Vijf medewerkers van Erasmus MC hebben zonder gegronde reden 34 patiëntendossiers ingekeken. Twee van hen zijn op staande voet ontslagen. De betrokken patiënten zijn geïnformeerd, het incident is gemeld bij de Autoriteit Persoonsgegevens, en de Raad van Bestuur erkende publiekelijk de ernst van de situatie.

Dit incident staat niet op zichzelf. In veel zorgorganisaties bestaat een spanningsveld tussen de noodzaak tot snelle, flexibele toegang tot informatie en het zorgvuldig afbakenen van wat werkelijk nodig is. Zeker in een dynamische omgeving als de zorg, waar spoed, multidisciplinair werken en uitwijkprocessen dagelijkse realiteit zijn, is het niet altijd werkbaar om toegang strikt te beperken.

Toch blijft de vraag gerechtvaardigd: hoe zorg je ervoor dat brede toegang geen open toegang wordt? En hoe borg je dat medewerkers niet ongemerkt buiten hun rol om inzien wat niet bedoeld is voor hen?

Informatiebeveiliging helpt deze vragen structureel te beantwoorden. Niet door alles dicht te zetten, maar door processen zo in te richten dat risico’s beheersbaar blijven, gedrag controleerbaar wordt en afwijkingen tijdig worden herkend. Techniek alleen is daarin niet voldoende. Het vraagt om heldere verantwoordelijkheden, toetsbare maatregelen en bestuurlijke betrokkenheid.

NEN 7510 ondersteunt dat proces. Deze norm biedt een breed toepasbaar kader waarmee zorginstellingen informatiebeveiliging kunnen organiseren op een manier die past bij hun praktijk. Het maakt ruimte voor taakgerichte toegang, maar ook voor logging, steekproeven, patroonanalyse en corrigerende maatregelen als dat nodig is. Daarmee wordt het mogelijk om toegang wél breed in te richten waar dat nodig is, zonder de grip te verliezen op wat wel of niet gerechtvaardigd is.

Wat het incident bij Erasmus MC vooral onderstreept, is dat vertrouwen in medewerkers belangrijk blijft, maar nooit zonder structuur. NEN 7510 helpt om die structuur werkbaar te maken. Niet als technische of juridische verplichting, maar als randvoorwaarde voor veilige, betrouwbare en verantwoordbare zorg.

1. Onrechtmatige inzage vraagt structurele aanpak

Ongeautoriseerde toegang tot patiëntgegevens is zelden het gevolg van een incident op zichzelf. Het ontstaat door structurele zwaktes binnen organisaties die informatiebeveiliging onvoldoende verankeren in het dagelijks bestuur.

Wanneer toegang tot systemen breder is dan nodig, zonder directe controle op functionele noodzaak, verandert het risico van een technisch probleem naar een organisatorisch falen. Voor instellingen die verantwoordelijk zijn voor gevoelige persoonsgegevens, zoals in de zorg, betekent dat een toenemend toezichtrisico én verlies van vertrouwen.

Informatiebeveiliging begint bij de vraag wie op welk moment toegang mag hebben tot welke informatie. Dat proces is geen IT-vraagstuk, maar raakt aan werkstructuren, taakverdeling en gedragsverwachtingen binnen een organisatie.

Waar deze lijnen niet scherp zijn gedefinieerd, ontstaan situaties waarin medewerkers technisch kunnen doen wat functioneel niet nodig is.

De gevolgen worden vaak pas zichtbaar na interne meldingen, klachten of controle – dus te laat.

Gebrek aan functioneel toezicht

Technische toegang wordt meestal ingericht aan het begin van een dienstverband of project, maar wordt zelden herzien op basis van veranderende werkzaamheden. Dat betekent dat medewerkers in veel gevallen meer rechten behouden dan nodig is. Organisaties die geen periodiek controlemechanisme hebben op daadwerkelijke noodzaak, missen grip op een fundamenteel risico.

