blinde vlekken. In complexe ketens worden incidenten vaak pas opgemerkt nadat schade is ontstaan, of zijn ze moeilijk te herleiden naar de oorzaak.

Digitale autonomie wordt strategisch thema

De keuze voor technologie en leveranciers raakt ook de strategische zelfstandigheid van een zorgorganisatie. Wie volledig afhankelijk is van niet-Nederlandse of gesloten systemen, kan bij geopolitieke spanningen, marktverstoringen of productstop zonder opties komen te zitten.

Digitale autonomie vereist:

• Inzicht in wie de technologie beheert en bezit
• Keuze voor open standaarden waar mogelijk
• Vermogen om tijdig over te stappen van leverancier
• Beoordeling van risico’s bij contractverlenging of investeringen

Strategische risico’s zijn minder zichtbaar dan technische gebreken, maar hebben vaak grotere gevolgen op lange termijn. Ze moeten onderdeel zijn van bestuursbesluiten over ICT.

Aansprakelijkheid verschuift ook juridisch

De wet stelt dat bestuurders verantwoordelijkheid dragen voor risico’s in de keten. Dat betekent dat onvoldoende sturing op leveranciers, ontbrekende eisen of gebrekkige contracten niet alleen risico’s zijn, maar ook juridische gevolgen kunnen hebben bij incidenten.

Bestuurlijke gevolgen:

• Persoonlijke aansprakelijkheid bij nalatigheid
• Toegenomen bewijslast richting toezichthouders
• Juridische claims vanuit cliënten of ketenpartners
• Verlies van vertrouwen van financiers of overheid

Beheersing van technologie en leveranciers is daarmee niet alleen een operationeel aandachtspunt, maar een vast onderdeel van risicomanagement en compliance.

Technologie mag niet sneller bewegen dan beleid

Nieuwe oplossingen worden vaak geïntroduceerd omdat ze operationeel gemak bieden. Maar zonder duidelijke beleidskaders kunnen deze oplossingen onbedoeld risico’s introduceren die niet passen bij de context van zorginstellingen.

Daarom is nodig:

• Voorafgaande risicoanalyse bij nieuwe tools of leveranciers
• Betrokkenheid van informatiebeveiliging bij inkoop en innovatie
• Toetsing aan bestaande normen en wetgeving
• Bewustzijn van de wisselwerking tussen gemak en veiligheid

Zorgorganisaties die beleid achteraf proberen aan te passen op bestaande technologie lopen structureel achter de feiten aan.

Samengevat

Informatiebeveiliging in de zorg wordt niet langer alleen bepaald door interne keuzes, maar steeds meer door externe druk: wetgeving, toezicht, ketenverantwoordelijkheid en toenemende dreigingen.

De Kamerbrief van de minister van VWS laat zien dat de digitale weerbaarheid van de zorgsector achterloopt, terwijl de dreigingen zich versnellen en verdiepen. Tegelijkertijd wordt duidelijk dat de overheid stevig inzet op ondersteuning, maar dat de zorgsector zélf aan zet is om maatregelen structureel te borgen.

1. Bestuurlijke verantwoordelijkheid wordt wettelijk én zichtbaar afgedwongen
De Cyberbeveiligingswet (implementatie van NIS2) brengt concrete verplichtingen, toezicht en bestuurlijke aansprakelijkheid. Bestuurders worden geacht te sturen op digitale veiligheid als integraal onderdeel van zorgcontinuïteit.

2. De zorg is structureel kwetsbaar in een steeds agressiever dreigingslandschap
De zorgsector is aantoonbaar één van de meest aangevallen sectoren in Europa. Dreigingen worden complexer, ketens worden doelwit, en de impact op dienstverlening en privacy is direct en ernstig.

3. Naleving van normen zoals NEN 7510 blijft structureel achter
Ondanks wettelijke verplichtingen blijft de implementatie van basale beveiligingsnormen bij veel zorgaanbieders onder de maat. De IGJ intensiveert toezicht en zal naleving de komende jaren expliciet toetsen.

4. Gedrag van medewerkers bepaalt de effectiviteit van elke maatregel
Programma’s zoals Informatieveilig gedrag in de zorg en Kickstart IB&P onderstrepen dat bewustwording en gedragsverandering randvoorwaarden zijn voor succesvolle informatiebeveiliging. Een plan op papier zonder gedragssturing is een gemiste investering.

5. Leveranciers en technologie vereisen actieve regie vanuit de zorgorganisatie
Cloudoplossingen, AI en gegevensuitwisseling over netwerken als het LDN maken organisaties afhankelijk van externe partijen. Toch blijft de juridische en praktische verantwoordelijkheid volledig bij de zorgaanbieder liggen.

6. Ondersteuning is beschikbaar, maar geen vervanging voor eigen regie
VWS stelt middelen en programma’s beschikbaar, van quickscans tot trainingen en handreikingen. Toch zal het effect pas zichtbaar worden als organisaties dit integreren in hun eigen risicosturing en strategisch beleid.

7. Digitale weerbaarheid is van groot belang
Zonder veilige toegang tot betrouwbare gegevens is passende zorg onmogelijk. Informatiebeveiliging is daarom onlosmakelijk verbonden met de kwaliteit en beschikbaarheid van zorg.