Zorginstellingen zijn veel tijd kwijt aan het uitvragen van informatiebeveiligingsmaatregelen bij ICT-leveranciers. Tegelijkertijd besteden leveranciers veel tijd aan het beantwoorden van die vragen — vaak in net andere formats, terwijl ze inhoudelijk hetzelfde zijn. Kostbare tijd die beter besteed kan worden aan goede zorg en veilige producten. Deze blog is een oproep aan beide partijen: help elkaar in plaats van elkaar te belasten, zodat informatiebeveiliging in de zorg écht beter wordt.
Met de komst van nieuwe wet- en regelgeving, zoals NIS2 (Cyberbeveiligingswet), NEN 7510:2024 en DORA (voor de financiële sector), kiezen wetgevers steeds vaker voor een ketenaanpak: zorginstellingen krijgen een wettelijke verantwoordelijkheid om strengere eisen te stellen aan hun ICT-leveranciers. Deze leveranciers moeten op hun beurt zorgen dat ook hun onderaannemers aan die eisen voldoen.
Dat is een slimme zet vanuit de wetgever: in plaats van op alle partijen apart toezicht te houden, wordt de verantwoordelijkheid belegd bij de partij die al verplicht is om te voldoen — de zorginstelling. Maar in de praktijk leidt dit tot extra werk en wrijving.
In mijn rol als Security Officer bij zowel ICT-leveranciers als zorginstellingen zie ik dagelijks hoe deze aanpak uitpakt. Steeds meer zorginstellingen stellen kritische vragen over de informatiebeveiliging van hun leveranciers en onderaannemers — een goede ontwikkeling. Maar de manier waarop dit gebeurt, levert onnodig veel werk en irritatie op. Elke zorginstelling gebruikt namelijk een eigen vragenlijst. Die zijn inhoudelijk vaak vergelijkbaar, maar nét anders opgesteld, waardoor ICT-leveranciers telkens opnieuw veel tijd kwijt zijn aan het beantwoorden ervan.
Wat daarbij wringt: bestaande certificeringen zoals ISO 27001, NEN 7510 of ISO 27701 worden regelmatig genegeerd of slechts als aanvulling gevraagd. Leveranciers vragen zich terecht af: wat is dan nog de waarde van zo’n certificaat?
Mijn oproep aan zorginstellingen: gebruik deze certificeringen juist als basis. Vraag naar de Verklaring van Toepasselijkheid (VvT) waarin leveranciers toelichten welke beheersmaatregelen zij hebben genomen. Heeft een leverancier geen certificering? Gebruik dan de onderliggende norm (zoals NEN 7510) als leidraad voor je vragenlijst. Zo ontstaat er meer uniformiteit, wat de efficiëntie vergroot en de kwaliteit van informatiebeveiliging ten goede komt.
Een andere veelvoorkomende misvatting: dat een leverancier met een NEN 7510-certificaat automatisch ook producten levert die je als zorginstelling aan die norm laten voldoen. Dat is niet automatisch het geval. Zo’n certificaat toont aan dat de leverancier een informatiebeveiligingsmanagementsysteem heeft ingevoerd, risico’s heeft beoordeeld en passende maatregelen heeft genomen in de eigen bedrijfsvoering — maar zegt niets over de functionaliteit van het product.
Een treffend voorbeeld is logging. De NEN 7510 stelt duidelijke eisen aan het vastleggen, beveiligen en controleren van logbestanden. Deze eisen zijn verder uitgewerkt in NEN 7513. Toch zie ik regelmatig dat zorgapplicaties te weinig functionaliteit bieden: logging is onvolledig, onvoldoende beveiligd, of nauwelijks doorzoekbaar zonder ingewikkelde maatregelen.
Daarom mijn oproep aan ICT-leveranciers: zorg ervoor dat je producten zodanig zijn ingericht dat zorginstellingen de aan hen gestelde normen ermee kunnen naleven — zonder kunst- en vliegwerk of het accepteren van hoge risico’s.
Laten we elkaar niet bezighouden, maar vooruithelpen. Door beter gebruik te maken van standaarden en certificeringen, en door software te bouwen die informatiebeveiligingen compliance faciliteert , zorgen we samen voor betere informatiebeveiliging én meer ruimte voor zorg en innovatie.
Daar profiteren we uiteindelijk allemaal van. Want vroeg of laat zijn we allemaal patiënt of cliënt.
Start dit jaar nog met de transitie naar de NEN 7510:2024!
