Kamerbrief onderstreept urgente taak voor zorgbestuurders: digitale weerbaarheid moet omhoog

Tegelijkertijd richt de minister zich nadrukkelijk tot zorgbestuurders. Digitale veiligheid vraagt niet alleen om technische verbeteringen, maar óók om bestuurlijk eigenaarschap. Daarom is parallel aan de Kamerbrief een aparte bestuurdersbrief verstuurd, waarin deze verantwoordelijkheid expliciet wordt benoemd.

Dreiging blijft groeien

De zorgsector blijft een aantrekkelijk doelwit voor cyberaanvallen. Z-CERT en de Europese Commissie zien dat aanvallen geavanceerder worden en zich vaker richten op schakels in de keten, zoals ICT-leveranciers. De recente hack bij Clinical Diagnostics – waarbij de persoonsgegevens van honderdduizenden deelnemers aan bevolkingsonderzoeken zijn buitgemaakt – laat opnieuw zien hoe groot de impact kan zijn.

Implementatie Cyberbeveiligingswet (NIS2)

De minister bevestigt dat de implementatie van de Europese NIS2-richtlijn via de Cyberbeveiligingswet (Cbw) meer tijd vergt. De verwachting is dat de wet in Q2 2026 in werking treedt. De sector krijgt daarmee te maken met nieuwe verplichtingen, waaronder risicoanalyses, passende beveiligingsmaatregelen, meldplichten en zwaardere eisen aan bestuurders. Vanaf 17 oktober 2024 gelden de rechten uit NIS2 al, waaronder ondersteuning door het Computer Security Incident Response Team (CSIRT) voor de zorgsector: Z-CERT.

De ministeriële regeling voor de zorg staat op dit moment open voor internetconsultatie. Een Kamerbrief met de concrete vervolgstappen rond de Cbw volgt uiterlijk in Q2 2026.

Naleving van NEN-normen blijft achter

De Inspectie Gezondheidszorg & Jeugd (IGJ) ziet dat veel zorgorganisaties nog onvoldoende voldoen aan normen zoals NEN 7510, de nationale norm voor informatiebeveiliging in de zorg. Vooral kleinere zorgaanbieders worstelen met capaciteit en uitvoering. De minister kondigt extra toezicht,  hulpmiddelen en een pilot voor een periodieke monitor aan om de volwassenheid van informatieveiligheid beter inzichtelijk te maken.

Ondersteuning vanuit VWS

Programma’s als Informatieveilig gedrag in de zorg en Kickstart IB&P blijven een belangrijke rol spelen. Ze bieden praktische toolkits, trainingen en handvatten die in de sector breed worden gebruikt. Ook generieke functies binnen het gezondheidsinformatiestelsel, zoals Dezi (het nieuwe inlogstelsel voor zorgprofessionals), dragen bij aan veilige gegevensuitwisseling.

Technologische ontwikkelingen

Digitalisering brengt kansen én risico’s met zich mee:

• Cloudgebruik maakt systemen flexibeler, maar vergroot afhankelijkheid van leveranciers.
• AI ondersteunt de zorg, maar wordt ook gebruikt voor overtuigende phishing en nieuwe malware.
• Quantumcomputers vragen om tijdige voorbereiding op toekomstbestendige versleuteling.

Veilige gegevensuitwisseling blijft essentieel. End-to-end-encryptie wordt de standaard, in lijn met NEN-normen en privacyrichtlijnen. Zorgaanbieders én hun leveranciers moeten hierop voorsorteren.

Bestuurlijke verantwoordelijkheid expliciet benadrukt

Parallel aan de Kamerbrief heeft de minister een aparte bestuurdersbrief verstuurd naar alle zorgbestuurders. Daarmee onderstreept hij dat digitale weerbaarheid niet alleen een technische uitdaging is, maar vooral een bestuurlijke opgave. Bestuurders spelen een centrale rol:

• Zij bepalen de prioriteiten binnen hun organisatie.
• Zij sturen op bewustwording en gedrag.
• En zij zijn verantwoordelijk voor naleving van wet- en regelgeving.

Ook wijst de minister op een belangrijke ontwikkeling: onder de aankomende Cyberbeveiligingswet (Cbw) wordt bestuurlijke aansprakelijkheid geïntroduceerd. Dat maakt tijdig handelen en structurele aandacht voor informatieveiligheid op bestuurlijk niveau noodzakelijk.

Meer lezen over digitale weerbaarheid?

Bekijk de iBestuur-special over digitale weerbaarheid van VWS.

Bekijk de flyer 'Wat kunt u morgen doen' voor bestuurders en koepels.