Zonder direct functioneel toezicht ontstaat een grijs gebied:

• Medewerkers interpreteren eigen taken breder dan bedoeld
• Managers gaan ervan uit dat IT de toegang beheert
• IT richt autorisaties in zonder actuele informatie over functies

Deze kloof tussen technische inrichting en functionele legitimatie maakt het lastig om interne misstanden tijdig te herkennen of voorkomen.

Interne naleving onder druk

Compliance wordt vaak geassocieerd met externe audits en toezicht, maar interne naleving is minstens zo belangrijk. Als medewerkers merken dat regels niet actief worden gehandhaafd, daalt het effect van beleid. Papieren procedures verliezen hun waarde zodra medewerkers zien dat ongeoorloofde toegang zelden wordt gesignaleerd of opgevolgd.

Signalering is slechts één deel van de oplossing. Net zo belangrijk is:

• Consequent reageren op overtredingen
• Helder communiceren over grenzen en gedrag
• Periodiek toetsen of processen nog voldoen

Een gebrekkige opvolging versterkt het risico dat medewerkers beleid als vrijblijvend ervaren. Dit ondermijnt niet alleen informatiebeveiliging, maar ook de geloofwaardigheid van de organisatie als geheel.

Beperkt bewustzijn bij besluitvorming

Veel besluitvormers gaan ervan uit dat informatiebeveiliging voldoende is geregeld zolang er systemen, wachtwoorden en protocollen bestaan. In de praktijk ontbreekt echter vaak inzicht in de kwaliteit van toegangsbeheer, naleving of incidentstructuur.

Zonder actuele, begrijpelijke informatie over deze thema’s blijft informatiebeveiliging een blinde vlek in de bestuurlijke afweging.

Het ontbreken van signalen betekent niet dat er geen risico’s zijn. Vooral in omgevingen waar veel mensen toegang hebben tot gevoelige gegevens, zoals de zorg, is het ontbreken van incidentmeldingen zelden een goed teken. Het wijst eerder op beperkte zichtbaarheid of een cultuur waarin melden niet vanzelfsprekend is.

Wat besluitvorming versterkt:

• Rapportages die gericht zijn op risico en afwijking, niet alleen op compliance
• Inzicht in trends, bijvoorbeeld herhaalde toegang buiten de behandelrelatie
• Duidelijke eigenaarschap voor beheer van toegang, controle en opvolging

Informatiebeveiliging krijgt pas bestuurlijke aandacht als duidelijk is wat er op het spel staat.

Reputatie en externe verwachtingen

Patiënten, cliënten en samenwerkingspartners verwachten dat vertrouwelijke gegevens veilig zijn. Dat betekent niet alleen bescherming tegen cyberaanvallen van buitenaf, maar vooral ook tegen onnodige toegang binnen de organisatie zelf.

Ongeoorloofde inzage roept maatschappelijke en juridische vragen op, ook als er geen sprake is van externe verspreiding van gegevens.

De impact van interne toegang zonder noodzaak wordt vaak onderschat. Het leidt tot:

• Verslechterde relatie met patiënten of cliënten
• Toegenomen toezicht van externe partijen
• Interne onrust en verlies van vertrouwen in het management

Een effectieve strategie vereist dus meer dan protocollen. Organisaties moeten aantonen dat controle, preventie en opvolging structureel zijn ingebed.

Blinde vlekken door versnipperde verantwoordelijkheden

Wanneer de verantwoordelijkheid voor toegang verspreid ligt over meerdere afdelingen, ontstaan blinde vlekken. HR registreert functiewijzigingen, IT beheert systemen, leidinggevenden bepalen taken, maar niemand heeft het totaaloverzicht. Hierdoor blijven fouten in toegang of onduidelijkheden over verantwoordelijkheden lang onopgemerkt.

Veelvoorkomende gevolgen van versnippering:

• Toegang blijft bestaan na functiewijziging of vertrek
• Tijdelijke rechten worden nooit ingetrokken
• Onduidelijkheid over wie bevoegd is tot controle en handhaving

Zonder centrale regie is het vrijwel onmogelijk om interne risico’s beheersbaar te houden. Bestuurlijke aansturing is nodig om eigenaarschap helder te beleggen en structurele samenwerking af te dwingen.

