Informatiebeveiliging in de zorg: waarom het beter moet

De ransomwareaanval op Clinical Diagnostics, waarbij vertrouwelijke gegevens van zo’n miljoen Nederlanders werd geroofd, legt pijnlijk bloot hoe versnipperde systemen, onduidelijke verantwoordelijkheden en gebrekkige naleving de zorgsector kwetsbaar maken. Hoe kan en moet het beter? Dit is het negende en laatste deel van de Computable-serie over informatiebeveiliging in de zorg. De omvangrijke datadiefstal bij Clinical Diagnostics Nederland heeft de discussie over informatiebeveiliging in de zorg opnieuw op scherp gezet. De wettelijke normen NEN 7510 en NEN 7512 moeten waarborgen dat persoonsgegevens veilig worden verwerkt en uitgewisseld. Om dat nog sterker te laten zijn, kunnen organisaties zich daarvoor laten certificeren.Uit gesprekken die Computable had met betrokken partijen – van toezichthouders en normontwikkelaars tot zorgaanbieders en juristen – blijkt dat naleving, toezicht en verantwoordelijkheden vaak diffuus zijn. Of zoals Z-Cert, het expertisecentrum voor cybersecurity in de zorg, het verwoordt: ‘Wij zijn de aangewezen Cert (Computer Emergency Response Team – red.) voor de gehele zorgsector, maar hebben nog geen wettelijk mandaat om partijen te dwingen tot actie.’ Hieronder het overzicht van alle acht gesprekken.Z-CertT over normen en zorgplichtDe datadiefstal toont hoe belangrijk NEN 7510 en NEN 7512 zijn voor zorgorganisaties. Alle zorgaanbieders die persoonsgegevens verwerken moeten aantoonbaar voldoen aan deze normen. Certificering is niet verplicht, maar maakt de aantoonbaarheid eenvoudiger. ‘Aantoonbaar betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit’, aldus Z-Cert bij monde van woordvoerder Tim Heijltjes.NEN 7510 sluit aan bij internationale standaarden zoals ISO27000 en geeft invulling aan de zorgplicht uit NIS2. Ook leveranciers van medische hulpmiddelen en farmaceutische producten zullen vallen onder de nieuwe Cyberbeveiligingswet. De hack laat echter zien dat naleving in de praktijk vaak tekortschiet. Want hoewel Z-Cert de aangewezen Cert is voor de gehele zorgsector, was geen enkel lab van Eurofins daar deelnemer van.NEN over certificering en auditsNEN ontwikkelt de normen en certificatieschema’s, maar de verantwoordelijkheid voor implementatie ligt bij de zorgorganisaties zelf. Certificering onder accreditatie biedt zekerheid dat een organisatie daadwerkelijk voldoet, maar is wettelijk niet verplicht. Onafhankelijke audits zijn wel verplicht en moeten de werking van het informatiebeveiligingsmanagementsysteem toetsen.‘De wetgever stelt dat er aantoonbaar aan voldaan moet worden, maar geeft daar geen duidelijke handvatten voor’, zegt Irma Timmerman, woordvoerster van NEN. In mei 2025 waren 920 organisaties gecertificeerd, waarvan 191 zorginstellingen en 729 leveranciers. Naast NEN 7510 is ook NEN 7512 verplicht. Dat richt zich specifiek op veilige gegevensuitwisseling en verplicht aansluiting bij een erkende Cert.Bevolkingsonderzoek Nederland over datadelingBevolkingsonderzoek Nederland, BVO NL, deelde gegevens van bijna een miljoen Nederlanders met het gehackte lab. Van minstens 715.000 personen zijn gevoelige gegevens buitgemaakt, waaronder bsn en testresultaten. De instantie stelt dat de beveiliging contractueel was vastgelegd en gecontroleerd.‘Wij delen de gegevens die noodzakelijk zijn voor het uitvoeren van de tests met het lab’, meldt Elma van der Vlis namens Bevolkingsonderzoek Nederland. Ze benadrukt dat de gegevensuitwisseling voldoet aan wet- en regelgeving, maar onderzoekt hoe de hack en de datadiefstal konden plaatsvinden. Het incident laat zien hoe kwetsbaar ketensamenwerking is, zelfs met formele afspraken en aanbestedingsprocedures.IGJ over toezichtDe Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op naleving van NEN 7510 en 7512. Zorgaanbieders moeten aantonen dat hun informatiebeveiliging werkt en beschikken over een onafhankelijke beoordeling. Certificering is niet verplicht, maar kan dienen als bewijs.