Europese richtlijnen zoals NIS2 en CER zetten de toon voor hoe organisaties in de zorg zich moeten voorbereiden op digitale risico’s.

Deze regels gaan niet alleen over IT, maar over verantwoordelijkheid, samenwerking en het kunnen blijven functioneren als er echt iets misgaat. Zorginstellingen staan steeds vaker onder digitale druk, en Brussel maakt nu duidelijk: er moet iets veranderen. Niet morgen, maar nu. Begrijpen wat er speelt, weten wie waarvoor verantwoordelijk is, en zorgen dat de basis op orde is.

Het gaat al lang niet meer om technische oplossingen of losse beleidsstukken. Alles hangt samen: incidenten melden, afspraken met leveranciers, interne processen, bestuur dat keuzes durft te maken.

Deze Europese aanpak draait om het verhogen van digitale weerbaarheid. Niet omdat het moet, maar omdat zorg daar simpelweg niet zonder kan. En wie denkt dat het met een checklist is opgelost, komt straks tekort als het echt spannend wordt.

1. Nieuwe cyberwetgeving voor de zorgsector

Vanaf 2025 krijgen zorginstellingen te maken met nieuwe wetgeving die hen verplicht anders om te gaan met informatiebeveiliging. Die verplichtingen komen voort uit Europese richtlijnen, en worden in Nederland vastgelegd in de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.

Deze wetten zijn niet alleen relevant voor grote ziekenhuizen. Ook kleinere instellingen, laboratoria, GGZ-organisaties en andere zorgaanbieders vallen er mogelijk onder. De regels gaan verder dan techniek en raken aan bestuur, risicomanagement en samenwerking met andere partijen in de zorgketen.

Waar informatiebeveiliging voorheen vooral een IT-thema was, wordt het nu een onderwerp waar de hele organisatie op moet aanhaken. Niet omdat het technisch ingewikkeld is, maar omdat wetgevers vinden dat digitale én fysieke afhankelijkheden te belangrijk zijn geworden om aan het toeval over te laten.

Europese impuls: NIS2- en CER-richtlijnen als fundament

De basis voor deze nieuwe wetten ligt in Europa. De NIS2- en CER-richtlijnen verplichten lidstaten om sectoren met een belangrijke maatschappelijke rol beter te beschermen tegen verstoringen.

NIS2 is gericht op digitale risico’s: uitval van systemen, cyberaanvallen, datalekken of verstoringen in digitale ketens. CER gaat over continuïteit bij fysieke dreigingen zoals stroomstoringen, sabotage, personeelstekorten of andere verstoringen die kritieke diensten kunnen platleggen.

Beide richtlijnen zorgen ervoor dat organisaties zoals zorginstellingen:

• verplicht worden om risico’s in kaart te brengen
• passende maatregelen moeten nemen tegen dreigingen
• incidenten binnen korte tijd moeten melden
• worden gecontroleerd op naleving

Voor zorginstellingen betekent dit dat ze nu officieel worden aangemerkt als organisaties die van nationaal belang zijn. Daarmee komt er dus ook meer verantwoordelijkheid bij.

Nationale vertaling: CBW en Wwke in Nederland

Nederland vertaalt de Europese regels via twee nieuwe wetten:

• de cyberbeveiligingswet (CBW)
• de wet weerbaarheid kritieke entiteiten (Wwke)

De CBW gaat over alles wat met digitale veiligheid te maken heeft: IT-systemen, netwerken, beveiligingsmaatregelen, incidentmeldingen. Deze wet vervangt de oude Wbni en breidt de scope flink uit.

De Wwke is breder. Die gaat niet alleen over IT, maar over de hele organisatie. Het doel is zorgen dat vitale processen kunnen doorgaan, ook bij verstoringen van buitenaf. Denk aan leveringsproblemen, uitval van nutsvoorzieningen of verstoringen in toeleveringsketens.

Beide wetten gelden ook voor de zorg. Niet alleen academische ziekenhuizen of grote instellingen, maar ook bijvoorbeeld:

• regionale ziekenhuizen
• digitale dienstverleners in de zorg
• instellingen die data- of infrastructuur delen met anderen

Wat dat precies betekent, wordt in Nederland verder uitgewerkt via ministeriële regelingen en nadere sectorale afspraken.

Synergie en verschillen tussen NIS2 en CER

NIS2 en CER hebben ieder hun eigen focus, maar vullen elkaar aan. Het is niet of-of, maar én-én.

NIS2 draait om digitale kwetsbaarheden. Denk aan beveiliging van netwerken, toegang tot gevoelige gegevens, en bescherming tegen aanvallen van buitenaf.

CER kijkt juist naar het bredere plaatje: wat gebeurt er als een gebouw uitvalt? Of als personeel massaal ziek is? Of als leveranciers niet kunnen leveren? Het gaat om het hele proces dat nodig is om zorg te kunnen blijven bieden.

Voor instellingen die onder beide wetten vallen, betekent dit:

• risico’s moeten zowel digitaal als fysiek bekeken worden
• maatregelen mogen niet losstaan van elkaar
• plannen moeten rekening houden met het totaalplaatje

Het helpt dus niet om alleen een goed firewallbeleid te hebben, als er geen plan ligt voor fysieke uitval van een serverruimte of regionale verstoring.

Wat verandert er concreet voor de zorgsector

Zorgorganisaties worden vanaf 2025 verplicht om structureel werk te maken van informatiebeveiliging en continuïteit. De lat komt hoger te liggen, en de vrijblijvendheid verdwijnt.

Wat verandert er precies:

• instellingen worden ingedeeld als essentieel of belangrijk
• ze moeten risicoanalyses doen, actueel houden en aanpassen
• incidenten moeten binnen 24 uur worden gemeld
• toezicht wordt strenger, en boetes zijn mogelijk
• bestuur en directie worden nadrukkelijk verantwoordelijk

Daarnaast wordt er van organisaties verwacht dat ze samenwerken met andere partijen, zoals Z-CERT, de overheid en regionale netwerken. Ook leveranciersbeheer wordt belangrijker: wie zorgt voor wat bij een incident? En hoe snel?