Incident als signaal van systeemfalen

Een individueel incident wordt vaak opgevat als persoonlijk falen van een medewerker. In werkelijkheid wijst het meestal op bredere tekortkomingen in processen, toezicht of cultuur. Medewerkers handelen binnen de ruimte die ze ervaren – en die wordt bepaald door de manier waarop beveiliging is georganiseerd.

Een structurele aanpak vraagt dus om reflectie op meerdere niveaus:

• Hoe wordt toegang ingericht, gewijzigd en ingetrokken?
• Waar ligt de functionele toetsing op noodzaak?
• Hoe worden afwijkingen gedetecteerd én opgevolgd?

Wanneer organisaties incidenten alleen disciplinair afhandelen zonder structurele verandering, blijven onderliggende risico’s bestaan. Een incident moet daarom altijd leiden tot een inhoudelijke beoordeling van beleid, uitvoering en cultuur.

2. Informatiebeveiliging is bestuurlijke verantwoordelijkheid

Organisaties kunnen informatiebeveiliging niet overlaten aan een afdeling of projectgroep. Zeker binnen de zorg, waar gegevensbescherming direct verbonden is aan vertrouwen en kwaliteit, vereist het onderwerp structurele bestuurlijke aandacht. Niet als incidentmanagement, maar als vast onderdeel van governance en strategische sturing.

Zodra toegang tot gevoelige informatie niet aantoonbaar gereguleerd is, verschuift het risico naar het hoogste organisatieniveau. Het bestuur is verantwoordelijk voor het opzetten van kaders, verdelen van eigenaarschap en bewaken van naleving. Dit is geen technische aangelegenheid, maar een kwestie van bestuurbaarheid, legitimiteit en continuïteit.

Risico’s beginnen bij onduidelijke kaders

Een organisatie zonder heldere kaders voor informatiebeveiliging loopt structureel achter de feiten aan. Zolang niet vastligt wie verantwoordelijk is voor toezicht, hoe toegang wordt ingericht en wie mag beoordelen wat functioneel noodzakelijk is, ontstaan er situaties die niemand bewust heeft gecreëerd, maar waarvoor wel verantwoording moet worden afgelegd.

Bestuurlijk kader ontbreekt vaak op drie niveaus:

• Geen centrale visie op informatiebeveiliging als kwaliteitsvraagstuk
• Geen structureel overleg over risico’s op toegangsgebied
• Geen duidelijke afspraken over verantwoordelijkheden binnen de lijn

Zonder kader ontstaan versnipperde besluiten, interpretatieverschillen en grijze gebieden waarin incidenten kunnen ontstaan.

Beleid is pas effectief bij zichtbare uitvoering

Beleid op papier is onvoldoende als het niet wordt vertaald naar concrete uitvoering. Dat betekent niet alleen dat het beleid beschikbaar is, maar ook dat het gedragen, toepasbaar en controleerbaar is binnen de organisatie.

Zichtbare uitvoering betekent:

• Medewerkers weten wat van hen wordt verwacht
• Leidinggevenden herkennen en reageren op afwijkingen
• Rapportages maken zichtbaar waar naleving onder druk staat

Bestuurders die informatiebeveiliging serieus nemen, toetsen niet alleen of beleid bestaat, maar of het ook functioneert.

Eigenaarschap moet bestuurlijk worden belegd

Zonder helder eigenaarschap worden beveiligingsmaatregelen niet structureel beheerd. In veel zorgorganisaties ontbreekt een vaste structuur voor periodieke toetsing van toegangsrechten, functiewijzigingen of logcontrole. Daardoor ontstaan risico’s die niet ontstaan uit opzet, maar uit verwaarlozing.

Bestuurlijk eigenaarschap betekent:

• Aanwijzen van functionele verantwoordelijken voor autorisatiebeheer
• Afspraken maken over periodieke evaluatie van risico’s
• Verantwoordelijkheid benoemen voor signalering én opvolging

Eigenaarschap is niet hetzelfde als uitvoering. Het gaat erom wie het risico bestuurt, wie de prioriteit bepaalt en wie aanspreekbaar is op het geheel.

