De Illusie van Veiligheid: Waarom de Zorgsector het Favoriete Doelwit van Hackers is

De grootste misvatting die ik de afgelopen 15 jaar in de Zorg-ICT ben tegengekomen? "Criminelen zijn niet geïnteresseerd in onze cliënten; we hebben immers geen miljoenen op de bank staan."

De harde cijfers vertellen een ander verhaal. De zorgsector is momenteel een van de zwaarst getroffen sectoren door ransomware in Europa, met een stijging van maar liefst 25% in het afgelopen jaar. En dat is geen toeval. Voor een cybercrimineel is een zorginstelling geen plek van barmhartigheid, maar een data-pakhuis met een ongekende waarde.

De Anatomie van een Goudmijn: Wat staat er werkelijk in een dossier?

Wanneer we praten over cliëntdossiers, denken we aan zorgplannen en voortgangsrapportages. Een hacker ziet echter een menukaart voor verschillende vormen van criminaliteit:

• Het BSN: In tegenstelling tot een creditcardnummer dat je kunt blokkeren, is een BSN levenslang bruikbaar voor identiteitsfraude. Zeker bij kwetsbare cliënten duurt het vaak lang voordat misbruik wordt opgemerkt.

• Gedragsprofielen: Informatie over cognitieve kwetsbaarheid vertelt een crimineel precies wie makkelijk te manipuleren is via telefoon- of babbeltrucs.

• Het Netwerk: Contactgegevens van familieleden en bewindvoerders zijn goud waard voor gerichte phishing-campagnes (denk aan de beruchte 'hulpvraag-fraude' via WhatsApp).

• Dagritmes: Gegevens over wanneer iemand therapie heeft of wanneer er zorgmedewerkers over de vloer komen, vormen een direct risico voor de fysieke veiligheid en inbraakgevoeligheid.

• Medische data: Gevoelige informatie over diagnoses of verslavingsgevoeligheid is puur chantagemateriaal (extortie).

De Drie 'Security-Killers' in de Bestuurskamer

Ondanks deze risico’s zie ik nog te vaak dezelfde drie argumenten die een gezonde security-strategie in de weg staan:

1. "Wij werken op basis van vertrouwen"

Een prachtig uitgangspunt voor de relatie tussen zorgverlener en cliënt, maar een rampzalig fundament voor je IT-infrastructuur. In de moderne ICT is Zero Trust de norm: vertrouw niets of niemand standaard, ongeacht of ze zich binnen of buiten het netwerk bevinden.

2. "Onze leverancier regelt alles"

Veel zorgorganisaties besteden hun IT uit en wanen zich daarmee veilig. Maar let op: je kunt de uitvoering uitbesteden, maar de verantwoordelijkheid nooit. Als een leverancier in de keten gehackt wordt, ben jij degene die de cliënten moet informeren en de AVG-boete van de Autoriteit Persoonsgegevens incasseert.

3. "We zijn te klein voor een aanval"

Hackers vissen tegenwoordig met sleepnetten, niet met een hengel. Geautomatiseerde bots zoeken 24/7 naar kwetsbaarheden in software. Ze kijken niet naar je omzetcijfers voordat ze toeslaan; ze kijken naar de zwakste schakel.

De impact van NIS2: Van IT-issue naar Bestuurskamer

Met de komst van de NIS2-richtlijn is "we dachten dat het goed zat" officieel geen legitiem verweer meer. De lat voor zorgorganisaties wordt aanzienlijk hoger gelegd. Belangrijker nog: de bestuurlijke aansprakelijkheid verschuift direct naar het bordje van de directie.

Compliance is niet langer een vinkje op een IT-checklist; het is een integraal onderdeel van cliëntveiligheid en continuïteit van zorg. Als de systemen platliggen, kan er geen medicatie worden toegediend en is de zorglocatie onbereikbaar. Cybersecurity is dus feitelijk patiëntveiligheid.

Conclusie

Het is tijd om het narratief te veranderen. We moeten stoppen met hopen dat we de dans ontspringen en beginnen met het bouwen van weerbaarheid. Niet omdat de wet het vraagt, maar omdat onze cliënten — de meest kwetsbaren in onze samenleving — recht hebben op de bescherming van hun meest persoonlijke gegevens.

Benieuwd hoe jouw organisatie ervoor staat wat betreft NIS2-richtlijnen en Zero Trust?

NIS2 is er niet voor niets. Regel je digitale veiligheid binnen jouw instelling.