Klaar voor NIS2-wetgeving. De bestuurder is aansprakelijk voor de cybersecurity in de zorg

Steeds vaker zien we berichten in de media verschijnen over persoonsgegevens die gestolen zijn. Datalekken maken een organisatie enorm kwetsbaar.

De Network and Information Security Directive (NIS2-wetgeving), vastgesteld door de Europese Unie, heeft tot doel de digitale en economische weerbaarheid van organisaties te versterken. Zorgorganisaties moeten maatregelen nemen om datalekken en cyber securityproblemen tegen te gaan. Een belangrijk onderdeel van de NIS2-wetgeving is dat bestuurders persoonlijk aansprakelijk worden gesteld voor de weerbaarheid van de organisatie.

De NIS2-wetgeving komt bovenop de NEN7510 waar zorgorganisaties al aan moeten voldoen. Niet alleen vult dit de zorgplicht in, er is ook sprake van meldplicht en toezicht.

De zorgsector is kwetsbaar
De zorgsector is steeds vaker het doelwit van cyberaanvallen. Datalekken in de zorg kunnen ernstige gevolgen hebben, niet alleen voor de privacy van patiënten maar ook voor de beschikbaarheid van cruciale gezondheidsdiensten.

Door drie grote datalekken kwamen zelfs de medische gegevens van 900.000 mensen in verkeerde handen. Onderzoek van Z-cert uit 2023 (Cybersecurity Dreigingsbeeld voor de zorg 2023) toont een wereldwijde stijging van 73% van datalekken aan t.o.v. 2022. Een enorme stijging.

 

Gedrag is een belangrijk onderdeel van cyber security

Recenter onderzoek (2023 Verizon Data Breach Investigations Report) toont aan dat 74% van alle datalekken komt door menselijk gedrag. Dit varieert van het versturen van gevoelige informatie naar verkeerde ontvangers, het verlies van onbeveiligde apparaten tot aan klikken op phishing-links.

 

In het kort: de NIS2-richtlijn legt een grotere verantwoordelijkheid op het gebied van cyber security bij zorgorganisaties en hun leiders, waaronder de bestuurder. Het is van vitaal belang dat zij proactieve maatregelen nemen om de digitale veiligheid te waarborgen en te voldoen aan de nieuwe wetgeving. Deze digitale veiligheid gaat dus verder dan de technische beveiliging. Het gedrag van alle medewerkers in de organisatie draagt bij de digitale veiligheid.

Onveilig gedrag zoals het delen van inloggegevens, het negeren van beveiligingswaarschuwingen of het gebruik van zwakke wachtwoorden kan een enorme impact hebben. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens valt onder een datalek.

Zorgorganisaties kunnen zich voorbereiden op de NIS2-wetgeving door gebruik te maken van het programma Informatieveilig gedrag in de zorg, uitgevoerd door stichting ECP | Platform voor de Informatiesamenleving in opdracht van het ministerie van VWS.

Dit programma heeft tot doel gedragsverandering bij zorgprofessionals te bevorderen op het gebied van informatieveiligheid.

Bevorder informatieveilig gedrag

De bestuurders moeten actief betrokken zijn bij het waarborgen van informatieveilig gedrag. Met de Wegwijzer hebben zij een handig stappenplan dat specifiek gericht is op zorgorganisaties. Het biedt praktische richtlijnen om veilig gedrag te stimuleren en obstakels weg te nemen. Bekijk hier de stappen van de Wegwijzer.

Daarnaast is er ook de Toolkit ‘Veilig communiceren’. Deze toolkit helpt de zorgorganisatie digitaal veilig te maken! Krijg handvatten en handige tips zodat jouw medewerkers de juiste gedragsmentaliteit ontwikkelen en de informatieveiligheid van jouw organisatie vergroot wordt.