Risicobeheersing vereist strategisch inzicht

Zonder inzicht in risico’s is informatiebeveiliging niet bestuurbaar. Het gaat niet alleen om het identificeren van technische kwetsbaarheden, maar juist om het herkennen van patronen die wijzen op structurele zwakte.

Bestuurders moeten zicht krijgen op:

• Trends in autorisatieproblemen of function creep
• Gegevens over meldingen van ongeoorloofde inzage
• Afwijkingen tussen beoogd en feitelijk gebruik van gegevens

Strategisch inzicht ontstaat pas wanneer beveiliging niet wordt gepresenteerd als technische compliance, maar als managementinformatie.

Besluitvorming moet risico’s kunnen afwegen

Goede besluitvorming vereist dat risico’s rondom informatiebeveiliging expliciet worden meegewogen. Zolang informatie hierover niet wordt ontsloten op bestuursniveau, blijven beslissingen kwetsbaar voor onbewuste aannames.

Informatiebeveiliging moet een structurele plek hebben bij:

• Strategische digitaliseringsbesluiten
• Samenwerking met externe partners
• Toetsing van nieuwe processen of systemen

Het doel is niet om alles te vertragen, maar om beslissingen te nemen met inzicht in wat dat betekent voor gegevensbescherming, aansprakelijkheid en uitvoerbaarheid.

Vertrouwen ontstaat door aantoonbaar sturen

Vertrouwen van patiënten, cliënten, toezichthouders en ketenpartners ontstaat niet alleen door goede intenties, maar door aantoonbare beheersing. Organisaties die transparant kunnen laten zien hoe ze sturing geven aan informatiebeveiliging, bouwen aan geloofwaardigheid.

Aantoonbaar sturen betekent:

• Periodieke rapportages over afwijkingen en maatregelen
• Inzicht in naleving per afdeling of functiegebied
• Heldere escalatie bij signalen van structurele tekortkomingen

Bestuurders die zelf regie nemen op deze elementen, hoeven zich niet alleen te verdedigen ná een incident, maar kunnen actief laten zien dat het onderwerp intern geborgd is.

Toezicht en governance horen bij elkaar

Externe toezichthouders verwachten dat instellingen niet alleen reageren op incidenten, maar ook preventief sturen op informatiebeveiliging. Dat vraagt om governance die verder gaat dan compliance-checks en verplichte registraties.

Effectieve governance:

• Stelt informatiebeveiliging gelijk aan kwaliteit en veiligheid
• Richt zich op risicogestuurd verbeteren in plaats van incidentgedreven reageren
• Integreert beveiligingsvraagstukken in bestaande sturingsstructuren

Zodra informatiebeveiliging onderdeel wordt van het governancegesprek, ontstaat ruimte voor structurele verbetering.

3. NEN 7510 maakt risico’s beheersbaar

Zorgorganisaties functioneren in een complexe omgeving waarin vertrouwelijke gegevens dagelijks worden verwerkt, gedeeld en geraadpleegd. Juist omdat toegang tot informatie essentieel is voor goede zorg, ontstaat het risico dat processen gaan leunen op vertrouwen in plaats van op beheersing. NEN 7510 biedt een raamwerk om die situatie om te keren. Niet door alles te beperken, maar door risico’s beheersbaar te maken via structurele inrichting, toetsbare maatregelen en heldere verantwoordelijkheden.

Organisaties die NEN 7510 als leidraad gebruiken, bouwen aan voorspelbaarheid, transparantie en controle. Dat maakt informatiebeveiliging minder afhankelijk van toevallige aandacht of individuele alertheid, en meer onderdeel van de manier waarop de organisatie werkt.

Voorspelbaarheid in toegangsbeheer

Eén van de grootste risico’s binnen zorginstellingen is het ontbreken van consistentie in toegangsbeheer. NEN 7510 biedt handvatten om dit proces te standaardiseren. Het gaat daarbij niet om technische restrictie, maar om heldere keuzes over wie toegang krijgt, waarom en voor hoe lang.