Niet alleen technische maatregelen tellen, maar ook beleid, documentatie en toetsing. De bedoeling is dat instellingen kunnen laten zien dat ze hun digitale en operationele veiligheid op orde hebben – op papier én in de praktijk.

Impact op bestaande processen en governance

Voor veel instellingen betekent dit dat bestaande structuren tegen het licht gehouden moeten worden. Vaak zijn er al wel beleidsdocumenten, audits of risicoanalyses, maar die sluiten niet altijd op elkaar aan.

De nieuwe wetten zorgen ervoor dat informatiebeveiliging en continuïteit niet meer apart worden behandeld, maar als samenhangend geheel. Dit raakt onder meer:

• het jaarplan en strategisch beleid
• rollen en verantwoordelijkheden in de organisatie
• inkoop en afspraken met leveranciers
• interne audits en toetsing op maatregelen
• rapportage aan raad van bestuur en raad van toezicht

Zorginstellingen moeten zich beter voorbereiden op vragen als:

• Wat doen we als een leverancier wegvalt?
• Hoe snel kunnen we na een aanval weer in de lucht zijn?
• Welke processen mogen absoluut niet stilvallen?
• Hoe melden we een incident, en wie beslist daarover?

De impact van deze wetten gaat dus verder dan IT-afdelingen. Ze raken aan het hart van de organisatie: de zorgverlening zelf, en het vermogen om die zorg betrouwbaar te blijven bieden onder druk.

2. Cyberbeveiligingswet voor zorginstellingen

De cyberbeveiligingswet verplicht zorgorganisaties om hun digitale weerbaarheid aantoonbaar te verbeteren. Deze wet is de Nederlandse vertaling van de Europese NIS2-richtlijn en geldt vanaf 2025 voor een brede groep zorginstellingen. Niet alleen grote ziekenhuizen vallen hieronder, maar ook kleinere organisaties met een belangrijke rol in de zorgketen.

De wet legt de nadruk op informatiebeveiliging, meldverplichtingen, risicomanagement en samenwerking met partijen zoals Z-CERT. Het gaat niet om een losse set maatregelen, maar om een structurele aanpak die moet passen bij de aard, omvang en risico’s van de organisatie.

Veel instellingen hebben al ervaring met normen als NEN 7510 of ISO 27001, maar de cyberbeveiligingswet gaat verder. Bestuurders en directies worden persoonlijk verantwoordelijk voor naleving. Instellingen moeten kunnen aantonen dat ze digitale risico’s begrijpen, beheersen en blijven verbeteren.

Reikwijdte: welke zorgorganisaties vallen onder de CBW

De wet maakt onderscheid tussen essentiële en belangrijke entiteiten. De indeling bepaalt welke verplichtingen gelden en onder welk toezicht een organisatie valt.

Essentiële entiteiten zijn instellingen die onmisbare zorgdiensten leveren, zoals:

• academische ziekenhuizen
• grote regionale ziekenhuizen
• organisaties met landelijke of ketenbrede digitale functies

Belangrijke entiteiten zijn instellingen met een ondersteunende of indirecte rol in het zorglandschap, zoals:

• GGZ-instellingen
• zelfstandige klinieken
• laboratoria
• digitale zorgaanbieders

Ook organisaties die data verwerken, systemen hosten of digitale uitwisseling mogelijk maken, kunnen als entiteit worden aangemerkt. De wet kijkt niet alleen naar de omvang, maar vooral naar de maatschappelijke impact van een storing.

Welke organisatie in welke categorie valt, wordt bekendgemaakt via formele aanwijzingen van de overheid. Instellingen hoeven hier niet op te wachten: wie vermoedt onder de wet te vallen, doet er goed aan zich alvast voor te bereiden.

Zorgplicht en beveiligingsnormen (NEN 7510 / ISO 27001)

De wet legt een zorgplicht op. Dat betekent dat zorgorganisaties passende maatregelen moeten nemen om hun netwerk- en informatiesystemen te beveiligen. Wat ‘passend’ is, hangt af van het risico en de rol van de organisatie.

Als uitgangspunt gelden bestaande normen zoals:

• NEN 7510: specifiek voor informatiebeveiliging in de zorg
• ISO 27001: internationaal erkend managementsysteem voor informatiebeveiliging

De wet verplicht niet om exact deze normen te volgen, maar organisaties moeten wel kunnen aantonen dat hun aanpak gelijkwaardig is. Daarbij gaat het niet alleen om techniek, maar juist ook om processen, beleid en het bewustzijn binnen de organisatie.

Onder de zorgplicht vallen onder meer:

• risicoanalyses
• beveiligingsbeleid
• monitoring en logging
• toegangsbeheer
• back-up en herstelprocedures
• training en bewustwording

De Inspectie Gezondheidszorg en Jeugd (IGJ) kan toetsen of de maatregelen in de praktijk zijn doorgevoerd en of ze passen bij de risico’s van de organisatie.

Verplichtingen onder de sectorale ministeriële regeling zorg

Naast de algemene wet komt er een sectorspecifieke regeling voor de zorg. Deze regeling bevat nadere uitwerking van de eisen die voor zorginstellingen gelden.

Daarin wordt bijvoorbeeld uitgewerkt:

• welke normen als richtlijn worden geaccepteerd
• wat de meldcriteria zijn voor incidenten
• welke documentatie beschikbaar moet zijn
• hoe vaak evaluaties moeten plaatsvinden
• hoe de samenwerking met Z-CERT wordt vormgegeven

De regeling is afgestemd op de kenmerken van de zorgsector en houdt rekening met bestaande kaders zoals de AVG en NEN-normen. Voor zorginstellingen betekent dit dat bestaande systemen vaak bruikbaar zijn, maar vaak wel aangescherpt of uitgebreid moeten worden.

Zelfevaluatie, audits en rapportageverplichtingen

Instellingen moeten kunnen aantonen dat ze voldoen aan de wet. Dit kan niet alleen via beleidsdocumenten, maar vereist concrete toetsing en vastlegging.

