Cyberaanvallen bedreigen de zorg: bestuurders aan zet
De digitalisering van de zorg brengt nieuwe risico’s met zich mee. Cyberaanvallen komen steeds vaker voor en de gevolgen kunnen groot zijn voor patiënten en medewerkers. Veel zorgorganisaties zijn hier nog onvoldoende op voorbereid, blijkt uit onderzoek. Een nieuwe Kamerbrief maakt duidelijk dat digitale veiligheid topprioriteit moet krijgen. Bestuurders staan voor de taak om hierop te sturen en de digitale weerbaarheid te verbeteren.
Dreiging neemt toe
Ransomware, datalekken, uitval van systemen: de zorgsector is in toenemende mate doelwit van cyberaanvallen. Niet alleen grote instellingen, maar ook kleinere zorgaanbieders lopen risico. Uit toezicht en onderzoeken blijkt dat veel organisaties nog niet voldoen aan bestaande normen voor informatiebeveiliging. Dit kan ernstige gevolgen hebben. Denk aan het moeten afzeggen van operaties omdat planningssystemen niet werken, of patiëntgegevens die op straat komen te liggen. De impact van dergelijke gebeurtenissen is groot, ook op het imago van de organisaties die het betreft.
Strengere wetgeving op komst
De urgentie wordt onderstreept door nieuwe wetgeving. Zorgorganisaties hebben te maken met aangescherpte Europese en nationale regels, zoals de NIS2-richtlijn en de Cyberbeveiligingswet. De NIS2-richtlijn, die sinds 2024 is omgezet in Nederlandse wetgeving, verplicht essentiële en belangrijke aanbieders, waaronder veel zorginstellingen, om digitale risico’s beter in kaart te brengen, passende beveiligingsmaatregelen te nemen en ernstige incidenten binnen 24 uur te melden.
Ook de Nederlandse Cyberbeveiligingswet, die in 2025 in werking is getreden, stelt hogere eisen. Zo is er een meldplicht voor ernstige cyberincidenten, ook voor sectoren die niet onder de NIS2-richtlijn vallen. Daarnaast hebben toezichthouders zoals de Inspectie Gezondheidszorg en Jeugd meer bevoegdheden gekregen, waaronder het opleggen van hogere boetes en het geven van bindende aanwijzingen om de digitale veiligheid te verbeteren..
Voor zorgorganisaties betekent dit concreet: meer verplichtingen en strenger toezicht. Bestuurders moeten hier proactief mee aan de slag om boetes en andere consequenties te voorkomen. Minister Kuipers waarschuwt dat veel zorginstellingen nog niet klaar zijn voor deze nieuwe wetgeving.
Bestuurders eindverantwoordelijk
In de Kamerbrief is een belangrijke boodschap dat digitale veiligheid een zaak is van de hele organisatie, met bestuurders als eindverantwoordelijken. Van hen wordt verwacht dat zij hier actief op sturen en zorgen dat het onderwerp structureel op de agenda staat. Minister Kuipers: ‘Digitale weerbaarheid is geen bijzaak meer, maar een randvoorwaarde voor goede en veilige zorg.’
Ondersteuning voor de sector
Het ministerie van VWS biedt ondersteuning aan zorginstellingen, onder andere via programma’s, handreikingen en trainingen. Ook wordt ingezet op betere samenwerking en informatie-uitwisseling binnen de sector. Extra aandacht gaat uit naar kleinere zorgaanbieders, die vaak moeite hebben om aan alle eisen te voldoen. Voor hen wordt gekeken naar praktische hulpmiddelen en passende vormen van toezicht.
Aan de slag
De Kamerbrief geeft bestuurders en beleidsmakers een duidelijk signaal. Digitale veiligheid moet een vast thema zijn in de bestuurskamer. Dat betekent sturen op risico’s, mensen en middelen vrijmaken, en digitale weerbaarheid verankeren in beleid en jaarplannen. Daarnaast is samenwerking en kennisuitwisseling binnen de sector cruciaal om de cyberdreiging het hoofd te bieden.
De volledige Kamerbrief over digitale weerbaarheid in de zorg en de bestuurdersbrief over informatiebeveiliging zijn te vinden op de website van de Rijksoverheid. Bestuurders en beleidsmakers kunnen hier meer achtergrond en details vinden over de maatregelen en verwachtingen vanuit het ministerie.
Het is duidelijk: digitale veiligheid vraagt om actie en leiderschap. Bestuurders hebben hierin een sleutelrol. Want alleen met gezamenlijke inzet kan de zorg weerbaar worden tegen de toenemende cyberdreiging.