Zorginstellingen vallen onder de Cyberbeveiligingswet (Cbw) als essentiële entiteit zodra zij voldoen aan de sectorale criteria voor gezondheidszorg. Awareness van zorgmedewerkers is geen optie meer maar een wettelijke pijler, naast technische maatregelen en governance. De zorg heeft bovendien een eigen normenstelsel (NEN 7510 voor informatiebeveiliging in de zorg, Wegiz voor elektronische gegevensuitwisseling en de AVG voor patiëntgegevens) dat naadloos moet aansluiten op de Cbw-verplichtingen. Voor Belgische zorgorganisaties geldt de Belgische NIS2-wet van 26 april 2024, met het CCB als centrale toezichthouder en eigen federale zorgnormen via het eHealth-platform.
Welke zorgorganisaties vallen onder de Cbw?
Onder de Cbw worden zorgaanbieders aangewezen als essentiële entiteit wanneer zij in een van de aangewezen subsectoren actief zijn en boven de drempel van 50 medewerkers of €10 miljoen omzet uitkomen. In de praktijk gaat het om ziekenhuizen (algemeen, academisch, categoraal), grote GGZ-instellingen, ouderenzorg-koepels boven de drempel, ambulancediensten, laboratoria en producenten/distributeurs van farmaceutische producten.
Een aantal kritieke zorgentiteiten valt onafhankelijk van omvang onder de Cbw, bijvoorbeeld aanbieders van vitale zorgfuncties zoals trauma- of brandwondencentra. De Inspectie Gezondheidszorg en Jeugd (IGJ) is sectorale toezichthouder, in afstemming met het Digital Trust Center (DTC) voor sectoroverstijgende coördinatie.
Kleinere zorgaanbieders (huisartsenpraktijken, fysiotherapie-praktijken, individuele tandartsen) vallen meestal buiten de directe Cbw-scope, maar krijgen via supply chain-eisen alsnog te maken met Cbw-verplichtingen wanneer zij gegevens uitwisselen met een Cbw-pflichtige instelling.
Specifieke risico's in de zorg
De zorg combineert een aantal risicofactoren die awareness extra urgent maken:
- Patiëntdata. Medische gegevens zijn bijzondere persoonsgegevens onder de AVG en hebben een hoge marktwaarde op het dark web. Een datalek raakt direct patiënten en valt onder zowel meldplicht AVG (Autoriteit Persoonsgegevens) als meldplicht Cbw (IGJ/CSIRT).
- Medische apparatuur (IoMT). Infuuspompen, monitoringsystemen, MRI-scanners en pacemakers zijn vaak verbonden netwerksystemen met lange levensduur en beperkte patch-mogelijkheden. Een ransomware-aanval die deze apparatuur lamlegt kan direct patiëntveiligheid bedreigen.
- Continuïteit van noodzorg. Anders dan in veel sectoren kan een ziekenhuis een ransomware-aanval niet "even pauzeren" terwijl het wordt opgelost. Het herstelplan moet voorzien in doorlopende zorg, ook bij volledig uitgevallen IT.
- Phishing en social engineering. Zorgmedewerkers werken onder tijdsdruk en hebben vaak brede toegangsrechten in het Elektronisch Patiëntendossier (EPD). Gerichte spear phishing op artsen of administratief personeel is een veel voorkomende toegangsroute.
- Shadow IT en BYOD. WhatsApp-groepen voor dienstoverdracht, persoonlijke mailadressen voor verwijzingen en privé-apparaten in spreekkamers zijn structurele zwakke plekken die awareness-training direct moet adresseren.
Awareness-aanpak voor zorgmedewerkers
Een Cbw-conform awareness-programma in de zorg combineert generieke security-modules met sectorspecifieke inhoud. NEN 7510-2:2017 benoemt expliciet de eis tot terugkerende training en bewustwording, met aantoonbare frequentie en deelnamegraad.
- Rol-gebaseerde training. Onderscheid tussen zorgverlenend personeel (focus: patiëntdata, EPD-hygiëne, herkennen phishing), administratief personeel (focus: financiële fraude, social engineering richting backoffice) en IT-personeel (focus: incident-response, secure development).
- Frequentie. Minimaal jaarlijks volledige training plus korte refreshers per kwartaal. Bij hoge personeelsverloop (uitzendkrachten, ZZP'ers) een verplichte onboarding-module binnen 2 weken na indiensttreding.
- Phishing-simulaties. Sectorspecifieke scenario's, denk aan namaak-mails van zorgverzekeraars, fake collega-verzoeken om EPD-toegang, of nepberichten van het CIBG over verklaringen omtrent gedrag.
- Incident reporting. Drempelloze meldroute via één knop in de EPD-interface of via een dedicated security-mailadres. Niet-bestraffen-cultuur is cruciaal omdat onderrapportage in de zorg een bekend probleem is.
- Bestuurstraining. Cbw artikel 24 vereist dat ook de Raad van Bestuur en de Raad van Toezicht aantoonbaar getraind worden. Voor ziekenhuizen geldt dit ook voor het medisch managementteam waar relevant.
Sectorale normen: NEN 7510, Wegiz en aansluiting op Cbw
NEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorg. NEN 7510-1:2017 specificeert het managementsysteem, NEN 7510-2:2017 de concrete beheersmaatregelen. Een NEN 7510-certificering is voor veel zorginstellingen feitelijk vereist (via aansluitvoorwaarden van leveranciers en verzekeraars) en sluit goed aan op de Cbw-eisen, hoewel NEN 7510 alleen op zichzelf niet voldoende is voor volledige Cbw-compliance.
