Zorginstellingen investeren miljoenen in firewalls, encryptie en toegangscontrole. Beveiligingsteams monitoren netwerken 24/7. Medewerkers trainen op phishing-herkenning. En toch gebeurt het. In juli 2024 wordt laboratorium Clinical Diagnostics getroffen door ransomware. De gegevens van 850.000 patiënten lekken. Niet omdat de ziekenhuizen slecht beveiligd waren. Maar omdat hun leverancier dat wel was.

Het incident legt een fundamentele zwakte bloot: zorginstellingen zijn zo veilig als hun zwakste leverancier. EPD-systemen, laboratoriumsoftware, planning tools, beeldarchivering – allemaal extern gehost, allemaal met toegang tot gevoelige gegevens. Een enkele kwetsbare leverancier kan tientallen zorginstellingen tegelijk treffen.

En de Clinical Diagnostics casus was geen incident. Het was een waarschuwing.

1. De verborgen kwetsbaarheid in de zorgketen

Moderne zorg is uitbesteed. Geen enkele zorginstelling draait meer volledig op eigen systemen. EPD’s komen van leveranciers als Chipsoft of Nexus. Laboratoriumuitslagen van externe partijen. Medische beelden worden opgeslagen bij cloud providers. Planningssoftware draait in datacenters van derden.

Die afhankelijkheid is logisch. Zorginstellingen kunnen niet zelf alle IT-expertise in huis hebben. Leveranciers bieden specialistische kennis, schaalvoordelen, continue updates. Het alternatief – alles zelf doen – is onrealistisch en onbetaalbaar.

Maar die efficiëntie creëert een blinde vlek. Bestuurders veronderstellen dat een grote, gerenommeerde leverancier wel goed beveiligd zal zijn. Een certificaat wordt gecontroleerd bij aanbesteding. Een verwerkersovereenkomst wordt getekend. En daarna? Minimale aandacht.

De realiteit van uitbesteding

De Clinical Diagnostics casus illustreert hoe breed die uitbesteding is. Het laboratorium verwerkte niet alleen monsters voor Bevolkingsonderzoek Nederland. Ook honderden huisartsen verstuurden uitstrijkjes voor analyse. Ziekenhuizen lieten pathologie-onderzoek uitvoeren. Bergman Clinics gebruikte hun diensten.

Eén ransomware-aanval. Tientallen zorginstellingen getroffen. Honderdduizenden patiënten geraakt. Niet omdat die ziekenhuizen of huisartsen slecht beveiligd waren. Maar omdat ze allemaal afhankelijk waren van dezelfde derde partij.

Z-CERT, het expertisecentrum voor cybersecurity in de zorg, schrijft het scherp op: “Voor een volledig beeld van de impact is transparantie vanuit leveranciers belangrijk. Zonder aanvullende informatie kunnen wij niet bepalen welke instellingen risico lopen.” Zorginstellingen waren afhankelijk van Clinical Diagnostics voor informatie over hun eigen risico.

Waarom vertrouwen niet volstaat

Het probleem zit dieper dan technische beveiliging. Het gaat om informa

tieasymmetrie. De leverancier weet wat er mis is. De zorginstelling niet. Clinical Diagnostics ontdekte de ransomware-aanval in juli. Bevolkingsonderzoek Nederland werd pas weken later geïnformeerd. Huisartsen hoorden het via de NOS.

De Landelijke Huisartsen Vereniging (LHV) schrijft: “Huisartsen zijn hierover nog niet rechtstreeks geïnformeerd door Clinical Diagnostics. Dat leidt tot onzekerheid en risico’s op phishing en fraude.”

Zorginstellingen waren dus niet alleen slachtoffer van de hack. Ze waren ook afhankelijk van de communicatie van de leverancier. Zonder eigen inzicht. Zonder controle. Zonder mogelijkheid om patiënten tijdig te informeren.

Clinical Diagnostics 2024: het domino-effect

De impact was enorm. Aanvankelijk meldde Clinical Diagnostics 485.000 getroffen patiënten. Dat aantal groeide naar 700.000. Uiteindelijk: 850.000. Telkens moesten zorginstellingen hun communicatie aanpassen. Telkens meer patiënten ongerust. Telkens meer reputatieschade.

De Autoriteit Persoonsgegevens (AP) startte een onderzoek. Niet alleen naar Clinical Diagnostics. Ook naar de vraag of zorginstellingen hun leverancier voldoende hadden gecontroleerd. Want juridisch blijft de zorginstelling vaak verantwoordelijk. Zelfs als een derde partij het incident veroorzaakt.

