Databeveiliging van veel Nederlandse huisartsenspoedposten voldoet niet aan wet

43 van de 49 Nederlandse organisaties die huisartsenspoedzorg leveren, voldoen niet volledig aan de wettelijk verplichte norm NEN 7510. In deze norm staat onder meer hoe organisaties de informatiebeveiliging moeten organiseren en garanderen.

De Nederlandse Inspectie Gezondheidszorg en Jeugd heeft alle 49 Nederlandse organisaties onderzocht die huisartsenspoedzorg leveren. Daaruit bleek dat slechts zes organisaties konden aantonen dat hun beveiliging volledig voldoet aan de NEN 7510-norm. Daarin staat welke maatregelen spoedposten moeten treffen om de digitale informatievoorziening te beveiligen, zoals het beperken van de toegang tot gevoelige data en het versleutelen van persoonsgegevens. Ook moeten organisaties volgens deze norm regelmatig hun informatiebeveiliging onafhankelijk laten beoordelen.

Hoewel 43 organisaties nog niet aantoonbaar voldeden aan de norm, kan dat in sommige gevallen ook komen doordat ze nog geen onafhankelijke beoordeling hebben laten uitvoeren. Elf organisaties verwachten dat ze bij zo'n audit wel aan de norm zullen voldoen. Volgens de inspectie is er bij alle instellingen wel bewustzijn rondom online beveiliging. Zo maken de meeste huisartsenspoedposten gebruik van 2fa en zijn werknemers getraind om risico's op het gebied van gegevensbeveiliging te beperken.

Alle organisaties die nog niet aan de NEN 7510-norm voldoen, moeten van de IGJ direct actie ondernemen. Ze moeten binnen zes maanden een onafhankelijke beoordeling laten uitvoeren van hun informatiebeveiliging. Uiterlijk eind 2026 moeten ze voldoen aan de norm. De inspectie zegt de voortgang in de gaten te houden.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 13-10-2025 17:58
59 • submitter: Anonymoussaurus

13-10-2025 • 17:58

Submitter: Anonymoussaurus

Lees meer

Ziekenhuizen moeten eind 2023 voldoen aan norm die ict-storingen moet voorkomen

Ziekenhuizen moeten eind 2023 voldoen aan norm die ict-storingen moet voorkomen Nieuws van 27 september 2022

'Beveiliging gegevens in Nederlandse gezondheidsinstellingen is onvoldoende'

'Beveiliging gegevens in Nederlandse gezondheidsinstellingen is onvoldoende' Nieuws van 14 mei 2018

Beveiliging en antivirus Beveiliging Gezondheid Nederland

Reacties (59)

59

59

40

6

0

10

Wijzig sortering

Orangelights23 13 oktober 2025 18:18

Ik heb in het verleden vele NEN7520 implementaties en audits gedaan bij medische partijen. Het is een redelijk pittig framework en het is noodzakelijk om in-house kennis te hebben. Een consultant kost ook makkelijk 130 euro per uur en voor het beheer van het framework ben je makkelijk 1-2 dagen per week kwijt als een organisatie 20-50 medewerkers heeft. Oftewel een extra kostenpost van makkelijk 10 000 per maand.

Het zou mooier zijn als er een structurele oplossing zou zijn voor het beheer en onderhoud hiervan. Niet door de IT beheerder (dat is slechts alleen IT en die hebben vaak geen kaas gegeten van security), maar een partij die oplossingen kan bieden die schaalbaar zijn en daardoor goedkoop. Security is mijn werk en ik erken de noodzaak, maar voor veel bedrijven is het inmiddels te duur geworden doordat het een beroep is waar je vooral seniors voor nodig hebt.

naaitsab @Orangelights23 • 13 oktober 2025 18:37

Zelf ook gedeeltelijk verantwoordelijk van de NEN751X bij mijn werkgever. Het is denk ik een heel goed voorbeeld hoe een wet op papier er goed uit ziet maar in de praktijk heel veel gedoe meegeeft. Zoals je aangeeft kost het flink wat tijd en geld om je goed aan de regels te houden. In tegenstelling tot wat veel mensen en bedrijven denken is het niet iets wat je neerzet en daarna nooit meer naar kijkt. Je moet er actief mee bezig zijn, dit is de voornaamste valkuil.

Voor de grote partijen is het de zoveelste kostenpost in de zorg wat weer ergens op verhaald moet worden. Voor kleinere instanties is het iets waar ze vaak simpelweg geen geld voor hebben. Inhuur is duur want schaarste en geschoold personeel die het als neventaak kan doen zijn ze vaak ook te klein voor. Dus vaak wordt er voor gekozen om het gedeeltelijk of zelfs niet te volgen. Begrijpelijk maar wel zorgelijk. Er staan redelijk wat punten in die wat minder hout snijden maar de rode lijn van de wet is duidelijk en belangrijk.