De wet introduceert verplichtingen voor:

• interne audits op informatiebeveiliging en risicobeheersing
• zelfevaluaties van maatregelen, systemen en processen
• verbeterplannen bij tekortkomingen
• documentatie van uitgevoerde acties en besluitvorming
• rapportage aan toezichthouders bij ernstige risico’s of incidenten

Deze verplichtingen gelden periodiek, maar ook naar aanleiding van incidenten of bij veranderingen in processen, technologie of organisatie.

Voor het bestuur is dit geen formaliteit. De verantwoordelijkheid ligt expliciet bij de leiding van de organisatie.

Ondersteuning door Z-CERT (sectoraal CSIRT)

Z-CERT (Zorg Computer Emergency Response Team) is het sectorale expertisecentrum voor cybersecurity in de zorg. De Cyberbeveiligingswet bevestigt de formele rol van Z-CERT als het centrale aanspreekpunt voor meldingen, ondersteuning en informatie-uitwisseling. Binnen deze context vervult Z-CERT ook de rol van CSIRT (Computer Security Incident Response Team) voor de zorgsector.

Zorginstellingen die onder de wet vallen worden geacht actief samen te werken met Z-CERT op het gebied van:

• dreigingsinformatie en incidentwaarschuwingen
• technische ondersteuning bij incidenten
• coördinatie van respons in de sector
• kennisdeling en gezamenlijke oefeningen

Deze samenwerking is niet vrijblijvend. Organisaties moeten kunnen aantonen dat er een functionele relatie bestaat met het sectorale CSIRT en dat relevante adviezen worden opgevolgd.

Z-CERT krijgt op grond van de wet ook eigen taken, zoals het ondersteunen van entiteiten bij het voldoen aan hun meldplicht en het verstrekken van actuele dreigingsinformatie aan aangesloten partijen.

Samenwerking in de zorgketen

De cyberbeveiligingswet legt ook nadruk op risico’s in de keten. Zorginstellingen zijn verantwoordelijk voor de digitale veiligheid van de diensten die zij afnemen van leveranciers.

Dat betekent dat zij:

• moeten weten wie toegang heeft tot hun systemen
• eisen moeten stellen aan beveiliging bij inkoop
• afspraken moeten maken over meldingen en herstel bij incidenten
• periodiek moeten toetsen of leveranciers voldoen aan eisen

Voor veel instellingen betekent dit dat contracten moeten worden aangepast, dat leveranciers moeten worden geclassificeerd op risiconiveau, en dat ketenverantwoordelijkheid expliciet wordt meegenomen in het risicomanagementsysteem.

Ketenafhankelijkheid is een belangrijk aandachtspunt voor toezichthouders. Wanneer een leverancier faalt, blijft de instelling verantwoordelijk.

Toezicht en handhaving door IGJ

De Inspectie Gezondheidszorg en Jeugd wordt de toezichthouder op naleving van de wet in de zorg. De inspectie kan vragen om inzicht in beleid, risicoanalyses, auditresultaten en herstelmaatregelen.

Bij ernstige tekortkomingen kan de IGJ:

• waarschuwingen geven
• aanwijzingen opleggen
• sancties opleggen aan bestuurders of organisatie
• melding doen aan andere instanties, zoals de AP of NCSC

De intensiteit van het toezicht hangt af van het risicoprofiel van de instelling, signalen uit de sector en de mate van samenwerking.

Toezicht gaat niet alleen over het reageren op incidenten, maar juist over het voorkomen ervan. Daarom wordt van zorginstellingen verwacht dat ze hun beveiliging en risicomanagement aantoonbaar op orde hebben, ook zonder dat er iets fout is gegaan.

3. Weerbaarheid van zorginstellingen

Kritieke zorginstellingen vervullen een functie die niet stil mag vallen. Denk aan spoedeisende hulp, intensive care, laboratoriumdiagnostiek, of coördinatiepunten voor ketenzorg. Wanneer deze onderdelen verstoord raken, heeft dat niet alleen gevolgen voor de eigen organisatie, maar ook voor patiënten, ketenpartners en de regionale zorgcontinuïteit.

Om die reden vallen sommige zorginstellingen onder de Wet weerbaarheid kritieke entiteiten. Deze wet is de Nederlandse invulling van de Europese CER-richtlijn en richt zich op het waarborgen van de fysieke, organisatorische en maatschappelijke weerbaarheid van organisaties die vitale diensten leveren.

In tegenstelling tot de cyberbeveiligingswet, die gericht is op digitale risico’s, draait deze wet om het vermogen van instellingen om ook bij niet-digitale verstoringen hun kernfuncties te blijven uitvoeren. Daarmee verschuift de aandacht van IT naar brede bedrijfscontinuïteit.

Aanwijzing van kritieke entiteiten in de zorg

Niet elke zorginstelling valt onder de Wwke. De wet geldt alleen voor entiteiten die als kritiek worden aangemerkt op basis van hun maatschappelijke rol, omvang en afhankelijkheden. De aanwijzing gebeurt door de overheid, via een formele procedure.

Bij het bepalen of een zorginstelling kritiek is, wordt onder meer gekeken naar:

• het aantal mensen dat afhankelijk is van de dienst
• het ontbreken van alternatieve aanbieders in de regio
• de impact op andere sectoren bij uitval
• de mate van verwevenheid met vitale infrastructuur

Zodra een instelling is aangewezen als kritieke entiteit, gelden aanvullende verplichtingen. Deze worden rechtstreeks opgelegd en kunnen niet worden geweigerd. De aanwijzing kan ook gelden voor specifieke locaties of onderdelen van een organisatie.

Instellingen kunnen ook zelf melden dat ze vermoeden als kritisch te worden gezien, bijvoorbeeld vanwege een bijzondere rol in crisisstructuren of digitale zorgnetwerken.

Weerbaarheidsmaatregelen voor zorginstellingen

Eenmaal aangewezen, moet de instelling maatregelen treffen om risico’s op verstoring te voorkomen, te beperken of snel op te vangen. Dit gaat verder dan standaard calamiteitenplannen of back-upprocedures.