Patiënten melden zich massaal aan voor schadevergoeding. Meer dan 100.000 mensen via één belangenorganisatie alleen. De kosten? Nog onbekend. Maar ze zullen in de tientallen miljoenen lopen. Voor zowel Clinical Diagnostics als de getroffen zorginstellingen.

2. Ketenaansprakelijkheid onder NIS2

De Cyberbeveiligingswet – de Nederlandse implementatie van NIS2 – maakt leveranciersbeveiliging expliciet. Artikel 7.2 vereist dat zorginstellingen “passende en evenredige technische, operationele en organisatorische maatregelen treffen om risico’s te beheersen die de beveiliging van de toeleveringsketen betreffen.”

Dat is geen zachte aanbeveling. Het is een wettelijke verplichting. Met persoonlijke aansprakelijkheid voor bestuurders bij grove nalatigheid.

Bestuurders blijven eindverantwoordelijk

De NVZ (Nederlandse Vereniging van Ziekenhuizen) schrijft:

“Kwetsbaarheid zit vaak in onduidelijke verantwoordelijkheden en complexe leveranciersketens.”

“Maak afspraken zo concreet mogelijk en hou grip op subverwerkers. Een verwerkersovereenkomst mag geen papieren tijger zijn.”

Maar in de praktijk is dat precies wat gebeurt. Verwerkersovereenkomsten worden afgesloten. Beveiligingseisen worden opgenomen. En daarna? Minimale verificatie. Geen periodieke controles. Geen incident-rapportage. Tot het misgaat.

NIS2 verandert dat. Zorginstellingen moeten kunnen aantonen dat ze actief toezicht houden op leveranciers. Dat betekent: periodieke audits, security ratings, incidentrapportage-verplichtingen. En bovenal: documentatie. Wat is gecontroleerd, wanneer, met welk resultaat?

Contracten die niet beschermen

De meeste verwerkersovereenkomsten bevatten standaardclausules. “Verwerker zorgt voor passende technische en organisatorische maatregelen.” Maar wat is “passend”? Welke standaarden? Welk bewijs?

Clinical Diagnostics had ongetwijfeld contracten met al hun afnemers. Met beveiligingsclausules. Met geheimhoudingsverplichtingen. Maar die contracten hebben de ransomware-aanval niet voorkomen. En ze hebben zorginstellingen niet beschermd tegen de gevolgen.

Het probleem is verificatie. Een contract is papier. Zonder controle, zonder toezicht, zonder consequenties bij niet-naleving, is het waardeloos. Zorginstellingen moeten van papieren afspraken naar controleerbare maatregelen.

Van papieren afspraken naar controleerbare maatregelen

NIS2 vereist concrete verificatie. Dat betekent:

• Leveranciers moeten certificeringen kunnen aantonen (NEN 7510, ISO 27001)
• Periodieke security assessments door onafhankelijke partijen
• Real-time incident notification: binnen 24 uur na ontdekking
• Audit rights: het recht om leverancierssystemen te inspecteren
• Contractuele boetes bij security breaches

Dit is niet vrijblijvend. Als een leverancier weigert dit te accepteren, moet de zorginstelling overwegen of samenwerking verantwoord is. Want onder NIS2 draagt de zorginstelling het risico. Niet de leverancier.

3. Single point of failure scenario’s

Uitbesteding creëert concentratierisico. Als tien ziekenhuizen hetzelfde EPD-systeem gebruiken, en die leverancier wordt getroffen, staan alle tien er tegelijk stil. Dat is geen theoretisch risico. Dat is realiteit.

Als één leverancier de hele zorg stillegt

De Citrix-kwetsbaarheid bij het Openbaar Ministerie in 2024 is een relevante case. Criminelen misbruikten een lek in de Citrix-software. Systemen moesten weken offline. Rechtszaken werden uitgesteld. Het OM kon nauwelijks functioneren.

Citrix wordt breed gebruikt in de zorg. Voor remote toegang tot systemen. Voor virtuele desktops. Voor secure file sharing. Als een vergelijkbare kwetsbaarheid daar wordt ontdekt, kan dat tientallen zorginstellingen tegelijk raken.

Het Clinical Diagnostics incident toont hetzelfde patroon. Eén laboratorium. Honderden afnemers. Eén ransomware-aanval. Iedereen getroffen.

