Hoe verantwoordelijk is bestuur in de zorg?
We schreeuwen het echt van de daken: Cybersecurity is niet langer een IT-onderwerp. Het is een bestuurlijke verantwoordelijkheid. En dat wordt het steeds meer.
Firewalls, back-ups, antivirussoftware en gebruikersbeheer waren onderwerpen die vooral besproken werden door IT-beheerders en leveranciers. Logisch ook, maar inmiddels is dat verleden tijd.
Met de komst van de Nederlandse Cyberbeveiligingswet verschuift de verantwoordelijkheid van informatiebeveiliging namelijk nadrukkelijk naar bestuurders. Het bestuur moet actief betrokken zijn bij cyberrisico's, beveiligingsmaatregelen goedkeuren en toezicht houden op de uitvoering ervan. Cybersecurity wordt daarmee onderdeel van goed bestuur. Dat is niet alleen een wettelijke verplichting, maar ook een logische ontwikkeling in de zorg. Het is namelijk een sector waarin digitale systemen onmisbaar zijn geworden voor veilige en continue zorgverlening.
Waarom is informatiebeveiliging een bestuursverantwoordelijkheid geworden?
De zorgsector behoort al jaren tot de meest aantrekkelijke doelwitten voor cybercriminelen. Dat heeft wel een duidelijke reden. Zorginstellingen beheren namelijk grote hoeveelheden gevoelige persoonsgegevens, werken met complexe ICT-landschappen én zijn sterk afhankelijk van de beschikbaarheid van systemen.
Wanneer bijvoorbeeld een elektronisch cliëntendossier onbereikbaar wordt door een ransomware-aanval, heeft dat direct gevolgen voor de zorgverlening. Het gaat dan niet alleen om financiële schade of reputatieverlies, maar mogelijk ook om patiëntveiligheid en continuïteit van zorg. Daarom zien wetgevers cyberweerbaarheid steeds vaker als een randvoorwaarde voor goede zorg.
In de praktijk zien we dat veel zorgorganisaties nog worstelen met:
- Tekort aan securitykennis en gespecialiseerd personeel
- Verouderde systemen en applicaties
- Complexe omgevingen met zowel on-premises als cloudoplossingen
- Toenemende afhankelijkheid van leveranciers
- Balans vinden tussen investeringen in de zorg en investeringen in beveiliging
Deze uitdagingen maken het onmogelijk om informatiebeveiliging uitsluitend aan IT over te laten.
Wat vraagt de Cyberbeveiligingswet van bestuurders?
De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, maakt bestuurders expliciet verantwoordelijk voor cyberbeveiliging binnen hun organisatie. Dus ook in de zorg. Cyberrisico's moeten op dezelfde manier worden behandeld als financiële risico's, kwaliteitsrisico's of continuïteitsrisico's.
Concreet betekent dit dat bestuurders:
- Beveiligingsmaatregelen moeten goedkeuren
- Toezicht moeten houden op de uitvoering daarvan
- Inzicht moeten hebben in cyberrisico's
- Aantoonbaar (!) betrokken moeten zijn bij risicobeheersing
- Regelmatig rapportages moeten ontvangen en bespreken
- Voldoende kennis moeten ontwikkelen om cybersecurity-vraagstukken te kunnen beoordelen
De wet verwacht echt niet dat een bestuurder zelf technisch expert wordt. Wél moet het bestuur voldoende kennis hebben om de juiste vragen te kunnen stellen en goed onderbouwde besluiten te nemen. De verantwoordelijkheid kan dus niet volledig worden uitbesteed aan de IT-afdeling of een externe leverancier. Dit zal altijd een samenwerking zijn.
Wat zijn de gevolgen voor bestuurders bij een cyberincident?
Wanneer een cyberincident plaatsvindt, kijken toezichthouders niet alleen naar de technische oorzaak, maar ook naar de vraag of het bestuur voldoende maatregelen heeft genomen om de risico’s te beheersen. Een ransomware-aanval, datalek of langdurige uitval van zorgsystemen kan leiden tot hoge herstelkosten, omzetverlies, extra druk op medewerkers, reputatieschade en mogelijk toezichtmaatregelen vanuit de Inspectie Gezondheidszorg en Jeugd (IGJ) of andere toezichthouders.
Onder de Cyberbeveiligingswet wordt van bestuurders verwacht dat zij aantoonbaar betrokken zijn bij informatiebeveiliging en toezicht houden op de genomen maatregelen. Kunnen zij onvoldoende aantonen dat risico’s zijn beoordeeld, beveiligingsmaatregelen zijn goedgekeurd en cyberweerbaarheid structureel aandacht heeft gekregen, dan kan het bestuur hierover ter verantwoording worden gesteld. Daarmee zijn de gevolgen van een cyberincident niet alleen operationeel of financieel, maar kunnen ze ook directe impact hebben op de bestuurlijke verantwoordelijkheid en het vertrouwen van patiënten, medewerkers en ketenpartners.
Conclusie
De vraag is niet meer óf het bestuur verantwoordelijk is voor informatiebeveiliging in de zorg. Die verantwoordelijkheid is inmiddels expliciet vastgelegd in wetgeving en wordt steeds nadrukkelijker verwacht door toezichthouders, accountants en ketenpartners.
Bestuurders hoeven geen cybersecurityspecialisten te worden. Ze moeten wel kunnen aantonen dat informatiebeveiliging bestuurlijk is georganiseerd, risico's worden beheerst en de juiste maatregelen worden genomen. Als dit niet voldoet, loopt bestuurrisico op grote financiële- en reputatieschade.
Informatiebeveiliging is daarmee geen IT-project meer, maar een doorlopend, bestuurlijk proces. Organisaties die dat nu goed organiseren, voldoen niet alleen beter aan wet- en regelgeving, maar vergroten vooral hun weerbaarheid, continuïteit én vertrouwen.
En uiteindelijk draait dat in de zorg om waar het écht om gaat: veilige en betrouwbare zorg voor patiënten.

About the author
Albertho is CISO en zet zich met passie in voor informatiebeveiliging en compliance met een sterke focus op veiligheid en betrouwbaarheid.

