NIS staat voor Network and Information Security. Deze tweede Europese richtlijn wordt momenteel omgezet naar nationale wetgeving die eind 2024 in werking moet treden. Doel is een hoog gezamenlijk niveau van cyberbeveiliging in de Unie voor vrijwel alle organisaties. Daar kun je bijna niet tegen zijn, maar hoever moeten we nog gaan in de zorg? We moeten al zoveel op het gebied van informatiebeveiliging.

Grote impact

Het lijkt erop dat het lopende wetsontwerp voor NIS2 de gehele gezondheidszorg als ‘essentiële entiteit’ en ‘zeer kritieke sector’ zal aanmerken. Duizenden zorgaanbieders met grofweg meer dan vijftig medewerkers in de ggz, jeugdzorg, vvt, ziekenhuiszorg, jeugdgezondheidszorg en gehandicaptenzorg krijgen te maken met risicobeheersmaatregelen, rapportageverplichtingen, regels en verplichtingen met betrekking tot het delen van cyberbeveiligingsinformatie en toezichts- en handhavingsverplichtingen. Ook moeten leden van bestuursorganen een verplichte opleiding volgen en aansluiting bij een cyber security incident responseteam (CSIRT) wordt verplicht.

Naast de genoemde verplichtingen kunnen aan de grotere zorgaanbieders boetes opgelegd worden van maximaal 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Voor de middelgrote zorgaanbieders van 50 tot 250 medewerkers is dat 7 miljoen euro of 1,4 procent.

Zorgvuldige afweging nodig

Ik hoop van harte dat de wetgever een zorgvuldige afweging gaat maken en artikel 21 lid 1 van de richtlijn naar eer en geweten volgt. In dat artikel staat dat lidstaten ervoor moeten zorgen dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s [..] te beperken. En daarbij (kort gezegd) rekening houdend met stand der techniek, uitvoeringskosten en evenredigheid van maatregelen met inbegrip van de maatschappelijke en economische gevolgen. De richtlijn bepaalt ook dat financiële en administratieve lasten niet onevenredig mogen zijn. Ik pleit ervoor om al deze afwegingen voor de zorg zorgvuldig, gezamenlijk en eerlijk te doen.

Er komen regels bij

Want die toenemende lasten zijn er, met als gevolg dat er minder geld is voor het verlenen van zorg. Zorgaanbieders moeten sinds 2017 al aantoonbaar voldoen aan onder meer de NEN 7510, de norm voor informatiebeveiliging in de zorg. Een flink aantal maatregelen worden nu nog zwaarder aangezet en er komen meer regels en taken bij. Veel zorginstellingen zijn niet voorbereid op alle extra werkzaamheden, hebben geen geld en kunnen dit niet vanwege gebrek aan personeel. Ik zie nu al, net als bij de invoering van de AVG, dat bedrijven in dit gat springen en zorgaanbieders hun diensten aanbieden. Veel zorgaanbieders hebben weinig keus en zo wordt weer geld weggetrokken bij de zorg.

Zorgcontinuïteitsrisico

Waarom is het Besluit elektronische gegevensverwerking door zorgaanbieders uit 2017, met daarin de verplichting om te voldoen aan de NEN 7510, nu ineens niet meer voldoende? De NEN 7510 heeft continue dreigings- en risicoanalyses als fundament. En met de cyberwet komen ook de IT-leveranciers – als ‘beheerde diensten’ – onder direct toezicht te staan. Hiermee zijn de zorgaanbieders geholpen en nemen restrisico’s zelfs af.

Het zorgcontinuïteitsrisico is in de zorg lager dan menigeen denkt. Een geslaagde aanval op energie- of watervoorziening ontwricht een groot deel van de samenleving en raakt miljoenen mensen. Hoe anders is dat bij de zorg. Door het lokale en soms regionale karakter van de zorg is de impact relatief klein. Zorg blijft mensenwerk: als de IT stopt, gaat de zorg grotendeels door. En bij spoed is er altijd een andere zorginstelling dichtbij. Het is natuurlijk enorm vervelend en lastig, maar uit het recente verleden blijkt dat hacks in de zorg niet leiden tot ontwrichting van de zorgketen of samenleving. We zijn als sector niet volledig afhankelijk van een IT-systeem, ook niet in de ziekenhuizen.

Nu actie ondernemen

Ik verwacht van brancheorganisaties een leidende rol in het nemen van actie, maar tot nu toe is de reactie teleurstellend. Dit is wat er naar mijn mening moet gebeuren:

• De IZA benoemt de “stevige aanpak en ambitie om die administratieve lasten en regeldruk te verminderen”. Dit is dé kans om te laten zien dat dit geen loze woorden zijn. Brancheorganisaties: Jullie zaten aan tafel bij het IZA. Onderneem nu actie voor de zorg en uw leden! Zodat het geld bij de zorg blijft.
• Overtuig de wetgever dat de richtlijnen alle ruimte bieden om de zorgsector tegemoet te komen. Het belangrijkste is om de gehele zorgsector aan te merken als een belangrijke entiteit, in plaats van een essentiële entiteit. Zie alle argumenten hiervoor. Dat betekent minder maatregelen, minder controledruk en minder verantwoordingseisen. Geen direct toezicht maar reactief toezicht, zoals nu.
• Activeer uw brancheorganisatie en geef deze zomer uw reactie op de conceptwet op www.internetconsultatie.nl. Dit kan als burger, instelling en het liefst ook georganiseerd vanuit de brancheorganisatie. Gaat het niet de goede kant op, dan hebben we in de politiek nog een kans om een onevenredig zware wet tegen te houden.

Door: Gerard van den Berg, register IT-auditor. Daarnaast gecertificeerd information security manager en privacy professional.