Citrix-kwetsbaarheid bij het OM: lessen voor de zorg

De les is helder: marktdominantie creëert systeemrisico. Als iedereen dezelfde leverancier gebruikt, wordt die leverancier een single point of failure. Een incident daar verspreidt zich door de hele sector.

Diversificatie helpt. Als verschillende zorginstellingen verschillende EPD-leveranciers gebruiken, beperkt een incident bij één leverancier de schade. Maar diversificatie heeft ook nadelen: hogere kosten, complexere integratie, minder schaalvoordelen.

De balans is lastig. Te veel concentratie creëert risico. Te veel fragmentatie creëert inefficiëntie. Bestuurders moeten dit expliciet afwegen. En documenteren waarom bepaalde keuzes gemaakt zijn.

Concentratierisico bij marktdominante partijen

ChipSoft heeft een enorm marktaandeel in Nederlandse ziekenhuizen. Nexus in de GGZ. Een ransomware-aanval bij één van deze partijen zou de hele sector kunnen lamleggen. Patiëntendossiers ontoegankelijk. Operaties uitgesteld. Spoedzorg beperkt functioneel.

Zorginstellingen moeten dit risico erkennen. En mitigeren. Dat betekent niet per se wisselen van leverancier. Maar wel:

• Offline back-ups van kritieke data
• Noodprocedures voor als het EPD uitvalt
• Alternatieve communicatiekanalen met andere zorgverleners
• Periodieke uitvaltests om gereedheid te verifiëren

4. Van papieren SLA naar werkelijke controle

Service Level Agreements zijn standaard. Uptime guarantees. Response times. Penalty clauses. Maar ze zeggen niets over beveiliging. Een systeem kan 99.9% beschikbaar zijn en tegelijk lek als een zeef.

Wat certificaten niet vertellen

NEN 7510 is de norm voor informatiebeveiliging in de zorg. ISO 27001 voor algemeen informatiebeveiligingsbeheer. Veel leveranciers hebben deze certificaten. En dat is goed. Maar het is niet genoeg.

Een certificaat is een momentopname. Het zegt dat op dat moment, tijdens die audit, de processen op orde waren. Maar wat gebeurt er daarna? Worden patches tijdig geïnstalleerd? Worden nieuwe kwetsbaarheden gemonitord? Worden incidenten gemeld?

Clinical Diagnostics had waarschijnlijk certificeringen. En toch gebeurde de ransomware-aanval. Certificaten zijn een basis. Geen garantie.

Continue monitoring in plaats van jaarlijkse checks

Moderne leverancierscontrole is continu. Niet jaarlijks. Security rating services zoals BitSight of SecurityScorecard monitoren leveranciers real-time. Ze scannen op open poorten, verouderde software, phishing-gevoeligheid. En ze rapporteren veranderingen direct.

Dit geeft zorginstellingen actueel inzicht. Als een leverancier plotseling slechter scoort, is dat een red flag. Misschien zijn patches achterstallig. Misschien is er een incident geweest. Tijd voor actie.

Sommige zorginstellingen eisen contractueel dat leveranciers zich laten monitoren. En dat scores boven een bepaald niveau blijven. Anders volgen consequenties: verhoogde controle, tijdelijke opschorting, contractbreuk in extreme gevallen.

Incidenten bij de leverancier: wanneer krijgt de zorginstelling het te horen

Dit is cruciaal. Als een leverancier gehackt wordt, moet de zorginstelling dat direct weten. Niet weken later. Niet via de media. Direct.

Maar veel contracten regelen dit niet. Of vaag: “bij significante incidenten”. Wat is significant? Wie bepaalt dat? De leverancier? Die heeft een incentive om het te bagatelliseren.

NIS2 lost dit op. Leveranciers aan NIS2-entiteiten moeten incidenten binnen 24 uur melden. Geen ruimte voor interpretatie. Geen mogelijkheid om stil te houden. Transparantie is verplicht.

Zorginstellingen moeten dit in hun contracten opnemen. Met specifieke tijdlijnen. Met rapportageverplichtingen. Met consequenties bij niet-naleving.

5. Concrete maatregelen voor bestuurlijke grip

Wat moeten bestuurders nu doen om leveranciersrisico te beheersen?

Classificeer leveranciers op impact

Niet alle leveranciers zijn even kritiek. Een leverancier van kantoorbenodigdheden heeft geen toegang tot patiëntgegevens. Een EPD-leverancier wel.

