Cyberveiligheid in de zorg: steeds vaker doelwit?

De zorg digitaliseert razendsnel, en daarmee groeit ook de kwetsbaarheid. Cyberveiligheid raakt niet alleen de IT-afdeling. We zien dat digitale risico’s steeds meer impact hebben op zorgverleners, organisaties en bestuurders. Het is belangrijk dat zorgorganisaties zich bewust zijn van hun digitale kwetsbaarheid en weerbaarder worden tegen ICT-dreigingen.

Wat er gebeurt: zorg is aantrekkelijk doelwit

De zorgsector is al jaren koploper in het aantal datalekken. De Datalekkenrapportage 2024 van de Autoriteit Persoonsgegevens laat het zien: de meeste datalekmeldingen komen van organisaties in de sector Gezondheid & Welzijn. Hackers weten waarom: medische data zijn op het darkweb soms honderden euro’s waard. Tegelijkertijd groeit de afhankelijkheid van digitale systemen in de zorg. Systemen voor dossiervoering, medicatie, triage en beeldbellen zijn inmiddels onmisbaar. Dat maakt de zorg tot een aantrekkelijk, maar kwetsbaar doelwit.

Wat dit betekent voor de zorg

Waar een foutje in een e-mailadres vroeger vooral ongemak opleverde, kan het nu leiden tot juridische procedures, financiële schade of imagoverlies. Cyberincidenten raken niet alleen systemen, maar ook de zorgverlening zelf. Afspraken kunnen niet doorgaan, dossiers zijn niet beschikbaar, spoedzorg komt onder druk. In sommige gevallen leidt een datalek zelfs tot schadevergoedingen of boetes. Zoals bij een ziekenhuis en een orthodontiepraktijk die medische gegevens onvoldoende beveiligden.

Welke risico’s spelen hier?

Cyberincidenten hebben gevolgen op meerdere niveaus: van de dagelijkse zorg tot juridische en bestuurlijke verantwoordelijkheden. De juridische verplichtingen zijn uitgebreid: van de AVG tot de NEN 7510, en van meldplichten tot eisen voor logging (vastleggen van gegevens). Wie toegang heeft tot patiëntgegevens, moet dat kunnen verantwoorden. Bestuurders en managers dragen hierin eindverantwoordelijkheid.

Verzuimt een organisatie om passende maatregelen te treffen, dan kan dat leiden tot aansprakelijkheid. Daarnaast ligt reputatieschade op de loer. Media-aandacht, verlies van vertrouwen bij patiënten of samenwerkingspartners en interne onrust kunnen de gevolgen van een incident flink vergroten. Wie denkt dat een IT-leverancier automatisch verantwoordelijk is, komt bovendien vaak bedrogen uit: de juridische eindverantwoordelijkheid blijft meestal bij de zorgorganisatie zelf.

Wat kun je doen?

Cyberveiligheid vraagt om goed risicomanagement. Wees je als organisatie bewust van cyberrisico’s, en zorg dat je personeel dat ook is. Soms kunnen eenvoudige maatregelen al helpen om de digitale weerbaarheid te vergroten. Zorg dat je weet wie waarvoor verantwoordelijk is, dat logging op orde is en meldprocedures helder zijn. Het Nationaal Cyber Security Centrum (NCSC) biedt daarvoor adviezen.

Overweeg daarnaast passende juridische of verzekeringstechnische ondersteuning. Er zijn steeds meer oplossingen, ook specifiek voor de zorg, waarmee je risico’s kunt afdekken, weerbaarheid kunt vergroten en aansprakelijkheid kunt beperken.