Hoe houdt overheid toezicht op informatiebeveiliging in de zorg?

toezicht informatiebeveiliging
04 september 2025 - 07:004 minuten leestijdAchtergrondSecurity & AwarenessEurofinsIGJNEN
Bouko de Groot
Bouko de Groot
bouko@computable.nl

Privacygevoelige gegevens van miljoenen Nederlanders worden dagelijks gedeeld tussen de vele zorgorganisaties die ons land telt. Om dat op een veilige manier te doen, zijn er wettelijke normen opgesteld. Toezicht daarop heeft de Inspectie Gezondheidszorg en Jeugd (IGJ). ‘Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm.’ Deel 5 van de serie over informatiebeveiliging in de zorg.

De hack bij een Clinical Diagnostics-lab van Eurofins laat zien hoe kwetsbaar de informatiebeveiliging in de Nederlandse zorg is. Zowel dat lab als zijn cliënten – de zorgorganisaties die de gegevens van honderdduizenden Nederlanders aan het lab gaven – moeten zich aan NEN 7510 en NEN 7512 houden, de wettelijke normen voor informatiebeveiliging in de zorg. Het toezicht daarop valt onder de verantwoordelijkheid van de Inspectie Gezondheidszorg en Jeugd, de IGJ.

Computable praat daarover met Karly Tánczos, woordvoerder van de IGJ. De inspectie verwacht bijvoorbeeld dat instellingen aantoonbaar een information security management system (isms) hebben dat aan de norm voldoet, en dat ze een getoetst continuïteitsplan hebben.

Hoe houdt de IGJ toezicht op informatiebeveiliging bij zorgorganisaties?

‘Tijdens ons toezicht vragen wij zorgaanbieders te laten zien dat het managementsysteem voor informatiebeveiliging werkt en dat zij passende beheersmaatregelen nemen, zowel technisch als organisatorisch. Zorgaanbieders kunnen dit laten zien met een onafhankelijke beoordeling; het is een eis in de norm dat zij over een dergelijke beoordeling beschikken, certificering is echter niet verplicht.’

Hóé laten zorgorganisaties dat zien?

‘De IGJ ziet hiervoor het rapport van een onafhankelijke beoordeling in, die de zorgaanbieder – zoals gesteld in de NEN 7510 – met regelmaat moet laten verrichten door een onafhankelijke deskundige. De IGJ heeft hier geen template voor, maar stelt hieraan wél voorwaarden.’ (Zie ook onderstaand kader.)


De IGJ verwacht van een onafhankelijke beoordeling altijd het volgende:

  • De zorgaanbieder kan onderbouwen waarom de beoordelaar deskundig en onafhankelijk was. Dit blijkt bijvoorbeeld uit het rapport van de beoordeling.
  • In het rapport is de indeling van de NEN 7510 duidelijk te herkennen. Dat betekent dat duidelijk is hoe het staat met:
    • elk onderdeel van het information security management system (hoofdstuk 4 tot en met 10 van de NEN7510) en
    • de beheersmaatregelen (bijlage A van de NEN 7510).
  • De auditor kijkt niet alleen naar de plannen op papier. De auditor kijkt ook naar (bewijs voor) hoe de informatiebeveiliging werkt in de praktijk.
  • In het rapport staat:
    • hoe de controle is uitgevoerd;
    • met wie is gesproken (en in welke rol);
    • welk bewijs is gebruikt;
    • hoe het bewijs is verzameld;
    • hoe de zorgaanbieder meet en bijstuurt, ook op de beheersmaatregelen uit bijlage A van de NEN7510.
  • Het is duidelijk hoe de organisatie (ook in de toekomst) onafhankelijke beoordelingen regelt.
Werkt de IGJ samen met certificerend instellingen?

‘In het toezicht op informatiebeveiliging werkt de IGJ niet samen met certificerende instellingen. Wel verwacht de IGJ, conform de norm, bij het uitvoeren van toezicht dat zorgaanbieders beschikken over een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging. Een rapport of certificaat van een certificerende instelling geldt als een voorbeeld van een dergelijke onafhankelijke beoordeling.’

Welke certificerende instellingen moeten hiervoor ingeschakeld worden?

‘Er zijn verschillende instellingen die mogen certificeren, mits zij geaccrediteerd zijn door NEN. Echter, certificering is niet wettelijk verplicht. Het moeten beschikken over een onafhankelijke beoordeling volgt wél uit de norm.’

Gaat de IGJ haar richtlijnen of interne procedures aanpassen vanwege de hack?

‘Dat is nu niet aan de orde, we focussen ons nu op het onderzoek. Dat NEN 7510 wel wat voeten in de aarde heeft voor zorgorganisaties, begrijpt de IGJ al langer. Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm. Er zijn veel vragen over dit onderwerp. Daarom hebben we de belangrijkste op een rijtje gezet. Deze informatie is vooral bedoeld voor bestuurders en verantwoordelijken voor informatiebeveiliging bij zorgaanbieders. Denk aan: hoofden ict en security officers.’

De belangrijkste vragen beantwoordt de inspectie op de speciale online informatiepagina. Voor meer informatie over digitale zorg in bredere zin, stelt de IGJ het toetsingskader ‘toezicht op digitale zorg bij zorgaanbieders’ beschikbaar. Over het verbeteren van de informatiebeveiliging, zoals informatieveilig gedrag, wordt in samenwerking met de overheid ook nagedacht.

De andere delen van deze serie zijn hier te vinden.

    Whitepapers

    Computable.nl

    Security dreigingen 2025 in beeld

    De nieuwste inzichten uit het wereldwijde security-landschap

    Computable.nl

    5 must-haves om video-onderzoek een boost te geven

    Over toekomstbestendig video-onderzoek

    Computable.nl

    Grip op de soevereine cloud

    Van bewustwording naar daadwerkelijke controle. Sleutelrol voor CIO en CFO.

    Geef een reactie

    Meer lezen

    Footer