Cyberveiligheid in de zorg: steeds vaker doelwit?
Patiëntgegevens die per ongeluk verkeerd terechtkomen. Medische dossiers die zonder reden worden ingezien. Of een zorgaanbieder die losgeld moet betalen na een hack. Cyberincidenten in de zorg nemen toe en de impact is vaak groot.
De zorg digitaliseert razendsnel, en daarmee groeit ook de kwetsbaarheid. Cyberveiligheid raakt niet alleen de IT-afdeling. We zien dat digitale risico’s steeds meer impact hebben op zorgverleners, organisaties en bestuurders. Het is belangrijk dat zorgorganisaties zich bewust zijn van hun digitale kwetsbaarheid en weerbaarder worden tegen ICT-dreigingen.
Wat er gebeurt: zorg is aantrekkelijk doelwit
De zorgsector is al jaren koploper in het aantal datalekken. De Datalekkenrapportage 2024 van de Autoriteit Persoonsgegevens laat het zien: de meeste datalekmeldingen komen van organisaties in de sector Gezondheid & Welzijn. Hackers weten waarom: medische data zijn op het darkweb soms honderden euro’s waard. Tegelijkertijd groeit de afhankelijkheid van digitale systemen in de zorg. Systemen voor dossiervoering, medicatie, triage en beeldbellen zijn inmiddels onmisbaar. Dat maakt de zorg tot een aantrekkelijk, maar kwetsbaar doelwit.
Wat dit betekent voor de zorg
Waar een foutje in een e-mailadres vroeger vooral ongemak opleverde, kan het nu leiden tot juridische procedures, financiële schade of imagoverlies. Cyberincidenten raken niet alleen systemen, maar ook de zorgverlening zelf. Afspraken kunnen niet doorgaan, dossiers zijn niet beschikbaar, spoedzorg komt onder druk. In sommige gevallen leidt een datalek zelfs tot schadevergoedingen of boetes. Zoals bij een ziekenhuis en een orthodontiepraktijk die medische gegevens onvoldoende beveiligden.
Welke risico’s spelen hier?
Cyberincidenten hebben gevolgen op meerdere niveaus: van de dagelijkse zorg tot juridische en bestuurlijke verantwoordelijkheden. De juridische verplichtingen zijn uitgebreid: van de AVG tot de NEN 7510, en van meldplichten tot eisen voor logging (vastleggen van gegevens). Wie toegang heeft tot patiëntgegevens, moet dat kunnen verantwoorden. Bestuurders en managers dragen hierin eindverantwoordelijkheid.
Verzuimt een organisatie om passende maatregelen te treffen, dan kan dat leiden tot aansprakelijkheid. Daarnaast ligt reputatieschade op de loer. Media-aandacht, verlies van vertrouwen bij patiënten of samenwerkingspartners en interne onrust kunnen de gevolgen van een incident flink vergroten. Wie denkt dat een IT-leverancier automatisch verantwoordelijk is, komt bovendien vaak bedrogen uit: de juridische eindverantwoordelijkheid blijft meestal bij de zorgorganisatie zelf.
Wat kun je doen?
Cyberveiligheid vraagt om goed risicomanagement. Wees je als organisatie bewust van cyberrisico’s, en zorg dat je personeel dat ook is. Soms kunnen eenvoudige maatregelen al helpen om de digitale weerbaarheid te vergroten. Zorg dat je weet wie waarvoor verantwoordelijk is, dat logging op orde is en meldprocedures helder zijn. Het Nationaal Cyber Security Centrum (NCSC) biedt daarvoor adviezen.
Overweeg daarnaast passende juridische of verzekeringstechnische ondersteuning. Er zijn steeds meer oplossingen, ook specifiek voor de zorg, waarmee je risico’s kunt afdekken, weerbaarheid kunt vergroten en aansprakelijkheid kunt beperken.
Risico's in beeld
Hoe breng je risico’s voor je zorgonderneming goed in beeld? Ga naar onze themapagina en krijg meer inzicht in de risico's én oplossingen.
Meer lezen?
Risicomanagement in de zorg begint bij luisteren
Goed risicomanagement begint met goed luisteren naar de zorgondernemer.
Tijdelijke juridische versterking die direct verschil maakt in de zorg
Wat te doen in situaties waarin de werkdruk oploopt en je (tijdelijke) juridische ondersteuning nodig hebt?
Oorzaken ziekteverzuim in de zorg en verzuimaanpak
In de zorg ligt het ziekteverzuim gemiddeld hoger dan in andere sectoren én het blijft stijgen. Hoe komt dat?
Subsidiekans Strategisch Opleiden: grijp hem aan
Zorgwerkgevers opgelet! Vraag tijdig deze subsidie voor instroom, doorstroom en strategische scholing aan.