De spoedopname draait op volle toeren. Patiënten stromen binnen. En dan valt het elektronisch patiëntendossier uit. Artsen kunnen geen medicatiegeschiedenis raadplegen. Verpleegkundigen werken met pen en papier. Kritieke patiënten worden doorverwezen naar andere ziekenhuizen.
De oorzaak: een cyberincident dat de IT-systemen platlegde. Onderzoek toont aan dat bij ransomware-aanvallen op ziekenhuizen alle afdelingen getroffen worden en herstel weken tot maanden kan duren.
Bestuurders zijn verantwoordelijk voor kwaliteit en continuïteit van zorg. Die verantwoordelijkheid stopt niet bij medische protocollen of personeelsbeleid. Digitale systemen zijn geen IT-issue meer. Ze zijn de ruggengraat van patiëntenzorg geworden. Het elektronisch patiëntendossier, medicatiedispensers, beademingsapparatuur, laboratoriumsystemen: zonder digitale infrastructuur staat de zorg stil.
Met de komst van NIS2 (de Network and Information Security Directive 2) verandert er iets fundamenteels. Cybersecurity wordt expliciet onderdeel van bestuurlijke verantwoordelijkheid. Bestuurders kunnen niet langer meer zeggen “dat wist ik niet” of “IT regelt dat wel”. De wet trekt een harde lijn: bestuurders zijn persoonlijk verantwoordelijk voor cyberweerbaarheid van hun organisatie. Nederland heeft de deadline van 17 oktober 2024 gemist, maar de Cyberbeveiligingswet wordt naar verwachting in Q3 2025 van kracht.
Voor welke zorginstellingen geldt dit? NIS2 is van toepassing op ziekenhuizen, GGZ-instellingen, grootschalige thuiszorgorganisaties en medische laboratoria. Organisaties met minimaal 50 FTE of een omzet en balanstotaal van meer dan 10 miljoen euro vallen onder de wet. Zorginstellingen die hieronder vallen, krijgen te maken met nieuwe wettelijke verplichtingen. Verplichtingen die verder gaan dan wat ze gewend zijn.
Dit artikel legt uit wat NIS2 concreet van bestuurders eist, wat zij persoonlijk riskeren bij nalatigheid, en welke stappen zorginstellingen deze maand moeten zetten om aan hun verplichtingen te voldoen. Want de tijd van onwetendheid is voorbij.
Wat NIS2 van bestuurders eist
Verplichte kennis en training
Bestuurders moeten binnen twee jaar na inwerkingtreding van de Cyberbeveiligingswet een gecertificeerde NIS2-training volgen. Dit is niet vrijblijvend. Dit is wettelijk verplicht. Bestuurders die na die termijn geen training hebben gevolgd, zijn in overtreding.
Wat moeten bestuurders weten? De training moet hen in staat stellen om cyberrisico’s te begrijpen en te beoordelen. Zij hoeven geen technisch specialist te worden, maar moeten wel de basisbegrippen kennen. Wat is ransomware? Wat betekent multifactor authenticatie? Hoe werkt een DDoS-aanval? Welke dreigingen zijn specifiek voor de zorg?
Belangrijker nog: bestuurders moeten risicomanagement begrijpen. Zij moeten kunnen beoordelen of een risicoanalyse compleet is. Zij moeten kritische vragen kunnen stellen over de maatregelen die hun organisatie neemt. En zij moeten kunnen inschatten wanneer een incident zo ernstig is dat het gemeld moet worden.
De toezichthouder, het Nationaal Cyber Security Centrum (NCSC), controleert of het bestuur aan de trainingsplicht voldoet. Geen training betekent sancties. Voor de organisatie én persoonlijk.
Structureel toezicht houden
Cybersecurity moet een vast agendapunt worden in directievergaderingen. Niet als onderwerp dat er snel doorheen moet. Als structureel onderdeel van besluitvorming.
Bestuurders moeten kritische vragen stellen en de rapportages begrijpen die zij krijgen. Dat vereist voorbereiding. Welke vragen zijn relevant? Voorbeelden:
- Wanneer was de laatste keer dat de organisatie haar back-ups daadwerkelijk heeft getest op herstelbaarheid?
- Hoeveel systemen in de organisatie zijn nog niet voorzien van de meest recente beveiligingsupdates?
