Informatiebeveiliging in de zorg: waarom het beter moet

In dit artikel:

Een grootschalige ransomware-aanval op Clinical Diagnostics Nederland (een dochter van Eurofins) heeft vertrouwelijke gegevens van naar schatting bijna een miljoen Nederlanders buitgemaakt en de kwetsbaarheid van de zorgsector blootgelegd. Het incident — waarbij minstens 715.000 personen gevoelige data, waaronder burgerservicenummers (bsn) en testresultaten, verloren zagen gaan — laat zien dat versnipperde systemen, onduidelijke verantwoordelijkheden en gebrekkige naleving van normen tot ernstige gevolgen kunnen leiden.

De wettelijke informatiebeveiligingsnormen NEN 7510 (algemene beveiliging) en NEN 7512 (veilige gegevensuitwisseling) vormen de ruggengraat van bescherming in de Nederlandse zorg. Deze normen sluiten aan op internationale standaarden zoals ISO27000 en dragen bij aan de eisen uit o.a. NIS2 en de toekomstige Cyberbeveiligingswet. Certificering op basis van NEN 7510 is mogelijk en vergemakkelijkt het aantonen van naleving, maar is niet verplicht; onafhankelijke audits die de werking van een informatiebeveiligingsmanagementsysteem toetsen, zijn wel vereist.

Gesprekken met toezichthouders, normontwikkelaars en praktijkpartijen maken duidelijk dat naleving in de praktijk vaak diffuus is. Z-Cert profileert zich als het aangewezen CERT voor de zorg, maar heeft geen wettelijk mandaat om partijen te dwingen tot maatregelen. De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op naleving en accepteert audits en certificaten als bewijs, maar constateert dat veel zorgaanbieders hun beveiliging nog niet op orde hebben. In mei 2025 waren 920 organisaties gecertificeerd volgens NEN 7510 (waarvan 191 zorginstellingen en 729 leveranciers); er zijn tien door de Raad voor Accreditatie erkende certificerende instellingen en in het NEN-register staan circa 450 zorgorganisaties, terwijl Nederland duizenden zorgbedrijven telt.

Praktijkvoorbeeld en controverse: Bevolkingsonderzoek Nederland deelde persoonsgegevens met het gehackte lab voor het uitvoeren van tests en zegt dat beveiliging contractueel was geregeld en gecontroleerd. Dat ontslaat de keten echter niet van kwetsbaarheden: Eurofins’ Nederlandse dochters stonden niet in het NEN-register en het concern gaf weinig openheid over de aanval of de lange periode tussen ontdekking en melding, wat veel kritiek opleverde. De combinatie dat bsns en testgegevens gekoppeld en gezamenlijk opgeslagen waren, vergrootte de impact — de bsn verloor daarmee zijn functie als veilige sleutel.

Juridisch kan het incident tot forse schadeclaims leiden; advocaten noemen een mogelijk totaal van ruim honderd miljoen euro. Aansprakelijkheid is complex: doorgaans is de onderliggende rechtspersoon aansprakelijk, maar bij gezamenlijke verantwoordelijkheid of nalatigheid kunnen moederbedrijven, opdrachtgever (zoals Bevolkingsonderzoek Nederland) en bestuurders ook worden aangesproken. De AVG verplicht verwerkingsverantwoordelijken passende maatregelen te nemen (artikel 32), wat bij verwerking van zeer gevoelige medische gegevens een hoge beveiligingsstandaard vereist.

De zaak onderstreept dat het niet volstaat om vinkjes op een compliance-lijst te zetten. Duurzame versterking vraagt om digitale autonomie van zorginstellingen, heldere governance, transparante leveranciersrelaties, centrale en gecontroleerde opslag, strikte toegangscontrole, real-time monitoring en onafhankelijke toetsing. Ook het houden van data binnen vertrouwde jurisdicties en het afdwingbaar maken van verantwoordelijkheden in de keten zijn sleutelpunten.

Veel vragen blijven onbeantwoord: wat lieten de onafhankelijke audits zien, waarom koos een opdrachtgever bewust voor een niet-gecertificeerd lab, en hoe kon de datakoppeling met bsns plaatsvinden? De forensische onderzoeken moeten die openstaande kwesties oplossen. Tot die tijd fungeert de hack niet alleen als incident, maar als waarschuwing dat de zorgsector fundamenteel moet investeren in weerbaarheid, transparantie en regie over data.