Compliance is belangrijk maar reactief, informatiebeveiliging in de zorg kan en moet beter

In dit artikel:

De ransomware-aanval op Clinical Diagnostics (de Nederlandse tak van Eurofins) waarbij vertrouwelijke gegevens van honderdduizenden Nederlanders zijn buitgemaakt, laat volgens Pim Kerstens (director Healthcare bij cloudprovider Uniserver) zien dat de zorgsector structurele problemen heeft met informatiebeveiliging. Hoewel de hack schokkend was, komt hij niet uit de lucht vallen: de sector kent al jaren veel datalekken — in 2024 waren er volgens de Autoriteit Persoonsgegevens bijna zevenduizend meldingen — en bestaande regels (AVG, NEN7510, NIS2) blijken in de praktijk onvoldoende bescherming te bieden.

Kerstens wijst op een fundamenteel knelpunt: veel beveiligingsnormen zijn reactief en helpen weinig als infrastructuur versnipperd is en verantwoordelijkheden tussen bestuur, IT en leveranciers onduidelijk zijn. Het labincident toonde dat waarschuwingen te laat werden opgepikt, meldplichten niet tijdig werden nageleefd en het dossier wekenlang onduidelijk bleef over de omvang van het lek — een groot probleem in een sector waar vertrouwen en privacy essentieel zijn.

Als remedie pleit Kerstens voor meer digitale autonomie: zorginstellingen moeten zelf bepalen waar data staan, wie er toegang heeft en hoe technologie wordt ingezet. Concreet adviseert hij centraal beheer van patiënt- en onderzoeksdata, strakke logging en toegangscontrole, real-time monitoring en XDR-oplossingen voor directe detectie van afwijkend gebruik, en heldere governance met afgestemde rollen tussen bestuur, IT en leveranciers. Ook moeten leveranciers verplicht worden tot transparantie over hun beveiligingsmaatregelen en het bewaren van data binnen de Europese jurisdictie. Regelmatige risicoanalyses en scenario-oefeningen verhogen de paraatheid, en het vermijden van onnodig gevoelige dataopslag — bijvoorbeeld door BSN’s te vervangen door interne patiëntnummers — beperkt schade bij een incident.

Kerstens benadrukt het onderscheid tussen digitale autonomie en digitale soevereiniteit: autonomie is operationeel en draait om interne regie en snelle detectie/respons; soevereiniteit betreft strategische en juridische controle over data internationaal. Autonomie is volgens hem een voorwaarde om uiteindelijk soeverein te kunnen zijn.

Naast technische en organisatorische maatregelen roept hij toezichthouders op verder te gaan dan louter compliance-audits: preventieve standaarden voor real-time monitoring en incidentrespons, praktische hulpmiddelen voor scenario-oefeningen en centrale meldpunten voor het delen van dreigingsinformatie kunnen de weerbaarheid van de gehele sector vergroten. Zonder meer interne regie blijven zorginstellingen kwetsbaar, ook al voldoen ze op papier aan alle vinkjes van de compliance-checklist.