Er is geen sector waar soepele toegang tot data en systemen zo van (levens)belang is als de zorgsector. Tegelijkertijd kan dat een extra kwetsbaarheid zijn rondom dataveiligheid. De recente Odido-hack waarschuwt de zorgsector: kwetsbare (cliënt)data vragen extra sterke informatiebeveiliging. Het voldoen aan veldnormen zoals NEN7510 is daarbij een fundament. De opkomende wetgeving benadrukt die bestuurlijke verantwoordelijkheid en de noodzaak tot regie. Regie op wat?
Als één account het systeem onderuithaalt
Wat ging er mis bij Odido? Criminelen stuurden overtuigende phishingmails en deden zich telefonisch voor als IT-helpdesk om multifactorauthenticatie te omzeilen. Zo kregen zij toegang tot het klantensysteem en werden gegevens van 6,2 miljoen klanten buitgemaakt; daarna verscheen een groot deel online. Met het datalek bij Clinical Diagnostics nog vers in het geheugen is de parallel met de zorg onmiskenbaar. Eén gecompromitteerd account of één zwakke schakel in de keten kan uitgroeien tot een maatschappelijk incident dat het vertrouwen én de continuïteit raakt.
Van IT-vraag naar bestuurlijke aangelegenheid
Cyberweerbaarheid staat dan ook niet op de schouders van de IT-afdeling. Het is een vraagstuk van zorgcontinuïteit en bestuurlijke verantwoordelijkheid, een realiteit die verder wordt versterkt door de komst van de Cyberbeveiligingswet. Welke lessen kan de zorgsector trekken uit recente hacks en welke handelingsperspectieven helpen bestuurders om meer regie te krijgen op dit thema?
De drie patronen in digitale dreigingen
Het recent verschenen rapport Cybersecuritybeeld Zorg 2025 van Z-CERT, het expertisecentrum voor cybersecurity in de zorg, schetst een duidelijk beeld van de belangrijkste digitale dreigingen voor de sector. Drie patronen springen eruit.
- Ransomware en datadiefstal blijven de dominante dreiging
Aanvallers richten zich op gevoelige informatie om organisaties onder druk te zetten, waarbij juist ook kleinere organisaties vaak doelwit zijn. De impact is groot: hersteltijd loopt van weken tot maanden, kosten bedragen gemiddeld rond 1 miljoen dollar en gestolen data worden regelmatig openbaar gemaakt. Voor bestuurders is cyberweerbaarheid daarmee geen vrijblijvende keuze meer, maar een verantwoordelijkheid: datadiefstal en uitval van zorgsystemen zijn een reëel en waarschijnlijk scenario.
- Leveranciers; een aantrekkelijk doelwit
Cybercriminelen richten zich steeds vaker op leveranciers omdat één succesvolle aanval direct meerdere organisaties kan raken. Het datalek bij Clinical Diagnostics – waar persoonsgegevens van circa 850.000 mensen zijn buitgemaakt laat zien dat kwetsbaarheden in de keten grote maatschappelijke gevolgen kunnen hebben.
- De eerste toegang: via phishing of gestolen accounts
Veel aanvallen beginnen relatief eenvoudig via phishing of telefonische misleiding. In de Odido-hack leidde dit tot directe toegang tot het CRM, waar gevoelige klantgegevens in één keer beschikbaar waren. Zodra een aanvaller binnen is, verschuift het risico: niet het binnendringen zelf bepaalt de schade, maar de tijd die iemand ongemerkt kan rondkijken. In die periode kunnen grote hoeveelheden gegevens worden ingezien, verzameld of weggesluisd voordat er enige alarmbel afgaat. Dit betekent: niet alleen voorkomen dat iemand binnenkomt, maar ook zorgen dat ongebruikelijke toegang en datastromen snel worden herkend en automatisch worden begrensd, zodat de kans op langdurige, onzichtbare toegang zo laag mogelijk wordt.
Samen laten deze dreigingen een terugkerend patroon zien: cyberincidenten ontstaan zelden door één technische kwetsbaarheid. Ze ontstaan vaak op drie plekken tegelijk: menselijk handelen, toegangsbeheer en afhankelijkheid van leveranciers.
Waar start bestuurlijke regie?