Dit soort punten oplossen lijkt me voor de politiek echt nummer 1 om wat aan te gaan doen door meer met de werkvloer in gesprek te komen. Polissen jaar op jaar maar blijven verhogen om de gaten te dichten die mede ontstaan zijn door (twijfelachtige) procedures is natuurlijk geen levensvatbaar systeem.

MrRobert @naaitsab • 14 oktober 2025 07:06

Omdat informatiebeveiliging opnieuw een extra kostenpost vormt voor de zorg, en het moeilijk is om de juiste expertise te vinden, is in België een initiatief gestart om de krachten te bundelen via een ledenorganisatie: (Home | Shield).

Hoewel er geen NEN-norm van toepassing is, zorgt de NIS2-richtlijn wel voor een groeiende noodzaak bij zorginstellingen om hun informatiebeveiliging te versterken.

familyman @naaitsab • 13 oktober 2025 18:55

Het zou makkelijker moeten zijn een oplossing in te kopen die datasecurity op de gewenste manier afdekt. (Ik bedoel nadrukkelijk niet die norm, maar het probleem dat de norm probeert op te lossen)

FreezeXJ @familyman • 14 oktober 2025 08:43

Tja, maar het probleem van security is dat het niet zo makkelijk in te kopen is. Het definieren van je security-risicos is al maatwerk, laat staan de oplossingen. Kost ook wat, maar gelukkig zie ik niemand meer ontkennen dat het nodig is.
Voor een deel kun je proberen iedereen hetzelfde pakket te laten gebruiken, zelfde training erdoor duwen, zelfde beleidsregels, en dat doet al veel. Echter hou je dan een set specifieke punten over, want niet al die orgs doen exact hetzelfde. Daarnaast 'dwing' je die posten dan tot het gebruik van X, wat uit concurrentie-oogpunt niet heel lief is.

Triblade_8472 @Orangelights23 • 13 oktober 2025 18:27

Een chirurg is ook behoorlijk duur, en kost ook genoeg. En toch hebben ze die in dienst.

Waarom wordt beveiliging als een vervelende kostenpost gezien ipv een noodzakelijke dienst?

Stel deze uitgaven gelijk aan een chirurg, op het niveau van noodzakelijkheid en het valt allemaal best mee.

Orangelights23 @Triblade_8472 • 13 oktober 2025 18:35

Een vraag die ik wekelijks krijg van organisaties (om onder andere mijn uurtarief goed te praten

). Dat komt omdat security vaak gezien wordt als een kostenpost. Kijk maar waar security belegd is; een organisatie zal niet de eerste zijn als de CISO moet rapporteren aan de CFO.

Security moet gezien worden als een driver, een functie binnen de organisatie waardoor de rest veilig kan ontwikkelen, innoveren en beheren. Maar bij vooral het management heerst de gedachte dat security iets technisch is. Ik heb inmiddels aardig wat opdrachten teruggegeven waarbij dit constant een discussiepunt bleef. Laat mij als CISO zorgen voor security en ik rapporteer aan CEO of board, en laat mij vertellen hoe mijn werkzaamheden het bedrijf verder helpen.

Overigens ben ik van mening dat je meer skills nodig hebt als chirurg dan CISO/ISO, maar de salarissen lopen inmiddels aardig gelijk.

locke960 @Orangelights23 • 13 oktober 2025 23:25

Een vraag die ik wekelijks krijg van organisaties (om onder andere mijn uurtarief goed te praten ). Dat komt omdat security vaak gezien wordt als een kostenpost.

Dat betekent dat het niet op orde hebben van security niet duur genoeg is

En dat komt omdat het lekken van patiëntendata vooral een probleem voor de patiënt is, niet de instelling. Met ander woorden, meer audits en boetes opleggen als het niet klopt. Als we het voor de boekhouding doen, kan het ook voor databeveiliging. Noem het een APK keuring voor medische instellingen.

@locke960 • 14 oktober 2025 09:13

Het afbreukrisico is inderdaad kennelijk te klein. Het zal in de bestuurskamer moeten doordringen een datalek / beveiligingsprobleem in de eerste plaats heel veel geld kost en daarbij reputatieschade oplevert. Ik ben er wel voorstander van om die reputatieschade in geld uit te drukken, indien nodig door het opleggen van zware boetes.

Kun je als organisatie aantonen dat je voldoende hebt geïnvesteerd in databeveiliging dan gaat de boete omlaag. Blijkt dat je te weinig moeite hebt gestoken in beveiliging dan gaat de boete progressief omhoog. Alleen op die manier kun je de ernst van dataveiligheid door laten dringen tot de C-levels. Ik ben bang dat ze het maar moeten voelen als ze niet willen horen.