De wet vereist:

• een uitgebreide risicobeoordeling die periodiek wordt herzien
• een beschrijving van interne afhankelijkheden en kwetsbaarheden
• concrete plannen om verstoringen het hoofd te bieden
• een verantwoordelijke functionaris binnen de organisatie
• bewijs dat maatregelen zijn uitgevoerd en getest

De nadruk ligt op het kunnen blijven functioneren, ook als externe voorzieningen uitvallen, zoals stroom, ICT, transport of water. Daarbij moet de instelling ook rekening houden met scenario’s waarin meerdere verstoringen tegelijk optreden.

De wet verwacht dat instellingen zelf bepalen welke maatregelen passend zijn, maar wel op basis van realistische risicoanalyses en aantoonbare evaluaties. De overheid toetst niet alleen op papier, maar ook op praktijk en uitvoering.

Verplichte maatregelen voor fysieke continuïteit

Fysieke weerbaarheid betekent dat de zorginstelling in staat is om essentiële processen te laten doorgaan bij uitval van kritieke voorzieningen. Dit vereist een combinatie van technische, organisatorische en logistieke maatregelen.

Voorbeelden van vereiste maatregelen zijn:

• alternatieve energievoorzieningen (zoals aggregaten of UPS-systemen)
• fysieke toegangsbeveiliging van kritieke ruimtes
• noodscenario’s voor verlies van personele capaciteit
• opslag van voorraden voor minimaal 72 uur zelfstandig functioneren
• redundante infrastructuur of alternatieve locaties voor kritieke functies

Naast het treffen van maatregelen moet de instelling ook kunnen aantonen dat deze getest en onderhouden worden. Plannen die alleen op papier bestaan, zijn onvoldoende.

De inspectie kan steekproefsgewijs op locatie toetsen of de maatregelen realistisch en werkbaar zijn in de praktijk.

Samenhang met bestaande crisisstructuren

De eisen uit de Wwke staan niet los van bestaande verplichtingen in de zorgsector. Instellingen moeten de nieuwe wet afstemmen op hun rol binnen andere crisisstructuren, zoals:

• WBMZ: wet publieke gezondheid voor crisisstructuren binnen ziekenhuizen
• GHOR: gecoördineerde hulpverlening bij rampen en crises
• ROAZ: regionale afstemming acute zorg

De wet verwacht dat instellingen hun eigen plannen in lijn brengen met deze structuren. Dit betekent dat besluitvorming, communicatie en logistiek bij verstoringen naadloos moeten aansluiten op bestaande regionale afspraken.

Zorginstellingen die deel uitmaken van meerdere netwerken, moeten daar rekening mee houden in hun planning en scenario’s. Tegelijk vraagt de wet om verantwoordelijkheid op instellingsniveau, los van afhankelijkheid van externe coördinatie.

Meldplicht bij verstoringen van essentiële zorgdiensten

Wanneer een verstoring plaatsvindt die een essentiële zorgfunctie raakt, geldt er een meldplicht. De melding moet binnen 24 uur worden gedaan bij het bevoegde gezag, meestal het ministerie of een aangewezen toezichthouder.

De melding moet ten minste bevatten:

• aard en oorzaak van de verstoring
• getroffen onderdelen van de organisatie
• genomen maatregelen en resterende risico’s
• verwachte duur van de verstoring

Doel van de meldplicht is niet bestraffing, maar snelle coördinatie. De overheid gebruikt deze informatie om maatregelen op nationaal of regionaal niveau te organiseren, bijvoorbeeld via het Landelijk Netwerk Acute Zorg of coördinatie met andere vitale sectoren.

Verzuim om tijdig en volledig te melden, kan leiden tot sancties of reputatieschade. Ook kan het effect hebben op de samenwerking met toezichthouders en ketenpartners.

Relatie tussen digitale en fysieke weerbaarheid

Hoewel de cyberbeveiligingswet en de wet weerbaarheid kritieke entiteiten twee aparte wetten zijn, raken ze elkaar in de praktijk. Veel risico’s zijn zowel digitaal als fysiek van aard.

Voorbeelden:

• een cyberaanval kan leiden tot fysieke sluiting van afdelingen
• fysieke uitval van stroom kan digitale systemen platleggen
• ketenstoringen kunnen beide typen risico’s tegelijk activeren

Instellingen moeten daarom hun plannen integreren. Dat betekent:

• één geïntegreerde risicobeoordeling voor beide wetgevingen
• gezamenlijke oefeningen en scenariotrainingen
• overlap in verantwoordelijkheden bij incidentbestrijding voorkomen
• afstemming tussen IT, facilitair, zorg en bestuur

De wetgeving is bedoeld als aanvullend, niet als dubbel. Een gecombineerde aanpak bespaart tijd en verhoogt de effectiviteit.

Samenwerking tussen sectoren: zorg, energie, IT-infrastructuur

Kritieke zorginstellingen zijn sterk afhankelijk van externe partijen. Energiebedrijven, datacenters, leveranciers en transportorganisaties vormen samen een kwetsbaar ecosysteem. De Wwke verwacht dat instellingen deze afhankelijkheden expliciet meenemen in hun risicoanalyses.

Samenwerking is nodig op gebieden als:

• uitwisseling van informatie over dreigingen en verstoringen
• gezamenlijke afspraken over prioriteit bij herstel
• duidelijke afspraken over escalatie en meldingen
• deelname aan regionale en landelijke crisisoefeningen

Voor bestuurders betekent dit dat contracten, SLA’s en samenwerkingsafspraken moeten worden herzien. Ook interne besluitvorming moet rekening houden met externe ketenafhankelijkheden.

Instellingen die deze samenwerking verwaarlozen, lopen het risico om geïsoleerd te raken bij een incident, of anderen mee te trekken in hun kwetsbaarheid.

4. Meldplicht bij cyberincidenten in de zorg

Zorginstellingen krijgen vanaf 2025 te maken met een aangescherpte meldplicht voor cyberincidenten. Deze meldplicht komt voort uit de Cyberbeveiligingswet en maakt deel uit van bredere maatregelen die bedoeld zijn om digitale verstoringen sneller te signaleren, sectorale ondersteuning direct te activeren en maatschappelijke impact te beperken.

De meldplicht legt vast dat ernstige incidenten binnen 24 uur moeten worden gemeld bij de daarvoor aangewezen instanties. Dat vraagt om duidelijke interne structuren, goede coördinatie tussen afdelingen en een organisatie die snel kan schakelen wanneer systemen uitvallen of gegevens mogelijk zijn aangetast.

