1 uur geleden
1
De meeste grote organisaties in de geestelijke gezondheidszorg (ggz) voldoen niet aan de wettelijke normen voor goede informatiebeveiliging. Dat meldt de Inspectie Gezondheidszorg en Jeugd (IGJ) woensdag.
Zorgorganisaties moeten hun informatiebeveiliging goed inrichten om te voorkomen dat patiëntgegevens worden gehackt, uitlekken of dat verkeerde mensen die inzien. Woensdag bleek dat slechts zes van de 87 grote ggz-organisaties voldoen aan de regels. De toezichthouder „maakt zich hier zorgen over”, staat in een persbericht.
De overige 81 grote ggz-organisaties kunnen niet aantonen dat ze de beveiliging van hun digitale systemen zorgvuldig aanpakken. Hun beleid is door de inspectie niet te toetsen. De IGJ kan niet inzien wát er precies schort aan de beveiliging bij de organisaties, zegt een woordvoerder. Met vragenlijsten onderzocht de toezichthouder in hoeverre de regels worden gevolgd. De woordvoerder vergelijkt het met de APK-keuring van een auto: „We kunnen niet onder de motorkap kijken, maar we kunnen wel zien óf de APK is gedaan.”
Het gaat in het onderzoek om organisaties die psychische hulp aanbieden, zoals verslavingszorg, forensische zorg (ggz die justitie oplegt) of beschermd wonen. Veel ervan hebben nog geen concrete plannen om de regels in de toekomst wél te volgen. Slechts veertig negatief beoordeelde organisaties hebben een streefdatum waarop ze verwachten hun digitale beleid op orde te hebben.
Veertien ggz-organisaties reageerden helemaal niet op vragen van de IGJ. Omdat zorgaanbieders in principe verplicht zijn mee te werken aan dit soort onderzoeken, gaat de inspectie ervan uit dat „deze aanbieders niet volgens de norm werken”.
Zorgorganisaties moeten concreet beleid maken voor veilige digitale systemen om zich te weren tegen bijvoorbeeld hacks of aanvallen met gijzelsoftware
De IGJ controleert of zorgorganisaties de wettelijk opgelegde normen van richtlijn NEN 7510 volgen. Die stelt dat zorgorganisaties concreet beleid moeten maken voor veilige digitale systemen om zich te weren tegen bijvoorbeeld hacks of aanvallen met gijzelsoftware. Duidelijk moet zijn wie verantwoordelijk is voor het beheer van de digitale systemen en wie toegang tot bepaalde gegevens heeft. Ook moeten risicoanalyses gemaakt worden, en moeten organisaties kunnen aantonen dat ze maatregelen nemen om de risico’s te beheersen.
Binnenkort moeten grote (zorg)organisaties ook voldoen aan de nieuwe Cyberbeveiligingswet. De NEN-richtlijnen bieden daarvoor een goede basis, schrijft de IGJ. In een Kamerdebat over digitale zorg, vorige week, benadrukte minister van Langdurige Zorg Mirjam Sterk (CDA) dat zorgorganisaties zelf verantwoordelijk zijn voor goede informatieveiligheid.
Lees ook
Een hack bij Chipsoft treft direct het grootste deel van de zorgsector
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2026/04/08143703/080426ECO_2032856996_ziekenhuis2.jpg)
Slechte informatiebeveiliging in de zorg
Aandacht voor informatiebeveiliging neemt de laatste jaren in de zorg toe, zegt de inspectie. „Maar tegelijkertijd zien we dat zorgaanbieders hun processen rondom informatiebeveiliging niet voldoende op niveau hebben. In alle zorgsectoren is verbetering nodig.” Hoewel de organisaties steeds meer gebruikmaken van digitale zorg (videobellen, elektronische patiëntendossiers, digitale gegevensoverdracht tussen zorgverleners), gaat de zorgsector over het algemeen slordig om met de beveiliging van die systemen.
De afgelopen jaren bleek uit diverse IGJ-onderzoeken dat ook ziekenhuizen, huisartsenspoedposten, kleine zorgaanbieders en organisaties in de ouderenzorg niet volledig aan de normen voor informatiebeveiliging voldoen. Wel ziet de IGJ verbetering: in 2022 voldeden 54 van de 77 ziekenhuizen niet aan de norm, in 2023 nog maar zeven. Onderzoeken bij jeugdhulp, laboratoria en eerstelijnszorg volgen binnenkort.
Een negatief oordeel betekent niet dat gegevens van patiënten direct op straat liggen, zegt de IGJ-woordvoerder. Neem het lek van persoonsgegevens bij het bevolkingsonderzoek door laboratorium Clinical Diagnostics. Het lab voldeed destijds niet aan de regels, bleek deze maand nogmaals, maar de IGJ kan niet stellen dat het lek nooit was ontstaan als het zich wel aan die regels had gehouden, zegt de woordvoerder. „Hadden ze wel aan de norm voldaan, dan was de kans op het incident misschien kleiner geweest, en de impact ervan ook.”
Lees ook
Advocaten werken aan massaclaim na diefstal gegevens honderdduizend vrouwen: ‘Ik kreeg een hausse aan gekke telefoontjes’
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2025/10/27092132/281025ECO_2020622522_lek.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/27191233/270526BUI_2034038419_klette.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/27155859/270526VER_2034032128_expert.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/27171026/270526VER_2034035441_.jpg)
English (US) ·