Zorgbestuurders zijn aansprakelijk voor goede digitale veiligheid van hun organisatie. Ze hebben echter ook plichten als de digitale veiligheid bij een andere organisatie heeft gefaald en zij daar gevolgen van ondervinden. Is dat wel terecht als er weinig aanbieders zijn en het bovendien moeilijk is om over te stappen, zoals bij epd-leveranciers?
“Als je een epd van ChipSoft gebruikt, moet je als bestuurder controleren dat ChipSoft de juiste beveiliging heeft, op de juiste manier back-ups maakt en welk beleid er is bij hacks is”, aldus Melanie van den Berg, adviseur risicomanagement en cyberweerbaarheid voor bestuur en toezicht in de zorg. Ook moeten bestuurders zorgen voor een adequate reactie op bijvoorbeeld hacks.
Nu de plichten alleen nog in de Network and Information Systems Security Directive (NIS2-)richtlijnen staan, zijn bestuurders nog niet wettelijk aansprakelijk bij nalatigheid. Als de Cyberbeveiligingswet, die is aangenomen in de Tweede Kamer, in werking treedt, wordt de zorgplicht van bestuurders en dus hun aansprakelijkheid zwaarder.
Wat vindt u?