- Welke externe leveranciers hebben toegang tot patiëntgegevens en hoe controleert de organisatie hun beveiliging?
- Hoeveel beveiligingsincidenten zijn er afgelopen kwartaal geweest en wat heeft de organisatie daarvan geleerd?
- Zijn alle medewerkers verplicht multifactor authenticatie te gebruiken?
Deze vragen klinken technisch, maar ze raken direct aan patiëntveiligheid en bedrijfscontinuïteit. Als back-ups niet werken tijdens een ransomware-aanval, staat de zorg stil. Als leveranciers onvoldoende beveiligd zijn, lopen patiëntgegevens gevaar.
Documenteer deze besprekingen. De bewijslast ligt bij het bestuur. Bij een incident of inspectie moet de organisatie kunnen aantonen dat het bestuur actief toezicht heeft gehouden. Verslagen van directievergaderingen waarin cybersecurity niet voorkomt, werken tegen de organisatie.
Goedkeuren van risicoanalyse
Organisaties moeten een actuele risicoanalyse hebben. Die analyse moet het bestuur niet alleen ontvangen, maar ook begrijpen en goedkeuren. Bestuurders moeten de risico’s kennen en bewust beslissen wat de organisatie ermee doet.
Een voorbeeld: het EPD-systeem is verouderd. De leverancier biedt geen updates meer. Dat is een risico. Het bestuur heeft drie opties: het systeem vervangen, compenserende maatregelen nemen, of het risico bewust accepteren. Wat het bestuur niet kan doen: doen alsof zij het niet weten.
“Ik wist het niet” is geen verweer meer. Als er een risicoanalyse is die waarschuwt voor kwetsbaarheden, en het bestuur heeft die niet gelezen of begrepen, is er sprake van nalatigheid. Als er geen risicoanalyse is, is er ook sprake van nalatigheid.
Bewijs dat het bestuur dit doet: laat risicoanalyses formeel agenderen, bespreek de belangrijkste risico’s in de directievergadering, documenteer besluiten, en laat het bestuur de risicoanalyse aftekenen. Die handtekening is niet symbolisch. Die betekent: het bestuur heeft dit gelezen, begrijpt het, en neemt verantwoordelijkheid voor de vervolgstappen.
Toezicht op uitvoering maatregelen
Het is niet genoeg om beleid goed te keuren en maatregelen af te spreken. Het bestuur moet controleren of die maatregelen daadwerkelijk worden uitgevoerd en of ze werken.
Hoe doet het bestuur dat? Door periodiek rapportages op te vragen over de voortgang. Door interne of externe audits te laten uitvoeren. Door te participeren in oefeningen.
Die laatste is expliciet verplicht onder NIS2: organisaties moeten minimaal jaarlijks een incident response oefening houden. En het bestuur moet daaraan deelnemen. Niet als toeschouwer. Als beslisser.
Waarom? Omdat een cybercrisis reële beslissingen van het bestuur vraagt. Betaalt de organisatie losgeld bij ransomware? Schakelt zij externe hulp in? Wanneer informeert zij patiënten? Wanneer meldt zij het incident aan de toezichthouder? Die vragen moet het bestuur onder druk kunnen beantwoorden. En het bestuur moet weten wie wat doet in de organisatie.
Bij een incident wordt het bestuur persoonlijk aangesproken op wat er wel en niet gedaan is. “De organisatie had een plan maar heeft het nooit geoefend” is geen excuus. Het is bewijs van nalatigheid.
Wat bestuurders riskeren bij nalatigheid
Boetes voor de organisatie
De Cyberbeveiligingswet voorziet in aanzienlijke boetes bij overtreding van NIS2-verplichtingen. De hoogte: tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is.
De toezichthouder, het NCSC, kan direct ingrijpen bij ernstige tekortkomingen. Dat kan variëren van een last onder dwangsom tot een formele aanwijzing om binnen een bepaalde termijn maatregelen te nemen. Niet voldoen aan die aanwijzing levert verdere sancties op.
Deze boetes kunnen stapelen. Als een cyberincident ook leidt tot een datalek met patiëntgegevens, dan komt de AVG (Algemene Verordening Gegevensbescherming) in beeld. Daar staan boetes op tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Een zorginstelling kan dus geconfronteerd worden met meerdere sanctieprocedures tegelijk.
