Zeven toezichthouders bij organisaties die van vitaal belang zijn, pleiten voor meer aandacht voor het risicomanagement op het gebied van digitale veiligheid. Voor de zorgsector leverde de IGJ input, waarbij opvalt dat de vvt-sector het zorgenkindje is als het gaat om cybersecurity.
Verschillende toezichthouders kijken kritisch naar de digitale beveiliging van vitale processen en bedrijven, zoals het betalingsverkeer en de drinkwaterbedrijven. Ook de Autoriteit Persoonsgegevens (AP) speelt hierin een rol. De toezichthouders zetten hun bevindingen jaarlijks op een rij in een zogeheten “Samenhangend inspectiebeeld cybersecurity vitale processen”.
Tunnelvisie
In de meest recente versie daarvan, die afgelopen week verscheen, schrijven de toezichthouders dat er meer aandacht moet komen voor risicomanagement. Daaronder verstaan de toezichthouders dat cyberdreigingen continu in de gaten gehouden worden en er plannen liggen om daar mee om te gaan. ‘Aansturing op basis van een zo volledig mogelijke en actuele informatie bepaalt uiteindelijk hoe weerbaar een organisatie is tegen verstoring’, melden de toezichthouders. Ze waarschuwen voor tunnelvisie, waarbij scherp wordt gelet op bepaalde gevaren en andere buiten het gezichtsveld blijven.
Afhankelijk van ict
De IGJ houdt toezicht op de zorg en levert de bijbehorende input voor het inspectiebeeld. De inspectie constateert daarin dat de zorgsector in toenemende mate afhankelijk is ict. De beveiliging daarvan houdt daarmee niet altijd gelijke tred, constateert de IGJ op basis van bezoeken tussen 2017 en 2021. De inspectie hield de vinger aan de pols bij 22 ziekenhuizen, veertien ggz-instellingen en tien vvt-instellingen.
Onafhankelijk beoordeling
Ziekenhuizen zijn relatief het best beveiligd, zij hebben allemaal beleid gemaakt en maatregelen getroffen. Kanttekening: het merendeel van de bezochte ziekenhuizen kon op het moment van het inspectiebezoek niet duidelijk maken hoe effectief het informatiebeveiligingsbeleid was en hoe gewerkt werd aan verbetering. In de ggz ziet de IGJ veel aanbieders met een NEN-7510-certificaat, de norm voor cybersecurity in de zorg. Het ontbreekt soms nog wel aan onafhankelijk beoordeling van de cybersecurity.
Ongerustheid
De vvt-sector geeft de meeste reden tot ongerustheid. Geen enkele zorgaanbieders in de verpleeghuiszorg had bij het inspectiebezoek een onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging laten uitvoeren. Toen dat na het bezoek alsnog gebeurde, bleek daaruit vaak dat de risico’s onvoldoende in beeld waren en dat de beveiliging onder de maat was. Positief is volgens de IGJ dat vervolgens wel snel verbeteringen te zien waren.
Bestuurlijk gesprek
De IGJ en de andere toezichthouders willen niet alleen beoordelen, maar ook verbeteringen aanjagen. Ze kondigen aan meer te gaan variëren in hun activiteiten. ‘De ene keer een bestuurlijk gesprek, de andere keer een verbeterplan’, schrijven ze daarover.
