De recente labhack laat zien dat de zorgsector hardnekkige problemen heeft met informatiebeveiliging. ‘Zonder autonomie zullen instellingen achter de feiten blijven aanlopen, ongeacht hoeveel vinkjes er op de compliance-checklist staan.’ Deel 8 van de serie over informatiebeveiliging in de zorg. De ransomware-hack bij Clinical Diagnostics, een Nederlandse dochter van Eurofins, waarbij vertrouwelijke gegevens van honderdduizenden Nederlanders werden gestolen, was schokkend maar niet verrassend. ‘De zorgsector is al jaren koploper in datalekken, met bijna zevenduizend meldingen in 2024, volgens de Autoriteit Persoonsgegevens,’ weet Pim Kerstens, director Healthcare bij Uniserver, de Nederlandse provider van soevereine clouds aan onder andere gemeenten en de zorgsector. Hij praat met Computable over het probleem dat de zorgsector heeft met informatiebeveiliging. ‘Ondanks de vele regels en standaarden – AVG, NEN7510, NIS2 – blijft de praktijk weerbarstig: beveiligingsincidenten stapelen zich op. Die regels zijn essentieel, maar hebben één grote beperking: ze zijn vaak reactief. Een protocol of norm beschermt niet als de basisinfrastructuur versnipperd is of verantwoordelijkheden onduidelijk zijn.’Wat zijn de grootste cybersecurity-zorgen van de zorg?‘Bij de labhack zagen we hoe dat misgaat: waarschuwingen werden te laat opgepikt, de meldplicht niet nageleefd en pas na weken kwam er duidelijkheid over de omvang. In een sector waar vertrouwen en privacy cruciaal zijn, is dat desastreus. De zorg kampt als sector met een hardnekkige mix van kwetsbaarheden die de impact van hacks en datagijzeling vergroten:Fragmentatie: systemen zijn in de loop der jaren ad hoc aan elkaar geknoopt, vaak zonder structurele architectuur;Verkeerde risico-analyses, of zelfs het ontbreken ervan;Schijnveiligheid: gegevens zijn weliswaar in Europa opgeslagen, maar vallen soms toch onder buitenlandse wetgeving;Onduidelijke verantwoordelijkheden: wie monitort afwijkend gebruik? Wie neemt beslissingen bij een incident?;Menselijke fouten: doordat processen niet sluitend zijn en monitoring tekortschiet.Veel van deze ellende is te ondervangen met meer digitale autonomie: de mogelijkheid om zélf te bepalen waar gegevens staan, wie er toegang toe heeft en hoe technologie wordt ingezet.’Wat had het getroffen lab of het moederbedrijf kunnen doen of eisen om binnen de bestaande omgeving autonomer te zijn?‘Het getroffen lab of het moederbedrijf had binnen de bestaande omgeving verschillende maatregelen kunnen nemen om meer digitale autonomie te bereiken en de impact van een datalek te beperken’:Ze hadden kunnen eisen dat data altijd centraal en gecontroleerd worden opgeslagen, zodat toegang en gebruik volledig inzichtelijk zijn;Strikte toegangscontrole (rbac) en multi-factor-authenticatie hadden de kans op ongeautoriseerde toegang verkleind;Ook had real-time monitoring van afwijkend datagebruik kunnen zorgen dat incidenten binnen minuten in plaats van weken worden opgemerkt;Duidelijke rollen en verantwoordelijkheden tussen bestuur, it en leveranciers hadden snelle besluitvorming mogelijk gemaakt bij een incident;Tot slot had men eisen kunnen stellen aan leveranciers, zoals dat data binnen Europese jurisdictie blijven en dat er transparantie is over hun informatiebeveiligingsmaatregelen. Zo blijft een organisatie regie houden, zelfs binnen bestaande systemen.Hoe kunnen zorgorganisaties, van huisartspraktijk tot Bevolkingsonderzoek, nú al pro-actiever en autonomer worden?‘Door hun digitale regie actief te versterken. Ze kunnen beginnen met het centraal beheren van patiënt- en onderzoeksdata, waarbij duidelijk wordt wie toegang heeft en welke activiteiten worden gelogd. Real-time monitoring en automatische waarschuwingen bij afwijkend gebruik (xdr) zorgen ervoor dat incidenten direct worden gesignaleerd. Duidelijke rollen en verantwoordelijkheden tussen bestuur, it en leveranciers versnellen besluitvorming bij problemen. Ook is het cruciaal om leveranciers te verplichten data binnen Europese jurisdictie te houden en transparante beveiligingsmaatregelen te hanteren.’‘Regelmatige risicoanalyses en scenario-oefeningen helpen zwakke plekken vroegtijdig te identificeren. Door deze maatregelen te combineren, beperken zorginstellingen niet alleen de kans op datalekken, maar behouden ze ook vertrouwen van patiënten en partners, terwijl ze wendbaarder reageren op onverwachte incidenten.’Op welke wijze kunnen regels en regelgevende instanties pro-actiever zijn om de informatiebeveiliging – vooral bij de zorg – te vergroten?