De financiële impact van een incident gaat verder dan boetes. Denk aan herstelkosten, forensisch onderzoek, communicatie naar duizenden patiënten, productieverlies door uitgestelde behandelingen, en reputatieschade die zich vertaalt in patiëntenverloop. Een gemiddeld cyberincident in de Nederlandse zorg kost volgens onderzoek meerdere miljoenen euro’s.
Persoonlijke aansprakelijkheid
Maar het stopt niet bij boetes voor de organisatie. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Dat gebeurt op basis van artikel 2:9 (voor stichtingen), 2:138 (voor besloten vennootschappen) of 2:248 (voor naamloze vennootschappen) van het Burgerlijk Wetboek.
Wanneer? Bij grove nalatigheid of opzettelijk handelen. Wat is grove nalatigheid in de context van cybersecurity? Voorbeelden:
- Niet voldoen aan elementaire beveiligingsmaatregelen zoals multifactor authenticatie, terwijl bestuurders weten dat dit verplicht is
- Geen werkende back-ups hebben, of back-ups niet testen
- Jarenlang kritieke systemen niet voorzien van beveiligingsupdates
- Geen incident response plan hebben, ondanks herhaaldelijke waarschuwingen
- Training weigeren of negeren die wettelijk verplicht is
Als een incident plaatsvindt en blijkt dat deze basismaatregelen ontbraken, terwijl het bestuur daarvan op de hoogte had moeten zijn, dan is er sprake van grove nalatigheid. De stichting of de aandeelhouders kunnen het bestuur dan persoonlijk aanspreken voor de schade.
Wat betekent dat concreet? Het privévermogen van bestuurders staat op het spel. Hun huis, hun spaargeld, hun pensioen. Een D&O-verzekering (Directors & Officers) dekt vaak niet bij grove nalatigheid. En zelfs als er dekking is, gelden er eigen risico’s en maximale bedragen die de werkelijke schade kunnen overstijgen.
Bestuurdersverbod
Bij ernstige en herhaaldelijke overtredingen van NIS2 kan de rechter een bestuurdersverbod opleggen. Dat betekent dat bestuurders voor een periode van 3 tot 5 jaar geen bestuursfunctie mogen vervullen in Nederland.
Dit staat geregistreerd in het Handelsregister en de Verklaring Omtrent het Gedrag (VOG). Het beïnvloedt de carrière permanent. In de zorgsector, waar netwerken klein zijn en reputatie cruciaal is, kan dit het einde betekenen van de loopbaan als bestuurder.
De drempel voor een bestuurdersverbod ligt hoog, maar bestaat wel degelijk. Het geldt vooral bij situaties waarin bewust risico’s zijn genomen met patiëntveiligheid, of bij herhaaldelijke waarschuwingen die genegeerd zijn.
Impact op de zorginstelling
De gevolgen van nalatigheid reiken verder dan juridische sancties. Patiënten verliezen vertrouwen na een incident waarbij blijkt dat elementaire beveiligingsmaatregelen ontbraken. In een tijd waarin patiënten kiezen tussen zorgaanbieders, is dat vertrouwen een concurrentiefactor.
De Inspectie Gezondheidszorg en Jeugd (IGJ) neemt informatiebeveiliging mee in kwaliteitstoetsingen. Een ernstig cyberincident met aanwijsbare tekortkomingen kan leiden tot verscherpt toezicht, publicatie van bevindingen, en in het ergste geval aanwijzingen of zelfs een opnamestop.
Zorgverzekeraars stellen in contractonderhandelingen steeds vaker eisen aan informatiebeveiliging. Certificeringen zoals NEN7510 of ISO27001 worden verwacht. Bij een ernstig incident kunnen verzekeraars contracten heroverwegen of premies verhogen.
Ook voor werving van personeel maakt het verschil. Zorgprofessionals willen werken bij organisaties die veiligheid serieus nemen. Een incident dat de media haalt en waarbij nalatigheid aan het licht komt, schaadt uw werkgeversmerk. Het dreigingsbeeld voor de Nederlandse zorg toont aan dat ransomware en datalekken een groeiend probleem vormen, waarbij ook leveranciers steeds vaker doelwit zijn.
