Cyberaanval in de zorg: wat moet u doen en hoe voorkomt u extra schade?

Een cyberaanval in de zorg kan de continuïteit van zorgverlening direct in gevaar brengen. Denk aan geblokkeerde patiëntgegevens, onbereikbare medische dossiers of uitval van vitale systemen. Voor cliënten en patiënten kan dit ernstige gevolgen hebben, variërend van vertragingen in behandelingen tot het tijdelijk stilvallen van cruciale zorgprocessen. Omdat de zorgsector strenge wettelijke kaders kent, is het cruciaal dat zorginstellingen bij een cyberincident niet alleen technisch, maar ook juridisch correct handelen. Een cyberaanval in de zorg vereist daarom een integrale aanpak waarbij IT-specialisten, bestuurders en juristen nauw samenwerken om zowel de schade te beperken als de wettelijke verplichtingen na te leven. In dit blog leest u welke verplichtingen gelden, welke normen van toepassing zijn en hoe u zich als organisatie beter kunt voorbereiden om schade te minimaliseren. 

Eerste prioriteit: handelen volgens de juiste stappen

Bij een cyberaanval in de zorg is de eerste reflex vaak technisch: IT inschakelen, systemen herstellen en data veiligstellen. Toch moet u zich realiseren dat er meteen juridische verplichtingen gelden. Denk aan meldplichten waarbij de klok direct begint te lopen. Als zorginstelling moet u daarom parallel aan de technische aanpak ook uw juridische stappen nauwkeurig coördineren. Alleen zo voorkomt u extra schade of sancties door toezichthouders. Het is raadzaam om vooraf een draaiboek klaar te hebben, zodat niet alleen de techniek maar ook de juridische en communicatieve aspecten direct geborgd zijn. 

Belangrijke wettelijke kaders voor zorginstellingen

Om goed voorbereid te zijn op een cyberaanval in de zorg, is het van belang te weten welke wettelijke regels en normen van toepassing zijn. Deze kaders bepalen niet alleen welke meldplichten u heeft, maar ook hoe u de zorgvuldigheid van uw handelen kunt aantonen. Hieronder lichten wij de belangrijkste wetten en normen toe.

AVG (Algemene Verordening Gegevensbescherming)
Bij een datalek met persoonsgegevens bent u verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Bij een cyberaanval in de zorg gaat het vaak om bijzondere persoonsgegevens, zoals medische gegevens, waardoor de toetsing extra streng is. Bovendien kan de Autoriteit Persoonsgegevens handhavend optreden en hoge boetes opleggen wanneer meldingen niet tijdig of volledig worden gedaan. 

NIS2-richtlijn / Cyberbeveiligingswet
Wordt uw organisatie als ‘essentiële entiteit’ aangemerkt, dan geldt de meldplicht van NIS2. Ernstige verstoringen moeten binnen 24 uur worden gemeld bij de toezichthouder en het CSIRT. Deze verplichting geldt ook voor incidenten die (nog) geen datalek opleveren, maar wel de continuïteit van zorg ernstig in gevaar brengen. Daarmee benadrukt NIS2 het belang van proactieve beveiligingsmaatregelen en een voortdurende monitoring van risico’s. 

Wkkgz (Wet kwaliteit, klachten en geschillen zorg)
Een cyberincident in de zorg kan tevens een calamiteit zijn als de kwaliteit of veiligheid van zorg in het geding komt. Dan moet u melding doen bij de Inspectie Gezondheidszorg en Jeugd (IGJ). Zorginstellingen doen er goed aan om vooraf met de IGJ af te stemmen hoe zij in dergelijke situaties te werk gaan, zodat er geen misverstanden ontstaan op het moment dat de druk het grootst is. 

NEN 7510-norm
De NEN 7510 is dé norm voor informatiebeveiliging in de zorg. Deze schrijft voor welke technische en organisatorische maatregelen nodig zijn, zoals toegangsbeheer, logging en versleuteling. Het naleven van deze norm helpt bij preventie én bij het aantonen van zorgvuldigheid tijdens toezicht of procedures. Daarnaast kan naleving van NEN 7510 de basis vormen voor interne audits en trainingen, waardoor organisaties structureel sterker staan tegen een cyberaanval in de zorg.

