De zorgsector gebruikt steeds meer digitale systemen en technologie. Dat brengt behalve kansen om de zorg toegankelijk te houden ook risico’s met zich mee, vooral op gebieden zoals privacy, ethiek (denk aan de inzet van AI) en cybersecurity. Op dit laatste gebied is betere weerbaarheid cruciaal om de continuïteit en de kwaliteit van zorg te kunnen blijven waarborgen, zo stelde Marcel Floor, MT-lid bij de Directie Informatiebeleid van VWS, in een recente editie van ICT&health.
Floor is blij dat cyberweerbaarheid – een breder begrip dan alleen cybersecurity – steeds vaker steeds hoger op de agenda staat van zorgaanbieders. "Maar wat mij betreft gaat dit niet alleen over de technische infrastructuur van zorgaanbieders. Het gaat over ons allemaal. Als digitale voordeuren niet goed worden beveiligd en het gaat mis, dan raakt het iedereen en dus ook de continuïteit van de zorg.”
Digitale weerbaarheid
Digitale weerbaarheid gaat verder dan alleen een goede firewall, of 24/7 monitoring van je systemen. Het betreft ook te ‘preventie’ door mensen beter te trainen in het herkennen van malware zoals phishing. Het gaat over de vraag hoe snel je je als organisatie kan herstellen na een cyberaanval. Dus is het belangrijk om te investeren in bewustwording, processen, gedrag en technologie.
“We liggen permanent onder vuur in de digitale wereld, ook in de zorg”, benadrukt Floor. “Dat vraagt in de eerste plaats om het vergroten van de bewustwording hiervan. Vanuit het ministerie proberen we die bewustwording te vergroten, bijvoorbeeld via webinars en bezoeken op locatie. Van topklinische zorg tot de individueel vrijgevestigde zorgverlener: allemaal willen we ze attenderen op het belang van het organiseren van een goede digitale weerbaarheid.”
Op orde krijgen en houden
Volgens Floor zijn er minstens twee zaken die organisaties helpen om planmatig hun weerbaarheid op orde te krijgen én te houden. Zo wordt in de tweede helft van 2025 de Network and Information Security directive, ook wel de NIS2 genoemd, van kracht. Deze richtlijn, vastgesteld door de Europese Unie, is bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn richt zich op risico's die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico's.
"De NIS2 is de opvolger van de NIS1”, legt Floor uit. “In de vorige richtlijn was de sector zorg in Nederland geen onderdeel van de wetgeving, omdat de zorg geen vitale sector zou zijn. Niets is minder waar. De zorg is juist een speelveld waarin (internationaal) steeds meer gegevens worden uitgewisseld."
Doel van NEN7510
Floor doelt verder op de NEN7510, de norm voor informatiebeveiliging in de zorg. Hierin staat hoe organisaties in de zorg hun informatiebeveiliging moeten inrichten. In januari van dit jaar heeft de organisatie NEN tijdens het NEN-congres het eerste exemplaar van de herziene NEN7510 overhandigd aan VWS, waarbij de norm is aangepast om beter aan te sluiten op nieuwe dreigingen, technologische ontwikkelingen en wetgeving.
“De herziene NEN7510 is een goede basis voor zorgorganisaties om te voldoen aan de eisen van NIS2. Maar dat is echt niet toereikend. Zorgorganisaties moeten extra stappen gaan zetten om aan de NIS2-richtlijn te kunnen voldoen.” Zo moet de governance- structuur van organisaties glashelder zijn en incidentmeldingen worden geformaliseerd. Ook moeten bestuurders zorgen dat ze jaarlijks getraind worden op het gebied van digitale weerbaarheid en cybersecurity, en moet duidelijk zijn dat digitale weerbaarheid ook een ketenvraagstuk is, niet alleen van afzonderlijke organisaties.
Het artikel met Marcel Floor gemist? Lees het terug in editie 1 van ICT&health, of in ons online magazine.
