HomeZakelijkThe Digital DutchBlogSecurity in de zorg: de kracht van bestuurlijke afspraken
Labels:

Security in de zorg: de kracht van bestuurlijke afspraken

17-02-2026
Je kan de securitytechnologie nog zo goed inrichten, als regels en afspraken niet duidelijk zijn, dan heb je er niets aan. Dan verdwijnt digitale weerbaarheid van je zorgorganisatie uit zicht. Bestuurlijke borging, inclusief duidelijke afspraken en breed bewustzijn van het belang van wet- en regelgeving, helpen je. Wanneer je dat steeds meeneemt, in elke stap, dan weet je: het securitybeleid is robuust en uitvoerbaar, zonder dat het de zorg in de weg zit.
HomeZakelijkThe Digital DutchBlogSecurity in de zorg: de kracht van bestuurlijke afspraken

Houvast voor beleid

Voldoen aan wet- en regelgeving is voor veel zorgorganisaties een belangrijke prioriteit én een stevige uitdaging. Van de AVG tot NEN7510: zorgprofessionals houden zich liever bezig met zorg verlenen dan met de privacyregels of veilige inlogprocedures. Toch kan (en wil) niemand er in de zorg omheen.

Door securitywet- en regelgeving goed te verankeren in bestuur en beleid, en het mee te nemen in elke stap van je digitale weerbaarheid, kan het je ook helpen. Doordat regelgeving (zoals de AVG en de de nieuwe Cybersecuritywet, de Cbw) ook handvatten geeft voor beleid en uitvoering bijvoorbeeld. Zo bezien zijn wetten geen controle-instrument, maar een leidraad bij het stellen van prioriteiten en keuzes over investeringen.

Zoveel meer dan ‘bureaucratie’

Vergelijk het met een huis: wet- en regelgeving hoort ook daar onlosmakelijk bij. Niet als iets dat van buitenaf wordt opgelegd, maar als iets dat bepaalt hoe het huis gebouwd, gebruikt en onderhouden wordt. Als een huis instort, is er niemand die brandveiligheid of bouwvoorschriften ‘bureaucratie’ noemt.

Wet- en regelgeving over informatiebeveiliging is dus geen extra laag bovenop je organisatie, maar maakt onderdeel uit van de constructie. En die constructie vraagt juist in de zorg om extra aandacht. Je huis is immers een plek waar kwetsbare mensen verblijven, waar vertrouwen centraal staat en waar fouten grote gevolgen kunnen hebben. Van verlies van mensenlevens tot forse reputatieschade.

Iemand moet overzicht houden

In een huis waar veel mensen wonen, is het niet genoeg dat iedereen z'n best doet. Iemand moet het overzicht houden en die verantwoordelijkheid ook echt op zich nemen. Niet door alles zelf te doen, maar door ervoor te zorgen dat het huis als geheel veilig is. Bestuurlijke borging gaat daarover. Over de vraag wie bewaakt dat losse beslissingen niet ongemerkt gaten slaan in de constructie. Over hoe keuzes worden gemaakt en vastgehouden, ook als de druk hoog is of de bezetting verandert. Wetten en regels, zoals de Cbw, kunnen daarbij een referentiepunt zijn. Ze helpen een verantwoordelijke aan te wijzen en samen het gesprek te voeren: vinden we dit veilig genoeg? Past dit bij het vertrouwen dat mensen in ons stellen?

Je locatie bepaalt wetgeving

En dan hebben we het nog niet eens gehad over de locatie van het huis. Want dat bepaalt onder welke wet- en regelgeving, van welk regime, je valt. Voor een huis van steen en hout is dat duidelijk, voor je digitale omgeving een stuk minder. Want waar staan je clouddiensten precies? En waar gaan je cliënt- en patiëntgegevens naartoe, naar welk land?

Maak je gebruik van clouddiensten, dan is het bovendien belangrijk je te realiseren dat één clouddienst vaak weer een keten aan clouddiensten (en leveranciers) achter zich heeft. En die kunnen zich op allerlei locaties bevinden. Sommige werken bijvoorbeeld met ingebouwde AI-toepassingen van internationale leveranciers, andere hebben hun diensten ondergebracht in een extern datacenter.

Europees of Amerikaans?