Voor bestuur en management betekent dit dat incidentmeldingen niet langer een taak zijn van een technische afdeling, maar een integraal onderdeel worden van governance. Het gaat namelijk om continuïteit, patiëntveiligheid en wettelijke naleving, niet alleen om IT.

Wat is een ‘significant’ cyberincident?

De meldplicht geldt niet voor elk incident. Alleen significante cyberincidenten moeten worden gemeld. De beoordeling hiervan is afhankelijk van ernst, duur en gevolgen voor de zorgverlening.

Een incident wordt als significant beschouwd als één of meer van de volgende situaties ontstaan:

• systemen die direct nodig zijn voor zorgverlening vallen uit
• vertrouwelijkheid, integriteit of beschikbaarheid van informatie is aangetast
• ketenprocessen of regioprocessen kunnen niet doorgaan
• er is sprake van een vermoedelijke cyberaanval of opzettelijke verstoring
• de verstoring heeft gevolgen voor een aanzienlijk aantal patiënten

Het gaat dus niet om de technische omvang, maar om de impact op zorgprocessen en veiligheid. Zelfs een klein incident kan meldplichtig zijn als het een cruciaal proces raakt of de regio ontregelt.

Criteria voor meldplicht: omvang, duur en impact

De sectorale regeling die wordt uitgewerkt voor de zorg beschrijft hoe instellingen meldplicht in de praktijk moeten beoordelen. De beoordeling gebeurt op basis van meetbare criteria, waaronder:

• de duur van de verstoring
• het aantal betrokken patiënten of cliënten
• de afhankelijkheid van getroffen systemen
• mogelijke keteneffecten binnen de regio
• de noodzaak om noodvoorzieningen in te zetten

Het is belangrijk dat zorginstellingen deze criteria vooraf vertalen naar hun eigen processen. Het moet helder zijn welke situaties automatisch tot meldplicht leiden, zodat beslissingen niet afhankelijk zijn van interpretatie op het moment zelf.

Instellingen worden geacht hier een interne procedure of beslisboom voor te ontwikkelen. Dit maakt beoordeling sneller, eenvoudiger en minder foutgevoelig.

Interne meldstructuur en escalatieprocedures binnen de instelling

Een formele meldplicht werkt alleen als de interne structuur goed is ingericht. Het moet onmiddellijk duidelijk zijn wie een incident signaleert, wie het analyseert, wie de meldplicht beoordeelt en wie de uiteindelijke melding doet.

Een werkbare interne structuur bevat onder andere:

• een intern meldpunt of vaste verantwoordelijke functie
• een duidelijke escalatielijn richting bestuur
• vooraf gedefinieerde scenario’s die meldplichtig kunnen zijn
• afspraken over wie beslist binnen welke termijn
• documentatie van besluiten, acties en analyses

De escalatie moet eenvoudig en snel zijn. In crisissituaties is er vaak weinig tijd om uitgebreide analyses uit te voeren. Daarom moet al vooraf duidelijk zijn wanneer opschaling nodig is en wie die opschaling initieert.

Het is verstandig om de meldstructuur periodiek te testen. Niet om mensen te controleren, maar om te toetsen of de procedures werkbaar zijn wanneer systemen onder druk staan.

Procedure: meldkanalen, termijnen, opvolgingsrapportage

Zodra is vastgesteld dat een incident meldplichtig is, moet de eerste melding binnen 24 uur plaatsvinden. Zorginstellingen melden bij de volgende instanties, afhankelijk van de aard van het incident:

• Z-CERT (Zorg Computer Emergency Response Team)
• NCSC (Nationaal Cyber Security Centrum)
• IGJ (Inspectie Gezondheidszorg en Jeugd)
• AP (Autoriteit Persoonsgegevens)

De initiële melding bevat altijd ten minste:

• wat er is gebeurd en wanneer
• welke systemen of processen zijn getroffen
• wat de voorlopige impact is
• welke eerste maatregelen zijn genomen

Nadat de situatie stabieler is, moet een uitgebreidere rapportage worden aangeleverd. Daarin staat onder meer:

• de oorzaak en herkomst van het incident
• de volledige impact op systemen, locaties en patiënten
• de tijdlijn van herstelacties
• maatregelen die worden genomen om herhaling te voorkomen

Deze rapportage is niet alleen een administratieve verplichting. Ze wordt gebruikt door toezichthouders om te bepalen of verdere ondersteuning of toezicht nodig is. Ook intern helpt de rapportage bij het verbeteren van processen en het versterken van bestaande maatregelen.

Samenloop van meldplichten: AVG, NCSC, IGJ

Cyberincidenten vallen niet altijd onder één wet. In de zorgsector bestaat er vaak een overlap tussen verschillende meldplichten. Denk aan:

• meldplicht van de Cyberbeveiligingswet
• datalekmeldplicht van de AVG (Algemene Verordening Gegevensbescherming) via de AP
• meldingen richting IGJ bij risico’s voor zorgkwaliteit
• informele of verplichte meldingen bij NCSC als er nationale belangen spelen

Zonder goede afstemming kunnen meldingen dubbel, tegenstrijdig of onvolledig zijn. Daarom is het belangrijk dat instellingen een geïntegreerd meldprotocol opstellen waarin alle relevante wetten en instanties zijn opgenomen.

Een duidelijk overzicht helpt daarbij, met onder meer:

• welke wet geldt voor welke situatie
• welke informatie per instantie verplicht is
• welke termijnen van toepassing zijn
• wie binnen de organisatie verantwoordelijk is voor welke melding

Een goede coördinatie voorkomt verwarring en maakt het proces voor alle betrokkenen overzichtelijker.