Een voorspelbaar systeem maakt het mogelijk om:

• Rollen en taken structureel te koppelen aan toegangsrechten
• Tijdelijke toegang automatisch te beperken in duur
• Toetsing in te bouwen bij elke wijziging in functie of locatie

Zonder deze aanpak ontstaat een situatie waarin toegang wordt toegekend op basis van snelheid of aannames, niet op basis van noodzaak of beleid.

Risico’s vertalen naar concrete maatregelen

Waar veel organisaties blijven hangen in het benoemen van risico’s, biedt NEN 7510 een vertaling naar concreet gedrag en operationele borging. Dit helpt om maatregelen niet te beperken tot losse documenten of intenties, maar zichtbaar en toetsbaar te maken in het dagelijkse werkproces.

Voorbeelden van risicobeheersing binnen het normenkader:

• Regelmatige toetsing van autorisaties
• Analyse van inzagepatronen met afwijkingsdetectie
• Duidelijke inrichting van taken, bevoegdheden en controlepunten

Het raamwerk voorkomt dat risico’s een abstract begrip blijven. Elke maatregel binnen NEN 7510 is gekoppeld aan een specifiek risico en een controleerbare uitkomst.

Van incidentreactie naar structurele beheersing

Zonder normgerichte aanpak blijven veel organisaties incidentgedreven opereren. Pas nadat een ongeoorloofde inzage is gemeld, ontstaat aandacht voor het achterliggende proces. NEN 7510 draait dit om: door processen in te richten op preventie, signalering en herstelcapaciteit, wordt de afhankelijkheid van incidentmeldingen kleiner.

Structurele beheersing betekent:

• Afwijkingen signaleren voordat er schade ontstaat
• Herstelacties in gang zetten zonder ad hoc maatregelen
• Periodieke evaluaties inplannen als vast onderdeel van beleid

Deze aanpak maakt het mogelijk om risico’s voor te zijn, in plaats van achteraf te reageren. Dat versterkt de veerkracht van de organisatie.

Richtlijn die toepasbaar blijft in de praktijk

Veel normen blijven steken in abstracte formuleringen, maar NEN 7510 is ontwikkeld vanuit de zorgpraktijk. Daardoor sluiten de uitgangspunten aan bij bestaande structuren, werkwijzen en verantwoordelijkheden.

De standaard laat ruimte voor context, maar dwingt tot keuzes:

• Welke toegang is écht nodig voor een rol?
• Hoe wordt dat gecontroleerd in de tijd?
• Wie beoordeelt of gedrag afwijkt van wat toegestaan is?

NEN 7510 geeft richting zonder te vervallen in bureaucratie. Het resultaat is een norm die toepasbaar blijft, ook in dynamische werkomgevingen zoals spoedzorg of multidisciplinaire samenwerking.

Beheersing als onderdeel van kwaliteitszorg

Informatiebeveiliging wordt vaak los gezien van zorgkwaliteit, terwijl deze twee juist sterk met elkaar verweven zijn. Toegankelijkheid van betrouwbare informatie is essentieel voor veilige en doelmatige zorg. Tegelijkertijd moet die informatie beschermd zijn tegen ongeoorloofd gebruik. NEN 7510 maakt duidelijk dat kwaliteit niet alleen een inhoudelijk of medisch vraagstuk is, maar ook een organisatorisch sturingsvraagstuk.

Beheersing als kwaliteitscomponent betekent:

• Fouten voorkomen door goede inrichting van processen
• Continuïteit van zorg borgen bij verstoringen of incidenten
• Zekerheid bieden aan patiënten over bescherming van hun gegevens

Het werken volgens NEN 7510 draagt bij aan het vergroten van voorspelbaarheid en betrouwbaarheid – twee essentiële kenmerken van kwalitatieve zorgverlening.

Professionalisering van interne processen

NEN 7510 functioneert niet alleen als norm, maar ook als instrument voor professionalisering. Door processen rondom informatiebeveiliging te structureren, ontstaat er ruimte voor verbetering en borging. Organisaties die structureel meten en bijsturen, zijn beter voorbereid op externe toetsing én interne verantwoording.