‘Toezichthouders kunnen informatiebeveiliging in de zorg versterken door verder te gaan dan naleving en audits. Preventieve standaarden rond real-time monitoring, snelle incidentrespons en digitale autonomie bieden meer bescherming dan alleen documentatie. Praktische hulpmiddelen, zoals scenario-oefeningen en handvatten, helpen zorginstellingen zich beter voor te bereiden op datalekken en cyberaanvallen. Centrale meldpunten en het delen van dreigingsinformatie versnellen kennisuitwisseling en vergroten het sectorbrede bewustzijn.Daarnaast is transparantie van leveranciers essentieel: zij moeten inzicht geven in hun informatiebeveiligingsmaatregelen en data binnen de Europese jurisdictie bewaren. Ook duidelijke governance en verantwoordelijke functies zorgen ervoor dat instellingen meer grip krijgen op hun systemen en incidenten beter kunnen beperken. Tot slot kunnen zorgorganisaties risico’s verkleinen door minder gevoelige data, zoals bsn’s, op te slaan en in plaats daarvan interne patiëntnummers te gebruiken.’Organisaties zijn geen eiland. Ze zijn afhankelijk van applicatieleveranciers en van de eisen van organisaties met wie ze bijvoorbeeld gegevens uitwisselen. Hoe autonoom kan je dan zijn?‘Organisaties zijn inderdaad nooit volledig zelfstandig; ze zijn afhankelijk van applicatieleveranciers, externe partners en wettelijke eisen. Toch is digitale autonomie binnen deze context wel mogelijk door bewuste keuzes en regie. Zo kan een organisatie eisen dat leveranciers transparant zijn over hun beveiligingsmaatregelen, dat data binnen Europese jurisdictie blijven en dat toegang en gebruik duidelijk gelogd worden. Bij gegevensuitwisseling kunnen standaarden en protocollen worden afgesproken die veiligheid en controle garanderen. Ook kan men interne processen en verantwoordelijkheden zo inrichten dat afwijkend gebruik van data of afwijkende verzoeken aan de applicatie direct worden opgemerkt, ongeacht externe systemen.’‘Autonomie betekent hier niet absolute onafhankelijkheid, maar het behouden van controle over waar data staan, wie en hoe er toegang toe heeft en hoe incidenten worden beheerd. Zo kan een zorgorganisatie snel reageren en schade beperken, zelfs binnen een netwerk van leveranciers en partners.’Digitale autonomie en digitale soevereiniteit: is er een verschil?‘Ja, er is een subtiel maar belangrijk verschil tussen digitale autonomie en digitale soevereiniteit. Digitale autonomie gaat over de praktische regie die een organisatie heeft over haar data en systemen: waar gegevens staan, wie er toegang toe heeft en hoe incidenten worden beheerd. Het is vooral operationeel en intern gericht, gericht op snelle detectie en respons bij afwijkend gebruik. Digitale soevereiniteit daarentegen heeft een meer strategisch en juridisch karakter: het gaat om controle over data in relatie tot externe partijen en wetgeving, bijvoorbeeld dat data binnen de eigen jurisdictie blijven en niet wordt onderworpen aan buitenlandse wetten.’‘Autonomie is een voorwaarde voor soevereiniteit; je kunt alleen soeverein zijn als je intern de regie hebt. In de zorg betekent dit dat beide nodig zijn: autonomie beperkt direct risico, terwijl soevereiniteit bescherming biedt tegen externe dreigingen en juridische complicaties.’Wat heeft de zorg aan méér digitale autonomie?‘In de praktijk betekent zulke digitale autonomie dat afwijkend gebruik van data binnen minuten wordt gedetecteerd in plaats van weken later. Het betekent dat de verantwoordelijkheden glashelder zijn tussen bestuurders, it en leveranciers. En het betekent dat zorginstellingen niet afhankelijk zijn van leveranciers of wetgeving buiten Europa.’‘Het is belangrijk te erkennen: een hack kan altijd gebeuren. Maar de impact ervan wordt bepaald door de mate van regie die je hebt. Met een vergrote mate van digitale autonomie beperk je de schade en behoud je het vertrouwen. Door te investeren in digitale autonomie, versterken we zowel de veiligheid als de wendbaarheid van onze zorg. Zonder autonomie zullen instellingen achter de feiten blijven aanlopen, ongeacht hoeveel vinkjes er op de compliance-checklist staan.’De andere delen van deze serie over informatiebeveiliging in de zorg zijn hier te vinden.
computable
24-09-2025 17:00