Verantwoordelijkheden na een incident

De meldplicht eindigt niet bij het versturen van een melding. Zorginstellingen blijven verantwoordelijk voor opvolging, herstel en communicatie. Afhankelijk van de aard van het incident kan dit betekenen dat:

• patiënten moeten worden geïnformeerd als hun gegevens mogelijk zijn ingezien
• regionale partners op tijd moeten weten dat systemen nog beperkt werken
• zorgverleners updates moeten krijgen over beschikbaarheid van systemen
• interne processen tijdelijk moeten worden aangepast

Daarnaast moet de organisatie de gelegenheid gebruiken om te leren van het incident. Herstelplannen, noodprocedures en risicobeoordelingen moeten worden bijgewerkt op basis van de werkelijke impact en lessen die zijn opgedaan.

Het verbeteren van procedures na een incident is niet alleen goed voor de organisatie, maar helpt ook bij inspecties en evaluaties door toezichthouders. Het laat zien dat de organisatie in staat is om professioneel om te gaan met verstoringen en te werken aan duurzame verbetering.

5. Bestuurlijke verantwoordelijkheid voor cyberbeveiliging

Digitale weerbaarheid is niet langer een IT-aangelegenheid. Nieuwe wetgeving maakt duidelijk dat bestuurders en toezichthouders in de zorgsector direct verantwoordelijk zijn voor de manier waarop hun organisatie omgaat met informatiebeveiliging, risico’s en incidenten. De Cyberbeveiligingswet, gebaseerd op de NIS2-richtlijn, legt die verantwoordelijkheid expliciet vast.

Zorginstellingen worden geacht om informatiebeveiliging te integreren in de bestuurlijke agenda, beleidscyclus en interne governance. Bestuurders worden verantwoordelijk gehouden voor het aansturen, evalueren en verbeteren van de maatregelen die genomen worden. Dat geldt ook als deze maatregelen zijn gedelegeerd binnen de organisatie.

De wet introduceert geen nieuwe bestuurslagen, maar vraagt bestaande leidinggevenden om zicht te hebben op hun digitale kwetsbaarheden én te zorgen voor aantoonbare verbetering.

Van IT-issue naar kernverantwoordelijkheid

Tot voor kort werd cybersecurity vaak gezien als een technisch onderwerp. In veel zorginstellingen bleef het beperkt tot ICT-afdelingen of werd het opgepakt in de context van projectmanagement of compliance. De wetgeving die nu van kracht wordt, verandert die positie fundamenteel.

Bestuurders moeten zich verdiepen in vragen als:

• welke digitale risico’s zijn het meest relevant voor de organisatie
• welke processen zijn kwetsbaar bij uitval of aanvallen
• hoe wordt informatiebeveiliging ingebed in de strategische doelen
• hoe vaak worden risico’s geëvalueerd en door wie
• welke rol speelt het bestuur zelf bij incidentbestrijding en besluitvorming

Deze verantwoordelijkheid is niet adviserend of symbolisch. Toezichthouders verwachten actief leiderschap, onderbouwde keuzes en directe betrokkenheid bij besluitvorming rondom digitale weerbaarheid.

Verplichte opleiding en kennisniveau voor bestuurders

Een belangrijk element uit de NIS2-richtlijn, dat is overgenomen in de Cyberbeveiligingswet, is de verplichting tot passende opleiding van bestuurders. Bestuursleden van instellingen die onder de wet vallen, moeten beschikken over voldoende kennis van cyberbeveiliging om hun taken goed uit te voeren.

Dat betekent niet dat elke bestuurder technisch specialist moet zijn, maar wel dat het niveau van kennis voldoende is om:

• risicoanalyses te begrijpen en te beoordelen
• besluiten te nemen over maatregelen en investeringen
• toezicht te houden op uitvoering van beleid
• verantwoording af te leggen over keuzes bij incidenten

Instellingen kunnen dit intern organiseren, via trainingen of externe opleidingen. In de zorgsector wordt dit vaak afgestemd met Z-CERT (Zorg Computer Emergency Response Team), brancheorganisaties of gespecialiseerde opleiders.

Opleiding is geen eenmalige vereiste, maar een continu aandachtspunt. Wetgeving, dreigingen en technologie ontwikkelen zich voortdurend. Bestuurders moeten kunnen aantonen dat zij hun kennis actueel houden.

Aansprakelijkheid en sancties bij non-compliance

De bestuurlijke verantwoordelijkheid wordt ondersteund door duidelijke sanctiemechanismen. Wanneer een zorginstelling structureel tekortschiet in de uitvoering van de Cyberbeveiligingswet, kan dit leiden tot boetes of andere maatregelen.

IGJ (Inspectie Gezondheidszorg en Jeugd) houdt toezicht op naleving binnen de zorg. Bij ernstige tekortkomingen kan worden opgetreden tegen de instelling, maar ook tegen individuele bestuurders.

De volgende situaties kunnen leiden tot bestuurlijke aansprakelijkheid:

• het structureel negeren van beveiligingsmaatregelen of risico’s
• het niet melden van significante incidenten
• het ontbreken van risicobeoordelingen of herstelplannen
• onvoldoende toezicht op uitbestede processen of leveranciers
• het niet opvolgen van aanwijzingen van toezichthouders

De wet maakt het mogelijk om bestuurders persoonlijk verantwoordelijk te houden, vergelijkbaar met situaties rond financiële verslaglegging of zorgkwaliteit.

Rol van Raad van Toezicht

Niet alleen het bestuur, ook de Raad van Toezicht speelt een rol. De nieuwe wetgeving vraagt toezichthouders om actief toe te zien op digitale weerbaarheid en naleving van de meldplicht, risicobeheersing en incidentverwerking.

Concreet betekent dit dat de Raad van Toezicht:

• vragen moet stellen over digitale risico’s en beveiligingsbeleid
• moet toezien op voldoende budget en prioriteit voor informatiebeveiliging
• betrokken moet zijn bij besluitvorming na ernstige incidenten
• op de hoogte moet zijn van toetsingen, audits en bevindingen van toezichthouders

Digitale veiligheid wordt hiermee een vast onderdeel van de toezichthoudende rol, naast financiën, kwaliteit en strategie.

Een goed functionerende Raad van Toezicht zorgt ervoor dat het bestuur niet alleen verantwoordelijkheid draagt, maar ook rekenschap moet geven van de manier waarop die verantwoordelijkheid is ingevuld.