Praktische aandachtspunten bij een cyberaanval in de zorg

Een cyberaanval in de zorg vraagt om snelle en gestructureerde actie. Belangrijke stappen zijn:

• Incidentteam activeren: stel een multidisciplinair team samen met IT, juridisch, communicatie en bestuur.
• Beveiligingsmaatregelen controleren: voorkom escalatie door systemen af te sluiten of te isoleren.
• Meldingen tijdig doen: bepaal welke meldplichten gelden (AVG, NIS2, Wkkgz, contractueel).
• Communicatie afstemmen: zorg voor heldere interne en externe communicatie om reputatieschade te beperken.
• Dossiervorming: documenteer alle handelingen, beslissingen en communicatie zorgvuldig.

Wat wij voor u kunnen betekenen bij een cyberaanval in de zorg

Onze advocaten op het gebied van cybersecurity en gezondheidsrecht staan klaar om zorginstellingen te ondersteunen bij en na een cyberaanval in de zorg. Wij kunnen:

• Snel toetsen welke meldplichten voor uw organisatie gelden en de juiste meldingen opstellen.
• U begeleiden in communicatie met toezichthouders, cliënten en patiënten.
• Beoordelen of er sprake is van aansprakelijkheid en verweer voeren tegen eventuele claims.
• Uw incident response plan toetsen en verbeteren op basis van NEN 7510 en actuele wetgeving.
• Training en bewustwordingstrajecten aanbieden zodat uw organisatie beter voorbereid is.

Voorbeeld uit de praktijk: datalek bevolkingsonderzoek

De recente hack bij laboratorium Clinical Diagnostics, waar gegevens van meer dan 400.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn buitgemaakt, laat zien hoe groot de impact van een cyberincident kan zijn. Betrokkenen ontvingen een brief van Bevolkingsonderzoek Nederland met de mededeling dat hun persoonsgegevens mogelijk op straat liggen. Het gaat om uiterst gevoelige data, waaronder naam, geboortedatum, testuitslagen en zelfs BSN-nummers. Veel betrokkenen maken zich grote zorgen over misbruik van hun gegevens en vragen zich af hoe ze verdachte berichten of telefoontjes kunnen herkennen. Sommigen overwegen zelfs juridische stappen of om een schadevergoeding te vorderen. Dit voorbeeld onderstreept hoe kwetsbaar de zorgsector is en hoe belangrijk het is om voorbereid te zijn op een cyberaanval in de zorg. Zorginstellingen moeten niet alleen voldoen aan de wettelijke meldplichten, maar ook duidelijke communicatie bieden richting betrokkenen en proactief nadenken over hun aansprakelijkheid. Het incident benadrukt bovendien het belang van sterke beveiligingsmaatregelen volgens de NEN 7510 en het inschakelen van juridisch advies zodra een datalek zich voordoet. Daarmee is dit datalek een extra waarschuwing voor iedere organisatie die risico loopt op een cyberaanval in de zorg.

Dit praktijkvoorbeeld illustreert dat wanneer een cyberaanval in de zorg heeft plaatsgevonden. De behoefte van betrokkenen aan betrouwbare informatie groot is. Wanneer instanties proactief communiceren en duidelijke handvatten bieden over hoe men verdachte berichten kan herkennen, vermindert dit onrust en voorkomt het verdere schade. Voor zorginstellingen betekent dit dat niet alleen de interne processen op orde moeten zijn, maar dat er ook aandacht moet zijn voor de nazorg richting patiënten en cliënten.

Conclusie

Een cyberaanval in de zorg kan grote gevolgen hebben voor de continuïteit van zorg en de veiligheid van patiënten. Niet alleen kunnen systemen langdurig uitvallen, ook de reputatie van een instelling kan ernstige schade oplopen. Door direct volgens de wettelijke kaders te handelen, meldplichten na te leven en uw organisatie te laten begeleiden door specialisten, beperkt u de schade aanzienlijk. Een tijdige en gestructureerde aanpak bij een cyberaanval in de zorg cruciaal om het vertrouwen van patiënten en toezichthouders te behouden en om herstel zo snel mogelijk op gang te brengen. Wilt u weten hoe u zich optimaal kunt voorbereiden? Neem dan contact op met onze specialisten Hillie Lunter en Tom Klatter.