‘Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm’, licht Karly Tánczos toe. Volgens de woordvoerster van de IGJ moeten rapporten inzicht geven in beleid, processen en bewijsvoering. De IGJ werkt niet samen met certificerende instellingen, maar accepteert hun rapporten wel als onafhankelijke beoordeling.Inmiddels zijn er tien door de Raad voor Accreditatie goed bevonden certificerende instellingen voor NEN 7510. Die hebben in het register van NEN bijna de helft van de gecertificeerde zorgorganisaties, zo’n 450, aangemeld. Nederland telt echter duizenden zorgorganisaties. Van de 35 Nederlandse Eurofins-dochters is er daar geen een geregistreerd.Eurofins over cybersecurityClinical Diagnostics Nederland is een dochter van het beursgenoteerde miljardenbedrijf Eurofins. Dat had toen 63.000 werknemers en meer dan 950 laboratoria in meer dan zestig landen. In Nederland had het 35 vestigingen, veelal bv’s, ongeveer de helft daarvan labs. De beursreus zegt te investeren in cybersecurity, maar wil of kan weinig details geven over de aanval. Vooral de lange duur tussen ontdekking van de aanval en melding daarvan door het bedrijf is bij velen verkeerd gevallen.‘Wij vinden het afschuwelijk dat dit incident heeft plaatsgevonden en beseffen dat dit bij betrokkenen zorgen en vragen oproept’, verklaart Maureen Veurman, die als woordvoerst van Eurofins’ dochter optreedt. Het bewaren van uitgebreide datasets, inclusief bsn, wordt gerechtvaardigd met wettelijke bewaarplichten. Voor zover bekend zijn gegevens alleen ingezien en gekopieerd, niet gewijzigd. Toch blijft de beperkte transparantie van Eurofins vragen oproepen over verantwoordelijkheid en beveiliging.Advocatuur over aansprakelijkheid en schadeclaimsDe hack kan gaan leiden tot schadeclaims van in totaal wel 125 miljoen euro. Normaal is alleen het lab aansprakelijk, maar ook Eurofins of Bevolkingsonderzoek Nederland kunnen medeaansprakelijk zijn bij gezamenlijke verantwoordelijkheid of nalatigheid. Ook de bestuurders zijn aansprakelijk te stellen bij wanbeleid of onvoldoende beveiligingsmaatregelen.‘Normaal gesproken is alleen de onderliggende bv aansprakelijk. Er zijn echter uitzonderingen denkbaar’, aldus Stephan Mulders, advocaat bij Blenheim. Claims zijn juridisch complex en lastig te bewijzen, zeker waar het gaat om de verhouding tussen NEN-normen en de AVG. Artikel 32 daarvan verplicht verwerkingsverantwoordelijken tot het nemen van ‘passende maatregelen’ om persoonsgegevens te beveiligen. Omdat het laboratorium zeer gevoelige gegevens verwerkte, mocht een hoog beveiligingsniveau worden verwacht.Cloud provider over digitale autonomie in de zorgDe zorgsector kampt structureel met datalekken en bijna zevenduizend meldingen in 2024. Digitale autonomie kan instellingen helpen sneller te reageren en de impact van incidenten te beperken. Maatregelen zoals centrale opslag, strikte toegangscontrole, real-time monitoring en duidelijke governance vergroten de weerbaarheid.‘Zonder autonomie zullen instellingen achter de feiten blijven aanlopen, ongeacht hoeveel vinkjes er op de compliance-checklist staan,’ aldus Pim Kerstens, director Healthcare bij Uniserver, een Nederlandse provider van soevereine cloud voor onder andere de zorg. Leveranciers moeten transparant zijn en data binnen Europese jurisdictie houden om vertrouwen te behouden. Autonomie en soevereiniteit zijn daarmee geen luxe, maar randvoorwaarden voor vertrouwen in de zorg.Hoe nu verder?Wat zeiden de onafhankelijk audits bij het lab? Waarom had Eurofins de zaak niet op orde? Het was immers niet de eerste keer dat dit ze is overkomen. Het lab had nota bene op de website gezet dat het niet is gecertificeerd voor de minimale normen. Waarom ging het Bevolkingsregister dan toch met ze in zee? En hoe kan het dat de bsn-gegevens en het bsn zelf gezamenlijk waren opgeslagen? De kracht van het bsn als sleutel ging zo verloren en een miljoen Nederlanders en zorgorganisaties moeten daarom de komende jaren elke zorgmail of -app behandelen als phishing.Als alle forensische onderzoeken zijn afgerond, krijgen we hopelijk een antwoord op die prangende vragen. Hoe dan ook, deze Computable-serie maakt duidelijk dat informatiebeveiliging in de zorg niet alleen een kwestie is van voldoen aan normen of certificaten. Het gaat om meer dan lijstjes afvinken. Het gaat om structurele verantwoordelijkheid, transparantie en regie over data. Zonder heldere afspraken, onafhankelijke toetsing en meer digitale autonomie blijven zorgorganisaties kwetsbaar. De hack bij Eurofins is daarmee niet alleen een incident, maar een signaal dat de sector fundamenteel moet investeren in weerbaarheid en vertrouwen.