Wat zorginstellingen deze maand moeten doen
Controleer of de organisatie NIS2-plichtig is
Begin met helderheid over de juridische positie. Valt de instelling onder NIS2? Dat hangt af van het type organisatie en de omvang. Ziekenhuizen vallen er vrijwel altijd onder. Voor GGZ-instellingen, thuiszorgorganisaties en laboratoria geldt dat vanaf een bepaalde omvang. Het NCSC biedt een zelfevaluatie-tool waarmee organisaties kunnen bepalen of ze onder de wet vallen.
Check dit met een juridisch adviseur. Zorg dat dit geen aanname is, maar een onderbouwde vaststelling. De Cyberbeveiligingswet bevat specifieke criteria waaraan organisaties moeten voldoen.
Als de organisatie NIS2-plichtig is, heeft zij een registratieplicht bij het NCSC. Is die registratie al gedaan? Is de informatie actueel en compleet? Dit is een basale wettelijke verplichting die snel geregeld moet zijn.
Vraag de security officer of IT-manager om een statusrapportage. Waar staat de organisatie nu? Welke maatregelen zijn getroffen? Welke ontbreken nog? Wat zijn de grootste risico’s? Het bestuur heeft deze informatie nodig om de volgende stappen te kunnen zetten. Als de organisatie onder NIS2 valt, heeft zij ook recht op ondersteuning door Z-CERT, het expertisecentrum voor cybersecurity in de zorg.
Zorg dat basismaatregelen op orde zijn
Er zijn vier maatregelen die absoluut op orde moeten zijn. Dit zijn elementaire beveiligingsmaatregelen die bij ontbreken direct als grove nalatigheid kunnen worden aangemerkt.
Multifactor authenticatie (MFA): Is dit verplicht voor alle medewerkers? MFA betekent dat inloggen twee stappen vereist: iets wat medewerkers weten (wachtwoord) en iets wat ze hebben (code op telefoon). Dit voorkomt 80 procent van de inbraakpogingen. Als MFA nog niet overal verplicht is, moet de organisatie er prioriteit van maken.
Back-ups testen: Worden er back-ups gemaakt van kritieke systemen? Belangrijker: worden die back-ups daadwerkelijk getest op herstelbaarheid? Een back-up die niet werkt is waardeloos. De organisatie moet maandelijkse tests en documentatie daarvan eisen.
Beveiligingsupdates: Zijn alle systemen up-to-date? Er moet een patchbeleid zijn dat voorschrijft dat beveiligingsupdates binnen 30 dagen na release worden geïnstalleerd. Voor kritieke kwetsbaarheden geldt vaak een kortere termijn. Vraag om een overzicht van systemen die niet up-to-date zijn en een concrete planning om dit te verhelpen.
Incident response plan: Is er een actueel incident response plan? Bevat dit plan bestuurlijke escalatielijnen? Staat beschreven wie wat doet bij welk type incident? Is het plan het afgelopen jaar geoefend? Als het antwoord op een van deze vragen “nee” is, heeft de organisatie een probleem.
Organiseer bestuurlijke betrokkenheid
Plan de verplichte NIS2-training voor directie en bestuur. Bestuurders hebben twee jaar de tijd, maar moeten nu beginnen. Hoe eerder het bestuur de training volgt, hoe eerder zij de materie beheersen en betere beslissingen kunnen nemen. VGN verkent met andere branches de mogelijkheden voor een gezamenlijk cursusaanbod voor de verplichte bestuurlijke training.
Zet cybersecurity op de vaste agenda van directievergaderingen. Niet als algemeen punt, maar als structureel agendapunt met concrete rapportages. Stel een format vast voor die rapportages: welke informatie wil het bestuur zien? Denk aan: aantal incidenten, status van kritieke maatregelen, voortgang van verbeterplannen, resultaten van audits of tests.
Wijs een executive sponsor aan voor cybersecurity. Wie in de directie is bestuurlijk verantwoordelijk? Deze persoon is het aanspreekpunt voor de security officer of CISO, bewaakt de voortgang van het beveiligingsprogramma, en rapporteert aan de voltallige directie.
Plan de eerste incident response oefening met bestuurlijke deelname. Geen technische drill, maar een scenario-oefening waarin het bestuur moet beslissen. Voorbeeld: het EPD-systeem is gegijzeld met ransomware, er wordt 2 miljoen euro losgeld geëist, patiënten kunnen niet behandeld worden. Wat doet het bestuur? Die oefening onthult hiaten in plannen en bereidt bestuurders voor op de werkelijkheid.