Deze professionalisering vertaalt zich naar:

• Vaste werkafspraken tussen ICT, HR en lijnverantwoordelijken
• Documentatie die actueel is én wordt gebruikt
• Interne audits die leiden tot verbetermaatregelen in plaats van rapporten alleen

Een volwassen proces betekent minder afhankelijkheid van individuele kennis en meer sturing op systeemniveau.

5. Structurele beveiliging versterkt zorgcontinuïteit

Zorgorganisaties opereren steeds vaker in een netwerk van samenwerkingspartners, digitale platforms en externe leveranciers. Tegelijkertijd neemt de afhankelijkheid van digitale systemen toe. In die context is zorgcontinuïteit niet alleen een vraagstuk van personele bezetting of logistiek, maar ook van informatiebeveiliging. Wanneer gegevens niet beschikbaar zijn, onjuist zijn verwerkt of worden misbruikt, komt de zorgverlening direct onder druk te staan.

NEN 7510 helpt om informatiebeveiliging te verankeren als vast onderdeel van de organisatie-inrichting. Niet als los project, maar als fundament onder de stabiliteit van zorgprocessen. Het resultaat is minder ad hoc herstel, meer voorspelbaarheid en beter bestuurbare samenwerking — ook onder druk.

Voorkom fouten door voorspelbare processen

Zonder duidelijke afspraken over toegang, logging en toezicht ontstaat ruimte voor interpretatie, improvisatie en fouten. In een digitale werkomgeving waar snelheid en informatie-uitwisseling essentieel zijn, leidt dat snel tot onbetrouwbare processen.

NEN 7510 dwingt tot:

• Heldere rollen en verantwoordelijkheden rond gegevensverwerking
• Standaardprocedures voor toegang, wijziging en beëindiging
• Ingebouwde controles om afwijkingen vroegtijdig te signaleren

Door processen voorspelbaar te maken, wordt het risico op menselijke fouten kleiner. Niet alles hoeft gerepareerd te worden als het vooraf goed is ingericht.

Betere behandelkwaliteit door betrouwbare informatie

Kwaliteit van zorg is direct afhankelijk van de beschikbaarheid en betrouwbaarheid van informatie. Behandelbeslissingen die gebaseerd zijn op onvolledige, verouderde of onrechtmatig verkregen gegevens brengen risico’s met zich mee voor patiënt en organisatie.

Een structureel beveiligde omgeving:

• Versterkt het vertrouwen in de juistheid van informatie
• Beperkt toegang tot gegevens tot functioneel noodzakelijke rollen
• Zorgt dat informatie niet wordt gemanipuleerd, overschreven of onbedoeld gedeeld

Zo wordt informatie een stabiele bron, in plaats van een potentiële zwakke plek binnen het zorgproces.

Sneller herstel bij verstoring of datalek

Elke zorgorganisatie krijgt vroeg of laat te maken met een beveiligingsincident, systeemuitval of menselijke fout. Het verschil zit in de voorbereiding. NEN 7510 voorziet in maatregelen om herstel niet te laten afhangen van improvisatie of individueel inzicht.

Wat versneld herstel mogelijk maakt:

• Vaste procedures voor incidentregistratie en opvolging
• Heldere escalatielijnen en verantwoordelijkheden
• Eenduidige documentatie van systemen, rechten en maatregelen

Als deze elementen vooraf zijn ingericht, kan de organisatie sneller schakelen bij een incident — met minder schade voor continuïteit en reputatie.

Vertrouwen in digitale samenwerking vergroten

Samenwerking binnen de zorg verschuift steeds vaker van fysiek naar digitaal. Denk aan regionale gegevensuitwisseling, ketenpartners, thuismonitoring en e-health platforms. Zonder uniform beveiligingsniveau ontstaat het risico dat informatie wordt blootgesteld op het zwakste punt in de keten.