Maak een matrix. Welke leveranciers hebben toegang tot kritieke systemen of data? Welke leveranciers zijn essentieel voor continuïteit? Clasificeer ze:

• Kritiek: zonder deze leverancier stopt de zorgverlening (EPD, planning, apotheeksystemen)
• Belangrijk: ernstige impact maar niet direct operationeel (facturering, HR-systemen)
• Standaard: minimale impact (facilitaire diensten, kantoorartikelen)

Focus op de kritieke leveranciers. Daar zit het risico. Daar is controle essentieel.

Wat moet in elk contract staan

Voor kritieke leveranciers moet elk contract minimaal bevatten:

• Beveiligingscertificeringen (NEN 7510 of ISO 27001) met jaarlijkse hernieuwing
• Verplichting tot incidentmelding binnen 24 uur
• Audit rights: mogelijkheid om beveiligingsmaatregelen te inspecteren
• Security assessment door onafhankelijke partij elk jaar
• Contractuele boetes bij security breaches
• Exit-strategie: hoe worden data overgedragen bij contractbeëindiging

Dit is niet onderhandelbaar voor kritieke leveranciers. Als een leverancier dit weigert, is dat een red flag. Grote, professionele partijen accepteren dit. Partijen die dit weigeren hebben vaak iets te verbergen.

Wanneer uitbesteding te risicovol wordt

Soms is uitbesteding onverantwoord. Bijvoorbeeld bij:

• Leveranciers die weigeren audits toe te staan
• Leveranciers in landen zonder adequate privacy-wetgeving
• Leveranciers die subverwerkers gebruiken zonder toestemming
• Leveranciers met recente security breaches zonder aantoonbare verbetermaatregelen
• Leveranciers die single point of failure zijn zonder redundantie

Dan moet de zorginstelling alternatieven overwegen. Of de dienst zelf hosten. Of een andere leverancier kiezen. Of extra maatregelen treffen zoals data-encryptie, netwerksegmentatie, beperkte toegangsrechten.

Bestuurders moeten deze afweging expliciet maken. En documenteren. Want onder NIS2 kunnen ze daarop aangesproken worden.

Samengevat

Leveranciersrisico is geen IT-probleem maar een bestuurlijke verantwoordelijkheid die NIS2 expliciet maakt. De Clinical Diagnostics casus toont hoe één kwetsbare leverancier 850.000 patiënten en tientallen zorginstellingen kan treffen, waarbij de juridische en reputatieschade vooral bij de zorginstellingen terechtkomt.

Bestuurders kunnen zich niet verschuilen achter contracten of certificaten: actieve verificatie, continue monitoring en concrete escalatieprocedures zijn verplicht onder de komende Cyberbeveiligingswet.

1. Contracten zonder verificatie zijn waardeloos

Een verwerkersovereenkomst met beveiligingsclausules beschermt niet tegen ransomware. Clinical Diagnostics had contracten met alle afnemers, maar dat voorkwam de aanval niet en beperkte de schade niet. Alleen actieve controle werkt.

2. Informatiebeveiliging vereist continue leverancierscontrole

Jaarlijkse audits zijn achterhaald: moderne security rating services monitoren leveranciers real-time op kwetsbaarheden. Zorginstellingen die kritieke leveranciers niet continu volgen, ontdekken incidenten te laat en kunnen patiënten niet tijdig informeren. Dit is niet optioneel onder NIS2.

3. Concentratierisico creëert systeemkwetsbaarheid

Als tientallen zorginstellingen dezelfde EPD-leverancier gebruiken, legt één incident de hele sector stil. Diversificatie is kostbaar maar risicoreductie vereist expliciete afweging tussen efficiency en weerbaarheid, niet stilzwijgende acceptatie van vendor lock-in.

4. Transparantie van leveranciers is bestuurlijke eis

Incidentmeldingen binnen 24 uur, audit rights en exit-strategieën moeten contractueel verplicht zijn. Leveranciers die dit weigeren voor kritieke systemen zijn onverantwoord, ongeacht hun marktpositie of reputatie.

5. Uitbesteding betekent niet uitbesteden van verantwoordelijkheid

Zorginstellingen blijven eindverantwoordelijk voor patiëntgegevens, ook bij incidenten van derden. NIS2 maakt dit expliciet: bestuurders moeten kunnen aantonen dat ze toeleveranciers actief controleren, of ze dragen persoonlijk risico bij nalatigheid.