Integratie van informatiebeveiliging in governance

Informatiebeveiliging moet niet losstaan van andere managementsystemen. Voor zorginstellingen betekent dit dat digitale risico’s moeten worden opgenomen in bestaande kwaliteitsstructuren. Denk aan:

• het verbinden van informatiebeveiliging met interne audits en jaarplannen
• het integreren van risico’s in managementrapportages en directieoverleggen
• het opnemen van digitale veiligheid in kwaliteitsjaarverslagen
• het koppelen van incidentregistratie aan patiëntveiligheid en calamiteitenanalyse

Veel instellingen werken al met NEN 7510, ISO 27001 of HKZ-systemen. De Cyberbeveiligingswet verwacht dat informatiebeveiliging daar structureel onderdeel van uitmaakt, en niet als los dossier wordt behandeld.

Instellingen die al werken met integrale risicobeheersing hebben een voordeel. Zij kunnen informatiebeveiliging relatief eenvoudig opnemen in bestaande formats en overlegstructuren.

Cultuur en bewustwording binnen de organisatie

Bestuurlijke verantwoordelijkheid stopt niet bij beleid en audits. Digitale veiligheid is pas effectief als die gedragen wordt door de hele organisatie. Dat vraagt om bewustwording, communicatie en voorbeeldgedrag.

Zorgmedewerkers, ondersteunend personeel en management moeten weten:

• wat hun rol is in veilige omgang met informatie
• hoe ze risico’s kunnen signaleren en melden
• wat te doen bij een (mogelijk) incident
• waarom bepaalde maatregelen nodig zijn, ook als ze lastig zijn in de praktijk

Bestuurders hebben hierin een voorbeeldrol. Door open te communiceren over incidenten, successen en dilemma’s, ontstaat een cultuur waarin informatiebeveiliging geen onderwerp van controle is, maar onderdeel van vakmanschap.

Verankering in beleid

Informatiebeveiliging moet terugkomen in alle lagen van bestuurlijk overleg. Dat betekent:

• vast agendapunt in RvB-vergaderingen
• periodieke rapportages aan de Raad van Toezicht
• evaluatie van meldingen, risico’s en audits
• structurele updates over wetgeving en ontwikkelingen

Niet alleen bij incidenten, maar ook bij jaarplannen, begrotingen en beleidsbesprekingen hoort informatiebeveiliging aan tafel te liggen. Alleen dan ontstaat een blijvende plek voor digitale veiligheid binnen de strategische koers van de instelling.

5. Van compliance naar weerbaarheid

De nieuwe wetgeving stelt zorginstellingen verplicht om te voldoen aan standaarden omtrent informatiebeveiliging en continuïteit. Maar het voldoen aan regels – compliance – is niet hetzelfde als daadwerkelijk bestand zijn tegen verstoringen. In toenemende mate wordt gevraagd om een integrale benadering waarin digitale veiligheid, fysieke continuïteit en organisatorische weerbaarheid samenkomen. Het is deze overgang van naleving naar veerkracht waar bestuur en directie op moeten sturen.

Eerder zijn verplichtingen, meldplichten, kritieke entiteiten en bestuurlijke verantwoordelijkheden besproken. Nu is het moment om naar voren te kijken. Dit slot richt zich op waarom en hoe instellingen beveiliging en continuïteit verbinden met strategie, cultuur en governance – zodat zorgverlening ook bij verstoringen doorgaat.

Beveiliging als strategisch fundament

Voor instellingen betekent weerbaarheid dat beveiliging niet blijft bij technische maatregelen of formele audits. Beveiliging wordt een strategisch fundament: beslissingen over investeringen, digitalisering, inkoop, samenwerking en innovatie worden gemaakt met een bewust oog voor risico’s en kwetsbaarheden.

Bestuur en management dienen het onderwerp structureel in hun agenda op te nemen. Niet alleen wanneer systemen worden aangeschaft, maar bij elke koerswijziging. Zo wordt beveiliging onderdeel van langetermijnbeleid in plaats van incidentele compliance.

Een strategie gebaseerd op weerbaarheid houdt in dat instemming met regels niet het eindpunt is, maar het begin van voortdurende verbetering. Daarbij worden kwetsbaarheden periodiek herzien, en maatregelen afgestemd op veranderende dreigingen, technologische ontwikkelingen en organisatorische verandering.

Cultuur als motor van weerbaarheid

Weerbaarheid ontstaat niet door documenten of controles, maar door houding en gedrag. Een instelling is pas veerkrachtig als medewerkers op alle niveaus begrijpen waarom veiligheidsmaatregelen bestaan, en bereid zijn verantwoordelijkheid te nemen bij signalen van afwijking.

Dat vraagt aandacht voor cultuur:

• Openheid over fouten, incidenten en onzekerheden, zonder schuld en schaamte
• Transparante communicatie over beveiligingsbeleid, risico’s en verantwoordelijkheden
• Regelmatige training en bewustwording zodat medewerkers en management weten welke rol zij vervullen
• Betrokkenheid van alle disciplines: zorg, ICT, facilitair, financiën en bestuur

Wanneer beveiliging onderdeel is van de dagelijkse praktijk en niet van incidentele initiatieven, ontstaat een cultuur waarin kwetsbaarheden tijdig worden gesignaleerd en adequaat wordt gereageerd. Zo’n cultuur is veerkrachtiger dan een organisatie die enkel voldoet aan de letter van de wet.

Governance en samenwerking: interne en externe verbinding

Veerkracht vraagt om duidelijke governance. Instellingen moeten structuur aanbrengen waarin besluitvorming, verantwoordelijkheden en escalaties helder zijn belegd. Wie beslist bij dreiging? Wie controleert? Wie rapporteert?

Tegelijkertijd vereist weerbaarheid samenwerking binnen en buiten de instelling. Zowel met ketenpartners, leveranciers, regionale netwerken als sectorale organisaties. Externe afhankelijkheden maken dat risico’s zich zelden tot één organisatie beperken.

Voor effectieve samenwerking is nodig:

• heldere afspraken over taken, verantwoordelijkheden en meldprocedures
• inzicht in afhankelijkheden en gedeelde kwetsbaarheden
• gedeelde scenario’s voor incidenten die meerdere organisaties raken
• regelmatige coördinatie en oefening, zodat reactie soepel verloopt bij echte verstoringen

Door governance en samenwerking te verbinden, ontstaat een systeem dat niet alleen intern sterk is, maar ook bestand is tegen externe schokken.