NEN 7510 helpt bij:

• Afspraken maken over beveiligingsniveau en verantwoordelijkheden
• Gelijkwaardige inrichting van toegangsbeheer over organisaties heen
• Beheersing van risico’s bij uitbesteding of cloudtoepassingen

Digitale samenwerking is alleen houdbaar als alle betrokken partijen kunnen vertrouwen op elkaars beveiliging. De norm functioneert hierbij als gezamenlijke taal en toetsingskader.

Minder afhankelijkheid van individueel handelen

Zorginstellingen zijn kwetsbaar wanneer processen sterk leunen op informele afspraken of individuele medewerkers. Wanneer een medewerker vertrekt, ziek wordt of onbedoeld fouten maakt, komt de betrouwbaarheid van gegevens of processen direct in gevaar.

Een gestructureerde aanpak via NEN 7510:

• Zorgt dat kennis en controle niet persoonsafhankelijk zijn
• Legt afspraken vast in beleid en beheerstructuur
• Maakt monitoring mogelijk, los van individueel gedrag

Dit versterkt de organisatie als geheel en vergroot de weerbaarheid bij personele wisselingen of interne onrust.

Investering in beheersing bespaart herstelkosten

Het implementeren van NEN 7510 vraagt tijd, inzet en middelen. Maar deze investering weegt op tegen de kosten van incidenten, onderzoek, reputatieschade en toezicht. Organisaties die pas gaan handelen na een ernstig incident, zijn vaak vele malen meer kwijt aan herstel dan aan structurele preventie.

Voordelen van structurele beheersing:

• Minder kans op onderbreking van zorgprocessen
• Minder druk van toezicht of handhaving
• Minder herstelwerk en herstelcommunicatie richting patiënten

Zorgcontinuïteit vraagt om stabiliteit — niet alleen in de zorg zelf, maar ook in de bescherming van informatie die die zorg ondersteunt.

6. Bestuurlijke acties om informatiebeveiliging te versterken

Informatiebeveiliging is meer dan techniek of compliance. Het raakt aan de manier waarop zorginstellingen omgaan met verantwoordelijkheid, kwaliteit en risicobeheersing.

De norm NEN 7510 biedt houvast, maar vraagt ook om keuzes aan de bestuurstafel. Niet alleen of maatregelen worden genomen, maar vooral hoe deze worden georganiseerd, geborgd en bestuurd.

Zorgorganisaties die willen bouwen aan structurele veiligheid, kunnen starten met de volgende vijf acties:

1. Leg bestuurlijk eigenaarschap expliciet vast

Zorg dat duidelijk is wie eindverantwoordelijk is voor informatiebeveiliging, inclusief de inrichting van toegangsbeheer, monitoring en incidentstructuur. Beleg dit niet op operationeel niveau, maar als integraal onderdeel van governance.

2. Vraag gericht om managementinformatie

Stuur niet alleen maar op individuele incidentmeldingen of losse projecten, maar meer op structurele signalen: trends, afwijkingen, naleving en functioneel gebruik van toegang.

Vraag om rapportages die risico’s zichtbaar maken, niet alleen registraties.

3. Beoordeel jaarlijks het functioneel toegangsbeleid

Zorg dat er jaarlijks bestuurlijke toetsing plaatsvindt van autorisatiemodellen en procedures. Wat technisch mogelijk is, moet functioneel verantwoord blijven.

Veranderende zorgstructuren vereisen herijking van toegang en toezicht.

4. Veranker NEN 7510 in digitaliseringsbeleid

Koppel informatiebeveiliging aan elk digitaliseringstraject. Of het nu gaat om EPD-uitwisseling, patiëntportalen of samenwerking met externe partners: informatiebeveiliging moet onderdeel zijn van het besluit, niet van de nazorg.

5. Verbind kwaliteit, privacy en informatiebeveiliging

Laat deze domeinen niet naast elkaar bestaan, maar organiseer structureel overleg waarin deze thema’s samenkomen. Het gaat om één vraagstuk: veilige, betrouwbare en continue zorgverlening. Investeren in informatiebeveiliging = investeren in kwaliteit van zorg.