Mede door een datalek bij Bevolkingsonderzoek Nederland staat cyberveiligheid weer op de kaart in de zorg. De nieuwe wet NIS2 zorgt er bovendien voor dat zorgbestuurders met dit thema aan de slag moeten. Dirk de Wit van Philips en Ronald Westerveen van het Prinses Máxima Centrum voor kinderoncologie vinden dat je verder moet kijken dan de wettelijke plichten.

Zorgaanbieders moeten aan steeds meer eisen voor cyberbeveiliging voldoen, zoals de NEN7510-norm. Vanaf het tweede kwartaal 2026 komt daar de Cyberbeveiligingswet, NIS2, nog bij. Deze geldt voor organisaties met meer dan 50 medewerkers en een omzet boven 10 miljoen euro. Voor wie daaronder valt, is deze wet allesbehalve vrijblijvend. Omdat de zorgsector als essentieel wordt gezien, zullen spelers in de zorg worden gecontroleerd of ze eraan voldoen. Head of product security bij Philips Dirk de Wit legt uit dat de wet diverse verplichtingen kent, zoals registratie bij het Nationaal Cyber Security Centrum, risicoanalyse, incidentmelding binnen 24 uur en training van bestuurders. “Iedere zorgbestuurder moet getraind zijn in cybersecurity en dat ook onderhouden.” De zorgsector is nog niet klaar voor de nieuwe normen en wet, denkt chief information security officer bij het Prinses Máxima Centrum voor kinderoncologie Ronald Westerveen. Regels en normen zijn fijn, vindt hij, maar het allerbelangrijkste is dat jij je bewust bent van de gevaren en je daartegen beschermt. Ook zonder wettelijke verplichtingen moet iedereen in de zorg beseffen dat hij of zij met kwetsbare informatie werkt, vindt Westerveen. “Gezondheidsgegevens zijn belachelijk veel waard. Hackers kunnen er veel mee doen.” Zo kunnen ze patiënten afpersen of zelfs een identiteit overnemen.

Filteren

De cyberbeveiligingswet NIS2 dwingt ook om scherp te zijn op ketenpartners. Iedere speler in de keten heeft de verantwoordelijkheid om zijn toeleveranciers te controleren, stelt De Wit van Philips. “Daarover maken wij duidelijke contractuele afspraken met toeleveranciers. Het belangrijkste is dat zij ons over kwetsbaarheden zo snel mogelijk informeren, zodat we direct kunnen acteren.” Philips, trekt in de rol van leverancier alles uit de kast om de door hen geleverde medische apparaten te beveiligen. Zo monitoren ze bedreigingen en analyseren ze kwetsbaarheden. Zodra een kwetsbaarheid kritisch is – bijvoorbeeld omdat hackers door lagen van beveiliging breken – informeert Philips hun klanten hierover. Al die meldingen van kwetsbaarheden stelt Westerveen voor uitdagingen. “Bij het Prinses Máxima Centrum ontvangen we tientallen meldingen per maand over kleine kwetsbaarheden.” Volgens Westerveen levert het wettelijk verplicht melden van elk incident echter weinig op. “We kunnen de meldingen nauwelijks verwerken, waardoor er een risico dreigt dat belangrijke signalen over het hoofd worden gezien.” Westerveen is met diverse partijen in gesprek om meldingen vaker te filteren, zodat alleen doorsijpelt wat werkelijk moet leiden tot actie. De Wit: “Het draait om de samenwerking in de keten. Je moet samen nagaan wat de werkelijke risico’s zijn en die zoveel mogelijk beperken.”

Tussen de oren

Medische apparaten kunnen kwetsbaar zijn voor aanvallen omdat ze vaak relatief lang meegaan.

Deze versturen we 3-4x per jaar.