Documenteer en controleer
Laat de risicoanalyse actualiseren en laat het bestuur deze formeel aftekenen. Dit document moet minimaal jaarlijks worden herzien. Het moet de belangrijkste risico’s voor de organisatie bevatten, inclusief likelihood en impact. En het moet duidelijk maken welke maatregelen de organisatie neemt en welke risico’s zij (eventueel tijdelijk) accepteert.
De handtekening van het bestuur onder dit document is bewijs dat zij de risico’s kennen. In een juridische procedure is dit essentieel: het toont aan dat het bestuur haar verantwoordelijkheid heeft genomen.
Vraag om een actuele leverancierslijst. Welke externe partijen hebben toegang tot systemen of patiëntgegevens? Denk aan: EPD-leverancier, payroll-administratie, externe IT-beheerders, cloud-providers, medische apparatuur met remote onderhoud. Voor elke kritieke leverancier moet de organisatie weten: welke beveiligingsmaatregelen hebben zij getroffen? Zijn zij ook NIS2-plichtig? Wat staat er in het contract over informatiebeveiliging en aansprakelijkheid?
Review de cyberverzekering met de verzekeraar. Wat is precies gedekt? Wat niet? Welke eisen stelt de verzekeraar aan de organisatie? Veel verzekeraars eisen tegenwoordig bewijs van MFA, geteste back-ups en een incident response plan voordat ze dekking verlenen. Als de organisatie niet aan die eisen voldoet, heeft zij mogelijk geen dekking terwijl het bestuur dat wel denkt.
Plan een externe audit of second opinion. Laat een onafhankelijke partij het beveiligingsniveau beoordelen tegen NEN7510 of ISO27001. Deze externe blik geeft zekerheid (of juist urgentie) en is bewijs richting toezichthouders en verzekeraars dat de organisatie het serieus neemt.
Drie concrete actiepunten voor volgende directievergadering
Zet deze drie punten op de agenda van de eerstvolgende directievergadering:
1. Bespreek de cybersecurity status en leg vast welke besluiten het bestuur neemt.
Geen vrijblijvend praatje, maar concrete besluiten over welke maatregelen er worden genomen, met welk budget, en met welke deadline. Documenteer dit in het verslag.
2. Stel vast wanneer het bestuur de verplichte NIS2-training volgt. Maak concrete afspraken met data. Geen intentieverklaring, maar een besluit met wie, wanneer en bij welke opleidingsinstelling.
3. Plan de datum van de eerste incident response oefening waar het bestuur aan deelneemt. Reserveer de tijd in agenda’s. Wijs iemand aan die de oefening voorbereidt en faciliteert.
Van onwetendheid naar verantwoordelijkheid
De tijd dat cybersecurity een IT-issue was, is voorbij. Met NIS2 is het een bestuurlijke verantwoordelijkheid geworden. Een verantwoordelijkheid met juridische, financiële en persoonlijke consequenties.
“Ik wist het niet” is geen verweer meer. De wet verplicht bestuurders om het te weten. Door training te volgen. Door toezicht te houden. Door risico’s te kennen en bewust besluiten te nemen. Door te controleren of maatregelen werken.
Persoonlijke aansprakelijkheid is reëel. Boetes kunnen oplopen tot miljoenen. Een bestuurdersverbod kan carrières beëindigen. Privévermogen kan worden aangesproken. Dit zijn geen theoretische risico’s. Dit staat in de wet.
Het goede nieuws: de maatregelen zijn overzichtelijk en haalbaar. Multifactor authenticatie. Geteste back-ups. Up-to-date systemen. Een incident response plan. Training. Toezicht. Documentatie. Geen van deze maatregelen is revolutionair. Maar samen vormen ze de basis van verantwoord bestuur in het digitale tijdperk.
Wacht niet op het eerste incident. Wacht niet op de eerste inspectie. De maatregelen die organisaties vandaag nemen, bepalen of het bestuur morgen kan aantonen dat zij hun verantwoordelijkheid hebben genomen.
Cybersecurity is geen IT-issue. Het is een bestuurlijke verantwoordelijkheid voor kwaliteit van zorg.