Vanuit Europese en Nederlandse regelgeving, de AVG en de Cbw, ben jij als zorgorganisatie verplicht grip te hebben op de aan jou toevertrouwde persoonsgegevens én op de informatiebeveiliging in de hele keten. Op welke locatie ze zich ook bevinden.

Tegelijk kan bijvoorbeeld de Amerikaanse overheid vanuit de Cloud Act persoonsgegevens opvragen wanneer één van de clouddienstverleners waar je (indirect) mee werkt, gevestigd is in Amerika. Als zorgorganisatie zit je dan tussen 2 vuren. Want ook al gelden internationale afspraken, met de Cloud Act kan de Amerikaanse overheid die afspraken overrulen. Ook als data binnen de Europese grenzen zijn opgeslagen. Dat dat niet alleen voor Amerikaanse wetgeving geldt, laat de OVHcloud-zaak zien.

Cloudleverancier klem tussen Europees en Canadees recht

Digitale autonomie is ingewikkeld. Zo zat de Franse clouddienstverlener OVHcloud laatst klem tussen Europees en Canadees recht, nadat de Canadese politie klantdata bij ze had opgevraagd. Data, gelokaliseerd in Frankrijk. Normaal gaat dat via zogeheten ‘Mutual Legal Assistance Treaties’, oftewel: MLAT-procedures, maar nu eiste de politie, via de Canadese dochteronderneming van OVHcloud, directe inzage. De Canadese rechtbank gaf de politie gelijk.

Dat maakt Europese cloudaanbieders met internationale dochterondernemingen kwetsbaar. Want als buitenlandse rechtbanken data kunnen opeisen alleen omdat een bedrijf in dat land commercieel aanwezig is, dan zijn data niet meer automatisch veilig binnen de EU. Als zorgorganisatie zou je je dus niet alleen moeten afvragen waar je data staan, maar vooral wie uiteindelijk de juridische zeggenschap heeft over de infrastructuur (bron: iBestuur.nl).

Digitaal weerbaarder worden

Bij KPN Health ondervangen we die kwetsbaarheid op meerdere manieren. Van organisatorische beschermingsconstructies tot technische maatregelen: wij zorgen ervoor dat je controle hebt over de leveranciersketen en dat je data beschermd zijn. Of het nu patiënt- en cliëntdata, labdata, medische data of onderzoeksdata zijn. Met die bescherming voldoe je aan wet- en regelgeving en vergroot je de digitale weerbaarheid van je zorgorganisatie. Meer daarover lees je in ons onderzoeksrapport ‘Continuïteit zorg onder druk’.

De 10 belangrijkste checks

  1. Ben je compliant met NEN7510, ISO27001, AVG (GDPR), Cbw (NIS2), Wabvpz en Wkkgz?
  2. Werk je samen met andere regio’s en/of domeinen, en heb je daardoor te maken met andere wet- en regelgeving (zoals BIO)?
  3. Zijn de eigen audits actueel en zijn de bevindingen opgevolgd?
  4. Ben je voorbereid op een audit door de Autoriteit Persoonsgegevens of IGJ?
  5. Wie is formeel verantwoordelijk voor informatiebeveiliging?
  6. Zijn securityprocessen aantoonbaar op orde?
  7. Is er een vastgesteld en actueel beveiligingsbeleid? Is het duidelijk, toegankelijk en gedragen binnen de organisatie?
  8. Is er een FG (Functionaris Gegevensbescherming) en CISO? Zijn hun rollen duidelijk?
  9. Is security(beleid) structureel onderdeel van de agenda van directie of MT?
  10. Weet je zeker dat verantwoordelijkheden voor toegang, beheer en controle goed belegd zijn?

Serie blogs: de 6 stappen

In een serie blogs doorlopen we met jou de 6 stappen richting digitale weerbaarheid. Je ontdekt hoe je doelgericht de beste afwegingen voor jullie organisatie kan maken. Dit zijn de 6 stappen: Identificeer, Bescherm, Detecteer, Reageer, Herstel en Bestuurlijke borging. In dit afsluitende blog gaan we in op het belang van bestuurlijke borging en het houvast dat wet- en regelgeving je kan geven.

Wil je liever met één van onze specialisten in gesprek? Dat kan ook. Maak hieronder vrijblijvend een afspraak.

Wil je weten hoe KPN jouw organisatie kan helpen?

Neem contact op
Illustratie hand & kalender - groene achtergrond
Artikel delen
Tags
Labels: