Samenwerking cruciaal tegen datalekken

Het recente datalek bij het laboratorium Clinical Diagnostics was niet expliciet onderwerp van de bijeenkomst, maar speelde op de achtergrond mee in vrijwel elke presentatie. Zo'n datalek raakt patiënten, leveranciers en zorginstellingen in de hele keten. Hoe voorkomen we datalekken, wie is verantwoordelijk, wat doen we als het toch gebeurt en hoe beperken we de schade? Wat duidelijk werd: een datalek in de zorg is geen incident dat één organisatie alleen kan voorkomen of oplossen.

Basismaatregelen

“De keten is zo sterk als de zwakste schakel”, benadrukte Yvonne van der Zalm (VWS). “Als burger wil je dat je gegevens overal op hetzelfde niveau beveiligd zijn.” VWS zet in op wet- en regelgeving zoals de NIS2 (Cyberbeveiligingswet) en het aantoonbaar voldoen aan de NEN 7510:2024, toezicht door de IGJ en het bieden van hulpmiddelen voor implementatie, vooral voor de kleinere zorginstellingen. Toch blijft naleving achter, waarschuwt Van der Zalm. “Bestuurders moeten zich realiseren: echte implementatie en risicomanagement is aan jullie, zorgaanbieders.”

Snel en zorgvuldig

De Autoriteit Persoonsgegevens (AP) ontvangt jaarlijks tienduizenden meldingen. “We focussen op datalekken met de grootste risico’s”, aldus senior inspecteur Emma Dello Iacono. “Bij een ernstig datalek is het cruciaal om slachtoffers zo snel mogelijk te informeren. Verplaats je in de patiënt, toon empathie en doe niet alleen wat wettelijk verplicht is.” Dat vraagt om een balans tussen snelheid en volledigheid.

Beperk de gevolgen: grip op de keten

Kwetsbaarheid zit vaak in onduidelijke verantwoordelijkheden en complexe leveranciersketens. “Maak afspraken zo concreet mogelijk en hou grip op subverwerkers”, adviseerde Dennis Davrados, afdelingshoofd eerstelijnsonderzoek bij de AP. “Een verwerkersovereenkomst mag geen papieren tijger zijn.” Ook periodieke checks en noodscenario’s zijn essentieel. 

Samenwerking is sleutelwoord

Alle sprekers waren het eens: samenwerking is onmisbaar. Van der Zalm: “Kleinere organisaties kunnen zich laten ondersteunen door grotere. Dat is in ons aller belang.” Silvia Euwema, Senior Inspecteur Systeemtoezicht (AP) voegde toe: “De zorg is een aantrekkelijk doelwit voor hackers. Alleen door samen te werken en kennis te delen, kunnen we de risico’s beheersen.”

Goed gesprek

Jaco van Duivenbode is Senior inspecteur IGJ (Inspectie Gezondheidszorg en Jeugd). Hij wees op de veranderende rol van de inspectie ten aanzien van het voldoen aan NEN 7510. Eerst ging het vooral om agenderen en stimuleren. Dat is nu veranderd in toezien: "Het gros van de ziekenhuizen voldoet inmiddels aantoonbaar aan de NEN7510. Dat is een heel mooi resultaat, de basishygiëne is op orde." De volgende fase zou bestaan uit handhaven. "Dat doen we nu nog niet als IGJ en het heeft ook niet onze voorkeur. We voeren liever het goede gesprek met organisaties." Toezicht op leveranciers ligt niet altijd bij de IGJ zelf, maar vaak bij de Rijksinspectie Digitale Infrastructuur (RDI). Ook daarin wordt nu nauwer samengewerkt gezien de impact op de zorg. 

Tot slot pleit Z-CERT, in de personen van Linda de Lange en Auke Nicolaï, voor oefenen met worstcase scenario’s en herstelplannen. Z-Cert is het expertisecentrum voor cybersecurity in de zorg. “Weet wat werkt en wat niet als systemen uitvallen.” Samen met de leden van de NVZ ontwikkelen zij templates, projectplannen en oefenscenario’s die dan ter beschikking worden gesteld aan de deelnemers van Z-CERT.

Gezamenlijke verantwoordelijkheid

De boodschap is duidelijk: informatieveiligheid is geen individuele opgave, maar een gezamenlijke verantwoordelijkheid. Van bestuurders tot leveranciers, van toezichthouders tot regionale netwerken - alleen samen houden we patiëntgegevens veilig.