In 2022 heeft de Europese Unie de CER-richtlijn (Critical Entities Resilience) ingevoerd, met als doel de weerbaarheid van kritieke organisaties – waaronder zorginstellingen – te verhogen. Deze nieuwe richtlijn stelt voor het eerst specifieke eisen aan de weerbaarheid van de gezondheidszorg en introduceert nieuwe rechten en plichten voor zorgaanbieders. Maar wat betekent dit concreet voor de gezondheidszorg?
Lidstaten van de Europese Unie, waaronder Nederland, moeten de CER-richtlijn voor 17 oktober omzetten in nationale wetgeving. Demissionair minister Justitie en Veiligheid, Yeşilgöz-Zegerius, heeft aangegeven dat Nederland deze deadline niet gaat halen. Het wetsvoorstel wordt dit najaar verwacht, waarna kritieke entiteiten zoals ziekenhuizen, laboratoria en zorginstellingen, worden geselecteerd die aan de richtlijn moeten voldoen. Deze geselecteerde instellingen zullen hun processen moeten evalueren en aanpassen om te voldoen aan de nieuwe eisen. Dit bovenop de al bestaande wet- en regelgeving, stelt zorgaanbieders voor aanzienlijke uitdagingen.
De vier belangrijkste eisen van de CER-richtlijn zijn:
1. Risicobeoordeling (Artikel 12)
Binnen negen maanden na identificatie moeten kritieke entiteiten een risicobeoordeling uitvoeren. Deze beoordeling moet zowel externe als interne risicofactoren in kaart brengen en moet minstens elke vier jaar worden herhaald.
Bij het uitvoeren van deze risicobeoordeling is het belangrijk om niet alleen rekening te houden met externe risico’s zoals natuurrampen, terroristische aanvallen, volksgezondheidscrises en hybride bedreigingen, maar ook met interne risico’s, zoals ICT-uitval, verstoringen in de aanlevering van medische goederen of grootschalige personeelstekorten. Een significant intern risico voor de gezondheidszorg is bijvoorbeeld cybercriminaliteit, die wereldwijd jaarlijks met ongeveer 22 procent toeneemt.
2. Weerbaarheidsmaatregelen (Artikel 13)
Kritieke entiteiten moeten maatregelen nemen om de risico’s, zoals beschreven in Artikel 12, te verminderen. Dit omvat technische, beveiligings- en organisatorische maatregelen voor onder andere incidentpreventie, fysieke beveiliging, incidentbestrijding, herstel, personeelsbeveiliging en bewustwording. Het ontwerpen en implementeren van deze maatregelen vereist expertise, middelen en capaciteit, wat een uitdaging kan zijn voor zorginstellingen vanwege beperkte middelen en financiën. Het is belangrijk dat deze maatregelen passend en duurzaam zijn, om onnodige investeringen te voorkomen.
Een effectieve methode om deze maatregelen te structureren is door het uitvoeren van een Business Impact Analyse. Dit helpt bij het identificeren van de belangrijkste zorgprocessen en het ontwerpen van geschikte maatregelen om de continuïteit van de meest kritieke zorgprocessen te waarborgen tijdens verstoringen.
3. Melden van incidenten binnen 24 uur (Artikel 15)
Incidenten moeten binnen 24 uur worden gemeld aan de bevoegde autoriteit, met informatie over de aard, oorzaak en mogelijke gevolgen. Binnen een maand na ontdekking moet een gedetailleerd incidentrapport worden ingediend.
Dit betekent dat zorginstellingen hun bestaande methoden voor het analyseren en beheren van incidenten moeten herzien. De impact van deze verplichting hangt af van het huidige volwassenheidsniveau van risico- en incidentmanagement van de organisatie. Gezien de bestaande incident- en rapportageprocessen voor AVG-incidenten, wordt verwacht dat zorginstellingen relatief eenvoudig aan Artikel 15 kunnen voldoen.
Zeer waarschijnlijk zullen deze incidenten gemeld worden bij de Inspectie voor de Gezondheidszorg en Jeugd (IGJ), die als toezichthouder toeziet op de kwaliteit en veiligheid van de zorg.
4. Normen (Artikel 16)
Artikel 16 raadt aan om Europese en internationale normen te gebruiken als basis voor het implementeren van weerbaarheidsmaatregelen. Deze normen bieden een gestandaardiseerd kader dat de weerbaarheid van zorginstellingen verbetert en zorgt voor consistentie tussen Europese lidstaten.
Hoewel zorginstellingen momenteel voornamelijk Nederlandse normen zoals de NEN7510 en de NEN8009 gebruiken, bieden internationale standaarden zoals de ISO 22301 voor Business Continuity Management, de ISO 22316 voor een weerbare organisatie, en ASIS-normen een breder perspectief op weerbaarheid. Het is raadzaam voor zorginstellingen om internationale standaarden te omarmen, omdat deze richtlijnen bieden om te voldoen aan de CER.
Gemiste kans
Het is opvallend dat de CER-richtlijn geen expliciete aandacht besteedt aan communicatie als onderdeel van de weerbaarheidsmaatregelen. Een gemiste kans omdat naast de continuïteit van zorg óók de continuïteit van vertrouwen in zorgorganisaties onderdeel is van weerbaarheid. Communicatie is essentieel voor het behouden van het vertrouwen voor, tijdens en na incidenten. Het is aan te raden dit integraal op te nemen in de weerbaarheidsplannen, omdat weerbaar zijn ook inhoudt dat men in staat is om bij incidenten een tijdige en adequate respons te bieden, vergezeld van zorgvuldige en relevante communicatie richting belanghebbenden, zoals patiënten.
Hoe nu verder?
Om voorbereid te zijn op de impact van de richtlijn, moeten zorginstellingen:
- Inventariseren hoe de kaders van de richtlijn zich verhouden tot de huidige staat en governance van weerbaarheid.
- Vast te stellen welke activiteiten (opnieuw) uitgevoerd moeten worden om te voldoen aan de CER-richtlijn.
- De organisatie en processen zo inrichten dat wordt voldaan aan de richtlijn.
Ook zorginstellingen die buiten de reikwijdte van de richtlijn vallen, wordt geadviseerd te investeren in weerbaarheid. Gezien hun maatschappelijke functie is het van groot belang dat ook zij de nodige maatregelen treffen om de weerbaarheid te vergroten en de continuïteit van zorg te waarborgen tijdens een incident of verstoring. Hoewel de CER geen directe eisen stelt aan leveranciers en partners, zullen deze toch aan de richtlijnen moeten voldoen vanwege hun zorgplicht.
Binnen de gezondheidszorg zijn synergievoordelen te behalen, bijvoorbeeld door intensievere samenwerking en informatiedeling over weerbaarheid tussen gelijksoortige zorgorganisaties. Denk aan het gezamenlijk uitvoeren van impactanalyses van generieke zorgprocessen binnen zorggroepen of soortgelijke ziekenhuizen.
De CER-richtlijn hanteert korte doorlooptijden. Na identificatie hebben kritieke entiteiten slechts negen maanden om een risicoanalyse uit te voeren. Het is van belang dat zorginstellingen niet wachten totdat de nieuwe wetgeving volledig is omgezet naar nationale wetgeving, maar nu al voorbereidende maatregelen nemen ter bescherming van de continuïteit van hun primaire processen.
Maurice Fransen is Partner en Future of Health lead bij Deloitte, Jurgen Schot is Senior Manager bij Deloitte.
