De cyberaanval op ChipSoft, leverancier van het elektronisch patiëntendossier voor een groot deel van de Nederlandse ziekenhuizen en huisartsenpraktijken, was voor veel bestuurders verontrustend nieuws. Maar een dergelijke aanval zou geen verrassing mogen zijn.
Z-CERT, het expertisecentrum voor cybersecurity in de zorg, zegt het al jaren: het is niet de vraag óf een zorginstelling wordt getroffen, maar wanneer. De ChipSoft-hack laat zien wat er gebeurt als die waarschuwing realiteit wordt. En hoe kwetsbaar zelfs goed georganiseerde zorginstellingen zijn als de aanval niet via hun eigen systemen komt, maar via de leverancier die ze blindelings vertrouwen.
Laten we duidelijk zijn: compliance geeft geen garantie op weerbaarheid in de praktijk. Ook cyberaanvallen worden steeds vernuftiger.
De gevaarlijke illusie bij zorginstellingen
We zien bij zorginstellingen een patroon dat ons zorgen baart. In veel bestuurskamers horen we een variant van hetzelfde argument: ‘We hebben NEN7510. We zijn in control'. Dat klinkt geruststellend; tot het moment dat het er werkelijk toe doet. Een dergelijke certificering betekent niet per definitie dat je als instelling in staat bent een aanval op je supplychain af te slaan. Om dat te kunnen doen, moet je gaan denken in dreigingsscenario's als onderdeel van je cyberrisicomanagement.
Certificeringen als NEN7510 bieden een belangrijk kader. Ze maken inzichtelijk of je je processen hebt ingericht, verantwoordelijkheden hebt belegd en risico’s systematisch hebt vastgelegd. Wat ze echter niet vaststellen, is hoe een organisatie functioneert als die processen onder maximale druk komen te staan. Ze zeggen weinig over de vraag of back‑ups in de praktijk herstel bieden na een ransomware‑aanval, of een crisisteam – midden in de nacht – daadwerkelijk weet welke beslissingen nodig zijn als het elektronisch patiëntendossier plotseling onbereikbaar is. Juist dat verschil tussen formele beheersing en operationele weerbaarheid wordt pas zichtbaar als het er echt op aankomt.
Het verschil tussen een formele certificering en daadwerkelijke weerbaarheid zit niet in wat op papier is vastgelegd, maar in hoe een organisatie functioneert onder druk. De ChipSoft‑hack laat zien dat beveiligingsmaatregelen die binnen de eigen organisatie op orde zijn, niet altijd bescherming bieden als verstoringen buiten die grenzen ontstaan. Bij leveranciers waarvan systemen diep zijn verweven met je primaire zorgprocessen. Juist daar blijkt hoe kwetsbaar die afhankelijkheden in de praktijk kunnen zijn.
De continuïteit van zorg
Laten we concreet maken wat een cyberincident betekent voor een ziekenhuis of huisartsenpraktijk. Het gaat hier niet om een abstract technisch probleem, maar om de continuïteit van zorg. Als het elektronisch patiëntendossier niet beschikbaar is, worden zorgprocessen verstoord: artsen hebben geen toegang tot actuele patiëntinformatie, medicatiecontroles worden ingewikkelder en geplande ingrepen worden mogelijk uitgesteld. In acute situaties kan dat leiden tot extra druk op omliggende instellingen, omdat patiënten moeten worden doorverwezen. Juist in een sector die al onder spanning staat, kunnen zulke verstoringen snel voelbaar worden, met mogelijke gevolgen voor de veiligheid van patiënten.
En dan zijn er de patiëntgegevens zelf. Bij een eerdere cyberaanval op een laboratorium in de zorgsector kregen aanvallers toegang tot de gegevens van ongeveer 850.000 patiënten. Medische dossiers vertegenwoordigen op de zwarte markt een bijzondere waarde, juist omdat de informatie die zij bevatten niet kan worden gewijzigd. Een bloedgroep blijft dezelfde, net als een medische voorgeschiedenis. Zodra dergelijke gegevens zijn buitgemaakt, is dat verlies in feite permanent.
Daarop worden bestuurders en toezichthouders aangesproken. Niet op de vraag of je een certificaat had, maar op de vraag of je aantoonbaar passende maatregelen hebt genomen om dit te voorkomen. Of je effectief hebt gestuurd op die maatregelen. Was je in control en op de hoogte van de risico's? Volgens de Europese richtlijn NIS2 ligt die verantwoordelijkheid bij iedere bestuurder persoonlijk, maar rust ook op de organisatie als geheel.
Niet wachten, maar investeren in weerbaarheid
De rol van de overheid is hierbij naar ons idee van groot belang. Het voldoen aan regelgeving is een belangrijke overheidstaak. Het is dan ook logisch dat de overheid vooral stuurt op de compliance vanuit beleid en vanuit het toezicht. Maar door de focus te veel op compliance te leggen kan de aandacht voor het actief werken aan weerbaarheid in zorginstellingen op de achtergrond raken.
Bestuurders kampen met krappe budgetten en realiseren zich heel goed dat hier actie op nodig is. Ze moeten echter een afweging maken in een context met heel veel andere prioriteiten. Een oproep om nog even te wachten kan het verkeerde effect hebben. Hackers wachten ondertussen niet op overheidsrichtlijnen. Ransomwaregroepen plannen hun aanvallen niet rond de NIS2-implementatieagenda. En als je ziekenhuis morgenochtend wordt platgelegd, moet je voldoende geoefend hebben om snel te kunnen handelen.
Compliance en actie sluiten elkaar niet uit
Laten we wel een misverstand wegnemen: wij pleiten niet tegen een gecoördineerde sectoraanpak. Integendeel, de rol van Z-CERT als expertisecentrum is waardevol voor incidentrespons, dreigingsinformatie en collectieve weerbaarheid. En een breed gedragen kader voor cybersecurity in de zorg is welkom.
Maar een sectoraanpak en eigen verantwoordelijkheid zijn geen keuze. Het is allebei.
Zorginstellingen hebben met de ChipSoft-hack een waarschuwing gekregen om meer te gaan denken in dreigingsscenario's. Ze doen er verstandig aan verdediging tegen dit soort hedendaagse dreigingen na te lopen en te verstevigen om beter voorbereid te zijn op toekomstige incidenten.
Wat je deze maand kunt doen
We eindigen niet met een abstract pleidooi voor ‘meer aandacht voor cybersecurity'. Dat heb je al genoeg gehoord. In plaats daarvan vier concrete stappen die je als bestuurder deze maand kunt zetten:
Wachten is geen strategie
De zorgsector staat onder enorme druk. We begrijpen dat budgetten krap zijn, personeel schaars is en cybersecurity concurreert met tientallen andere prioriteiten. Maar de kosten van een cyberincident - financieel, operationeel, reputatie -wegen niet op tegen de investering in weerbaarheid.
De ChipSoft-hack is een waarschuwing. Niet de eerste, maar hopelijk wel het moment waarop bestuurders in de zorg besluiten dat wachten geen strategie is.
Ontdek hoe we kunnen helpen jouw cybersecurity te verbeteren
Over de auteurs
