Informatiebeveiliging in de zorg: welke regels gelden?

In dit artikel:

Een recente datadiefstal bij Clinical Diagnostics Nederland (onderdeel van Eurofins) waarbij persoonsgegevens van honderdduizenden Nederlanders zijn buitgemaakt, zet de aandacht op de verplichtingen rond informatiebeveiliging in de zorg. Voor zorgaanbieders die onder de Wet kwaliteit, klachten en geschillen in de zorg (Wkkgz) vallen en patiëntgegevens verwerken, geldt dat ze aantoonbaar aan de NEN 7510 moeten voldoen — bijvoorbeeld via certificering of een onafhankelijke audit. De NEN 7512 werkt die norm praktisch uit en bevat onder meer de eis dat communicatiedeelnemers zijn aangesloten bij een erkende CERT-organisatie.

Op Europees niveau introduceert de NIS2-richtlijn aanvullende eisen; in Nederland wordt die richtlijn omgezet in de Cyberbeveiligingswet. Voldoen aan NEN 7510 helpt zorgaanbieders invulling te geven aan de in die wet opgenomen zorgplicht. Bovendien vallen bepaalde leveranciers in de keten (zoals fabrikanten van medische hulpmiddelen en sommige farmaceutische en R&D-entiteiten) rechtstreeks onder de nieuwe wetgeving.

Z-CERT, de aangewezen CERT voor de zorgsector, blijkt geen relatie met het gehackte Eurofins-lab te hebben; geen enkel Eurofins-lab is deelnemer. Omdat Z-CERT nog geen wettelijk dwangmiddel heeft, koos zij eerst voor het aanspreken van de leverancier op ketenverantwoordelijkheid. Toen die communicatie uitbleef, informeerde Z-CERT op basis van beperkte metadata toch deelnemende zorginstellingen en waarschuwde ook huisartsen, met behoud van patiëntprivacy. Vanwege de ernst van het incident publiceerde Z-CERT buiten de deelnemerskring haar tien richtlijnen tegen ransomware.

Het incident illustreert de kwetsbaarheid van ketens in de zorg en benadrukt het belang van aansluiting bij sectorale beveiligingsorganisaties, naleving van NEN-normen en de komende implementatie van strengere, Europese cybersecurityregels.