De cyberbedreiging voor zorgorganisaties neemt toe, onder andere door de opkomst van AI en de overgang naar de Cloud. Ondertussen voldoen veel zorgorganisaties niet aan de NEN 7510 norm. Dat zegt minister Jan Anthonie Bruijn in een bestuurdersbrief, waarin hij de zorgsector oproept om de informatiebeveiliging drastisch te verbeteren. Hoe denkt Nico van Bergen Bravenboer, Coördinator Informatiebeveiliging en Kwaliteit bij GERRIT, hierover? Hij reageert.
Wat vind jij van de brief? Ben je het met de minister eens, moeten zorgorganisaties wakker liggen?
“In de bestuurdersbrief ‘informatieveiligheid aan zorgbestuurders’ geeft de Minister een duidelijk beeld van de dreigingen die er zijn op het gebied van informatiebeveiliging en cyberbeveiliging. Daarnaast wordt aangegeven wat de verantwoordelijkheden en verplichtingen zijn voor zorgorganisaties bij informatiebeveiliging en cyberbeveiliging.
Voor zorgorganisaties is het inderdaad van belang dat zij vanuit o.a. patiëntveiligheid, maar ook vanuit wetgeving voldoen aan informatiebeveiliging volgens NEN 7510 en dat informatieveilig gedrag vanzelfsprekend wordt binnen de organisatie. Alhoewel deze verplichting vanuit wetgeving al langere tijd geldt, is bij de vernieuwing van de norm NEN 7510 begin 2025 extra aandacht gegeven aan deze verplichting.”
Waarom lukt het volgens jou zoveel organisaties nog niet om volledig aan NEN 7510 te voldoen?
“Dat het zoveel zorgorganisatie niet lukt om aantoonbaar te voldoen aan NEN 7510, komt door meerdere oorzaken. Ook de IGJ heeft hier in 2024 onderzoek naar gedaan en geconcludeerd dat er meerdere redenen zijn waarom het voor zorgorganisaties lastig is om aantoonbaar te voldoen aan NEN 7510. Uit dit onderzoek onder kleinere zorgorganisaties, zoals huisartsen en apothekers, kwam naar voren dat meerdere organisaties niet eens op de hoogte waren van het bestaan van de NEN 7510, of wat deze norm inhoudt.”
Waar grotere zorgorganisaties wel de capaciteit, kennis en motivatie hebben om te voldoen aan NEN 7510 voor de inrichting van informatiebeveiliging is het voor veel organisaties moeilijk om de benodigde hoeveelheid tijd, mensen, kennis en geld bij elkaar te krijgen om informatiebeveiliging goed in te richten met behulp van NEN 7510.
Veelal kleinere zorgorganisaties vertrouwen erop dat hun EPD- en ICT-leverancier wel zorgen voor beveiliging, maar hebben hier dan weer geen controle op of missen de kennis om dit zelf te controleren.”
Hoe houd jij je in jouw rol op dit moment bezig met dit thema?
“Naast dat wij als GERRIT zelf gecertificeerd zijn voor zowel ISO 27001, NEN 7510 en GZN (Goed beheerd Zorg Netwerk) en daarbinnen alle operationele taken uitvoeren om informatiebeveiliging en cyberbeveiliging op een bewezen goed peil te houden, hebben we vanuit de afdeling Privacy & Security de kennis in huis om klanten, zorgverleners en zorgorganisaties, te ondersteunen op het vlak van Privacywetgeving zoals de AVG, en normen voor informatiebeveiliging zoals NEN 7510 en NTA 7516. Deze laatste wordt momenteel herzien en gewijzigd in NEN 7516.”
Wat kan GERRIT concreet voor klanten betekenen op dit gebied?
“Naast onze klantenkring, die wij ondersteunen op het gebied van AVG en de functie van FG/DPO, hebben we een product ontwikkeld waarmee we op een gestructureerde werkwijze zorgorganisaties kunnen helpen met het inrichten van informatiebeveiliging op basis van NEN 7510 zoals het inrichten van een ISMS, de risicoanalyse en het vaststellen en managen van beheersmaatregelen. We doen dit nu bij meerdere organisaties en verbanden van zorgorganisaties met informatiesessies, bruikbare templates en vraag-en-antwoord bijeenkomsten.”
Heb je een advies voor zorgorganisaties: waar kunnen ze beginnen, waar moeten ze als eerste mee aan de slag?
“Mijn advies voor zorgorganisaties is om samen met collega-zorgorganisaties in verbanden de juiste ondersteuning te zoeken om aan de slag te gaan met het inrichten van Informatiebeveiliging volgens NEN 7510. Laat je goed adviseren door partners op dit gebied, en start met het in kaart brengen van je organisatiebehoefte en behoeften van belanghebbenden, beschrijf wat je wil bereiken met informatiebeveiliging en stel je risico’s vast. GERRIT kan vanuit haar dienstverlening inhoudelijk ondersteuning bieden bij dit proces.”
Meer weten?
Meer weten over informatiebeveiliging en cyberbeveiliging? Benieuwd wat GERRIT voor jouw organisatie kan betekenen? Neem contact op met Nico of bel naar 085-76 040 76. Meer lezen over de bestuurdersbrief van de minister. Zorgvisie schreef er een artikel over.
Werken bij GERRIT op de afdeling Privacy & Security? We zijn op zoek naar een Security Officer om ons team te versterken!