Integratie in besluitvorming, kwaliteit en bedrijfsvoering

Informatiebeveiliging en continuïteit moeten een vaste plek hebben in besluitvorming, kwaliteitsmanagement en bedrijfsvoering. Dit betekent dat plannen, investeringen en evaluaties altijd ingericht zijn met oog voor risico’s en herstelvermogen.

Een instelling die weerbaarheid serieus neemt, zorgt ervoor dat zaken als inkoop, digitalisering, personeelsplanning en logistiek niet worden los gezien van beveiligings- en continuïteitseisen.

Dat vraagt om:

• structurele risicobeoordelingen bij nieuwe projecten of veranderingen
• koppeling van beveiliging aan kwaliteits- en risicomanagement
• documentatie én toetsing van maatregelen
• transparantie richting toezichthouders, ketenpartners en andere stakeholders

Zo transformeert beveiliging van een technisch hulpmiddel tot een integraal onderdeel van hoe de instelling werkt, groeit, innoveert en verantwoording aflegt.

Van reactief naar adaptief

Compliance is gericht op het voldoen aan regels op een gegeven moment. Weerbaarheid is adaptief: voorbereid zijn op wat nu onbekend is. Dat betekent dat instellingen niet alleen plannen maken voor bekende risico’s, maar ook leren, anticiperen en aanpassen zodra omstandigheden veranderen.

Adaptief werken vraagt om een lerende houding. Incidenten of bijna-incidenten worden niet weggemoffeld, maar gebruikt om te verbeteren. Evaluaties, audits en actualisering van beleid worden vanzelfsprekend. Zo ontstaat een continu proces van versterking — niet alleen om dreigingen af te slaan, maar om veerkracht op te bouwen.

Voordelen van de overgang naar weerbaarheid

Organisaties die deze transitie maken, behalen meerdere voordelen:

• betere continuïteit van zorg, ook bij verstoringen
• verhoogd vertrouwen van patiënten, ketenpartners en toezichthouders
• vermindering van reputatierisico’s en nalevingskosten
• flexibiliteit om te innoveren zonder onnodige risico’s
• verbeterde samenhang tussen beleid, uitvoering en toezicht

Deze voordelen wegen op termijn ruimschoots op tegen de inspanning die het vraagt om beveiliging en continuïteit structureel te verankeren.

Verantwoordelijkheid, integriteit en toekomstbestendigheid

De stap van naleving naar weerbaarheid vraagt om leiderschap: bestuurders, management en toezichthouders moeten samen optrekken. Verantwoordelijkheid mag niet worden verschoven; integriteit moet zichtbaar zijn.

Een instelling is toekomstbestendig wanneer zij in staat is om effectief om te gaan met onzekere omstandigheden, om te leren van fouten en om kwetsbaarheden vroegtijdig te herkennen. Dan wordt informatiebeveiliging geen last, maar een fundering voor betrouwbare, veilige en continue zorg.

Samengevat

Met de invoering van de NIS2- en CER-richtlijnen verplicht de Europese Unie zorginstellingen om digitale en fysieke weerbaarheid structureel te organiseren. De nationale vertaling via de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten legt verantwoordelijkheden neer bij bestuurders, en maakt informatiebeveiliging een essentieel onderdeel van governance, zorgcontinuïteit en risicobeheersing. De uitdaging ligt niet in naleving alleen, maar in het duurzaam versterken van de veerkracht van de zorgsector als geheel.

1. Europese richtlijnen veranderen de verantwoordelijkheid van zorginstellingen fundamenteel
NIS2 en CER maken digitale en fysieke risico’s bestuurlijke verantwoordelijkheid. De richtlijnen vragen niet om procedures, maar om aantoonbare weerbaarheid in processen, cultuur en besluitvorming.

2. Informatiebeveiliging is geen bijzaak maar vitale randvoorwaarde voor zorgcontinuïteit
De Europese regelgeving positioneert informatiebeveiliging niet langer als ICT-thema, maar als randvoorwaarde voor betrouwbare zorgverlening, publieke veiligheid en maatschappelijke stabiliteit.

3. Naleving wordt gemeten op effect, niet op aanwezigheid van beleid
Toezicht verschuift van compliance op papier naar werkelijke effectiviteit. De vraag is niet of er een plan ligt, maar of het plan werkt en wordt gedragen door de organisatie.

4. Meldplicht is een bestuurlijk instrument, geen operationele verplichting
De verplichting om significante cyberincidenten binnen 24 uur te melden aan instanties zoals IGJ, Z-CERT of NCSC, dwingt organisaties tot snelle interne coördinatie, governance onder druk en transparantie over kwetsbaarheden.

5. Bestuurders kunnen zich niet beroepen op gebrek aan kennis of afstand tot ICT
De NIS2-richtlijn legt expliciet vast dat bestuurders passende kennis moeten hebben van cyberbeveiliging. Passiviteit of onwetendheid wordt beschouwd als nalatig handelen, met mogelijke sancties tot gevolg.

6. Ketenverantwoordelijkheid is expliciet onderdeel van de Europese benadering
Zorginstellingen moeten risico’s bij leveranciers en ketenpartners actief beheersen. De zorgplicht reikt verder dan de eigen organisatie en strekt zich uit tot onderaannemers, toeleveranciers en dienstverleners.

7. Digitale weerbaarheid vraagt om adaptiviteit, niet alleen structuur
De Europese kaders erkennen dat risico’s snel veranderen. Daarom is er nadruk op voortdurende evaluatie, zelfevaluatie, audits en het kunnen aanpassen van maatregelen op basis van actuele dreiging en technologische ontwikkeling.

8. De overgang van compliance naar weerbaarheid is een structurele bestuursopgave
De kern van de Europese regelgeving ligt in strategisch eigenaarschap: niet alleen voldoen aan regels, maar sturen op een organisatie die bestand is tegen digitale ontregeling en actief leert van incidenten en signalen.