Met de komst van de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, wordt digitale weerbaarheid nadrukkelijk een bestuurlijke verantwoordelijkheid. Organisaties moeten niet alleen op maatregelen sturen, maar ook aantoonbaar sturen op risico’s, governance en continuïteit. In een sector waar NEN‑7510 is uitgegroeid tot een license‑to‑operate, gaat het voor bestuurders om de vraag of en hoe informatiebeveiliging aantoonbaar is geborgd.
Voor bestuurders helpt het om cyberrisico’s terug te brengen tot drie focusgebieden waar vrijwel elk groot incident begint: mens, toegang en keten.
De mens – risicobewust?
De eerste toegang tot systemen ontstaat vaak via social engineering. Cyberweerbaarheid begint daarom bij gedrag: herkennen medewerkers verdachte situaties en weten zij hoe te handelen? Daarbij gaat het niet alleen om training, maar om de vraag of cyberbewustzijn daadwerkelijk onderdeel is van de organisatiecultuur.
De toegang – rollen, rechten en doorlopend zicht op datagebruik
De impact van een incident wordt uiteindelijk bepaald door wat een gecompromitteerd account kan doen. Goed toegangsbeheer gaat daarom verder dan authenticatie alleen. Het vraagt om begrenzing van rechten, controle op datastromen en detectie van ongebruikelijke data-extracties. De vraag is daarmee niet alleen wie toegang heeft, maar ook: hebben we zicht op wat er met data gebeurt nadat iemand binnen is?
De keten – regie, ook buiten de eigen organisatie
De digitale infrastructuur van zorgorganisaties strekt zich ver uit buiten de eigen muren. Veel systemen en data lopen via leveranciers en technologiepartners. Dat maakt ketenregie een essentieel onderdeel van cyberweerbaarheid.
Van bestuurlijk bewustzijn naar bestuurlijke regie
Veel zorgorganisaties investeren in informatiebeveiliging en awareness. De bestuurlijke uitdaging ligt daarom minder in nieuwe maatregelen, maar in het creëren van bestuurlijke regie op digitale risico’s. Regie op cyberweerbaarheid begint bij het besef dat digitale continuïteit onlosmakelijk verbonden is met zorgcontinuïteit. Besluiten over cloud, data, SaaS en medische technologie zijn daarmee geen technische keuzes, maar strategische besluiten die raken aan risico’s, betrouwbaarheid en het vermogen om zorg te blijven leveren.
Bestuurlijke verantwoordelijkheid stopt dus duidelijk niet bij beleid. Door regelmatig realistische scenario’s te oefenen wordt zichtbaar wie wanneer moet besluiten en hoe zorgprocessen doorgaan bij digitale verstoring. Tegelijk is een kritische blik op datatoegang en -gebruik belangrijk. ‘Nee, tenzij’ bepaalt óf toegang mag worden verleend; ‘least privilege’ bepaalt hoeveel toegang wordt gegeven. Medewerkers hebben geen standaard brede toegang tot systemen of data. Toegang tot data is rolgebonden, beperkt in scope en bij voorkeur tijdelijk. Door datatoegang strikt te begrenzen en actief te bewaken blijven incidenten beter beheersbaar. Die regie stopt niet bij de eigen organisatie: ook leveranciers en ketenpartners moeten expliciet worden meegenomen. Alleen zo krijgt het bestuur daadwerkelijk grip op digitale risico’s die de continuïteit en het vertrouwen in de zorg raken.
Cyberweerbaarheid is helaas geen verzekering tegen incidenten; wél het verschil tussen afgewogen beheersing en potentiële ontwrichting. Voorzorgsmaatregelen gedijen in een professionele cultuur. Als u meer wilt weten over die professionele ijkpunten, neem dan contact op met uw Verstegen-contactpersoon. Heeft u behoefte aan een praktisch gesprek over de dilemma’s rondom digitale weerbaarheid en het leggen van de juiste fundamenten voor dataveiligheid (NIS2 en NEN7510)? Neem contact op met onze adviseur João Tomasoa.
Naar aanleiding van dit artikel vragen? Neem contact op met onze adviseur. Wij helpen je graag verder!
Contact
We helpen u graag verder!
Bent u nieuwsgierig wat wij voor u kunnen betekenen? Aarzel niet contact op te nemen met ons. Samen bespreken we de mogelijkheden.
João Tomasoa