De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) verplicht zorgaanbieders om aangewezen gegevenscategorieën elektronisch en gestandaardiseerd uit te wisselen. Awareness rond veilige gegevensuitwisseling (correct gebruik van LSP, MedMij, certificaten) is hier expliciet aan gekoppeld.
De AVG blijft onverkort gelden voor patiëntgegevens, met de Autoriteit Persoonsgegevens als toezichthouder. Een datalek met patiëntdata triggert vaak parallel een AVG-meldplicht (72 uur naar AP) én een Cbw-meldplicht (24 uur naar CSIRT). Awareness-training moet medewerkers leren dit verschil te herkennen en correct te escaleren.
En in België?
Belgische zorgorganisaties vallen onder de Belgische NIS2-wet van 26 april 2024, in werking sinds 18 oktober 2024. De wet maakt onderscheid tussen essentiële en belangrijke entiteiten met dezelfde drempel als in Nederland (50+ medewerkers of €10M omzet) en wijst ziekenhuizen, grote zorgkoepels en kritieke zorgaanbieders aan als essentiële entiteit.
Centrale toezichthouder is het Centre for Cybersecurity Belgium (CCB), ondersteund door sectorale autoriteiten zoals de FOD Volksgezondheid voor de zorg. Belgische ziekenhuizen werken bovendien via het eHealth-platform (een federale instelling onder RIZIV/INAMI) voor gegevensuitwisseling en authenticatie, en zijn aangesloten op de Kruispuntbank van de Sociale Zekerheid (KSZ) voor verzekerings- en patiëntgegevens. Awareness rond correct gebruik van eHealth-certificaten en eID-kaartlezers is een specifiek Belgisch aandachtspunt.
De Raad van Bestuur van een Belgisch ziekenhuis is onder de NIS2-wet eindverantwoordelijk voor goedkeuring van risicobeheersmaatregelen en moet zelf training volgen. De handhaving is in opstartfase, maar bestuurlijke aansprakelijkheid is direct van toepassing. Voor Nederlandse zorggroepen met Belgische dochters geldt de hoofdvestiging-regel uit NIS2 artikel 26: per entiteit wordt bepaald welke nationale wet primair van toepassing is.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar security-awarenessprogramma met meetbare resultaten.
Bekijk de NIS2-paginaGerelateerde artikelen
- Wat is de Cyberbeveiligingswet (Cbw)?
- NEN 7510 en awareness in de zorg
- Cbw artikel 24: bestuurstrainingsplicht uitgelegd
Bronnen
- Cyberbeveiligingswet (officiële tekst, wetten.overheid.nl)
- IGJ, informatiebeveiliging in de zorg
- NEN 7510-1, informatiebeveiliging in de zorg
- CCB België, NIS2-portaal
- eHealth-platform België
FAQ
Welke drempels gelden voor ziekenhuizen onder de Cbw?
Ziekenhuizen worden vrijwel altijd aangewezen als essentiële entiteit op basis van de sectorale criteria voor gezondheidszorg. De algemene drempel van 50+ medewerkers of €10M omzet wordt door vrijwel alle Nederlandse ziekenhuizen overschreden. Voor bepaalde kritieke zorgfuncties geldt aanwijzing onafhankelijk van omvang. De IGJ publiceert sectorspecifieke richtlijnen voor scope-bepaling.
Vervangt de Cbw de NEN 7510?
Nee. NEN 7510 blijft onverkort gelden als sectorale norm voor informatiebeveiliging in de zorg. De Cbw is een aanvullende, wettelijke laag bovenop NEN 7510. In de praktijk overlappen veel beheersmaatregelen, en een NEN 7510-certificering helpt bij Cbw-compliance, maar de Cbw heeft eigen meldplichten, governance-eisen en sancties die NEN 7510 niet kent.
Wat is de meldplicht bij een ransomware-aanval op het ziekenhuis?
Significante incidenten moeten in drie fasen aan het CSIRT worden gemeld: vroege waarschuwing binnen 24 uur, tussenrapport binnen 72 uur, eindrapport binnen één maand. Bij verlies van patiëntgegevens loopt parallel de AVG-meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur. Daarnaast geldt de IGJ-meldplicht voor calamiteiten als de patiëntveiligheid in geding komt.
Wie is aansprakelijk bij een datalek in de zorg?
Onder de Cbw (artikel 24) is de Raad van Bestuur eindverantwoordelijk en kan persoonlijk aansprakelijk worden gesteld bij verwijtbare nalatigheid. Onder de AVG is de zorginstelling als verwerkingsverantwoordelijke aansprakelijk. Onder de Wkkgz geldt aansprakelijkheid voor schade aan patiënten. In de praktijk worden deze sporen vaak parallel doorlopen.
Hoe vaak moeten zorgmedewerkers awareness-training volgen?
NEN 7510 en de Cbw schrijven geen vaste frequentie voor, maar de praktijknorm is een volledige module per jaar plus korte refreshers per kwartaal. Bij hoog personeelsverloop (zoals bij uitzendkrachten of waarnemers) is een verplichte onboarding-module binnen twee weken na indiensttreding aan te raden. De training moet aantoonbaar zijn met deelnamerapportage.
Geldt dit ook voor mijn huisartsenpraktijk?
Een kleine huisartsenpraktijk valt meestal niet rechtstreeks onder de Cbw vanwege de drempels. Wel blijven AVG en NEN 7510 (vrijwillig via koepels) van toepassing. Via supply chain-eisen van leveranciers, ziekenhuizen of zorgverzekeraars krijg je alsnog te maken met Cbw-afgeleide eisen, bijvoorbeeld voor veilige gegevensuitwisseling via het LSP.