De Cbw beoogt diverse organisaties van groot maatschappelijk belang te helpen hun weerbaarheid tegen de dreiging van cyberaanvallen te vergroten. Organisaties in de gezondheidszorg kunnen hier ook onder vallen . We moeten er immers niet aan denken dat het ERP-systeem van een fabrikant van essentiële geneesmiddelen lam gelegd wordt. Dit zou direct gevolgen hebben voor de veiligheid en de gezondheid van patiënten die dat geneesmiddel nodig hebben.

Incidenten

De organisaties in de zorg waarop de Cbw van toepassing is, moeten onder andere passende beveiligingsmaatregelen nemen en ernstige (‘significante’) IT-incidenten melden. In de praktijk hoor ik van ziekenhuizen vaak: “Wij werken al volgens de toepasselijke NEN- en ISO-normen, dus wij voldoen toch ook aan de NIS2”. De vraag is of dat wel zo is.

Hoewel de Cbw enkel ‘bepaalde’ zorgorganisaties aanwijst die onder de Cbw vallen, zal deze wet al snel voor veel organisaties gelden. Deze is namelijk van toepassing als de organisatie:

• ten minste vijftig werknemers in dienst heeft, en/of
• 10 miljoen euro omzet maakt, en
• zich kwalificeert als een van de volgende type entiteiten: ‘zorgaanbieder’, ‘EU-referentielaboratorium’, ‘entiteit die onderzoeks- en ontwikkelingsactiviteiten uitvoert voor geneesmiddelen’, ‘entiteit die farmaceutische producten vervaardigt’ of ‘entiteit die medische hulpmiddelen vervaardigt voor noodsituaties’.

Gevolgen

Wanneer de Cbw op de zorgorganisatie van toepassing is, heeft dat de volgende gevolgen:

• Registratieplicht: de organisatie moet zich aanmelden bij de NCSC;
• Zorgplicht: de organisatie moet passende beveiligingsmaatregelen treffen om de risico’s voor de netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten aansluiten op de bekende normen NEN7510:2024, ISO/IEC 27001 en 27002 (2022) of een gelijkwaardig beschermingsniveau bieden. Dit is voor zorgaanbieders al ‘gesneden koek’ omdat zij hun uitwisselings- en zorginformatiesystemen (zoals het ZIS of PACS) conform die NEN7510 moeten beveiligen op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).

Alle systemen

Maar let op: de Cbw geldt voor alle netwerk- en informatiesystemen die de organisatie gebruikt. Er moeten dus ook aantoonbare beveiligingsmaatregelen getroffen zijn voor de IT-systemen die niet direct met persoonlijke gezondheidsinformatie werken, zoals applicaties voor hr, financiën en camerabeveiliging.

• Meldplicht: de Cbw verlangt dat de zorgaanbieder significante IT-incidenten meldt bij Z-CERT en IGJ. Dat is bijvoorbeeld het geval wanneer een kritisch zorgproces langer dan vier uur geheel of gedeeltelijk stilvalt, of wanneer als gevolg van een hack belangrijke IT-systemen of gevoelige data zijn aangetast. Het melden gaat in drie stappen: binnen 24 uur een vroegtijdige waarschuwing, een vervolgmelding binnen 72 uur en een eindverslag na één maand. Naast het melden van datalekken bij de AP krijgen organisaties in de zorg er dus een extra meldplicht bij (die specifiek ziet op cyberincidenten);
• Governance: het bestuur is verantwoordelijk; zij moet de maatregelen goedkeuren en toezien op de uitvoering daarvan;
• Mate van toezicht: wanneer de zorgorganisatie wordt aangemerkt als een ‘essentiële entiteit’ (bijvoorbeeld vanwege de omvang van de organisatie) krijgt zij te maken met toezicht vooraf (dus proactief en niet enkel bij incidenten);
• Boetes: de IGJ kan boetes opleggen tot maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet.

Kortom: digitale weerbaarheid in de zorg is belangrijker dan ooit. Dus bereid u zo snel mogelijk voor op de Cbw.

Door Jasper Hulsebosch, advocaat bij De Vos & Partners Advocaten N.V.