Het liefst organiseren we dit op EU-niveau waarbij lidstaten boetebedragen vaststellen op basis van de jaaromzet van een zorginstelling. Op die manier heb je een gelijk speelveld voor iedereen.

Paultje3181 @FrankHe • 14 oktober 2025 09:42

De ene jaaromzet is de ander niet. Als apotheek heb ik een jaaromzet van > 1miljoen. Maar qua winst verre van. Omdat ik in een relatief achterstandswijk zit en vooral generieke geneesmiddelen lever waar geen marge op zit.

De reden dat beveiliging als kostenpost gezien wordt, is omdat er geen verdienmodel tegenover staat. Die chirurg zijn behandelingen zijn letterlijk de inkomstenbron van het ziekenhuis. De beveiliging is hoogstens het voorkomen van boetes door lekken. Er zal iig nooit meer omzet gemaakt worden doordat er zo'n fantastische beveiliging is.

Ik voldoe aardig aan de NEN7510, maar niet volledig. Waarom? Omdat er toch af en toe mensen bellen die hun reisdocument NU nodig hebben en dat toch echt gemaild moeten hebben, want ze staan NU bij de douane. Ik leg het vast dat het eigen verzoek is en eigen risico, maar ik mail hem wel. Omdat er anders het risico is dat belangrijke medicatie weggegooid wordt door de douane of erger. Beleid is dat we het niet doen, maar er zijn uitzonderingen.

Triblade_8472 @Orangelights23 • 13 oktober 2025 18:51

Niet per se meer skills, andere skills. Dat is altijd een grote denkfout.

Maar verder kan ik alleen maar beamen wat je schrijft.

TWeaKLeGeND @Triblade_8472 • 13 oktober 2025 22:59

Ik vermoed dat hij doelt op competenties aanleg en dergelijken. Menig chirurg zou zijn werk prima kunnen aanleren maar andersom heeft hij de skills niet of zou er veel meer moeite mee hebben. Het zijn zeldzamere skills die je nodig hebt.

[Reactie gewijzigd door TWeaKLeGeND op 13 oktober 2025 23:04]

DigitalExorcist @Orangelights23 • 13 oktober 2025 20:20

"Als je denkt dat goeie security dúúr is, moet je eens sléchte security proberen...".

Ja ik zit ook in de cybersecurity.

FreezeXJ @DigitalExorcist • 14 oktober 2025 08:46

't is nu nog heel goedkoop hoor, kost me helemaal niks!

En als het fout gaat kost het het hele bedrijf dus dan is er ook niks meer om je druk over te maken.

[Reactie gewijzigd door FreezeXJ op 14 oktober 2025 08:47]

SPee @DigitalExorcist • 14 oktober 2025 11:27

Gewoon offline werken, heb je geen online security meer nodig.

jpsch @Orangelights23 • 13 oktober 2025 21:10

CFO gaat over risico beheersing.

magician2000 @Orangelights23 • 13 oktober 2025 22:01

Ik heb in bedrijven gezeten waar ze investeringen niet goedkeurden voor IT terwijl die heel hard nodig waren. Totdat het fout ging en het bedrijf 2 dagen nauwelijks werk kon uitvoeren door iets onbenulligs dat ongeveer € 10000 gekost zou hebben. Nu waren ze heel wat meer kwijt. Gelukkig was hiervoor (geen security overigens) veelvuldig voor gewaarschuwd maar werden investeringen keer op keer afgekeurd.

Je hebt compleet andere skills nodig als chirurg t.o.v. CISO/ISO, maar ik weet niet of ik het "meer" zou willen noemen.

R_Zwart @Triblade_8472 • 13 oktober 2025 18:33

Chirurgen werken in een ziekenhuis. Dat is qua kostenstructuur totaal onvergelijkbaar met een huisartsenpraktijk.

Accretion @R_Zwart • 13 oktober 2025 19:55

Hoe zit het met spoedposten?

Ik kan me eigenlijk alleen voorstellen dat het daar altijd druk is en ze nooit de tijd hebben om even een systeem te updaten/onderhouden.

Maar dat is gebaseerd op een oppervlakkige gedachte.

Panzer Dean @Accretion • 13 oktober 2025 20:26

Een spoedpost is groter dan het medisch personeel. Alle koppelingen, knooppunten en uitwisselingen onderhouden, updates uitvoeren en implementaties. Een gemiddelde huisartsenpost heeft toch wel een paar ICT'ers in dienst die zich hier op richten, het medisch personeel maakt gebruik van de faciliteiten maar hoeft ze niet te onderhouden. Net als dat de meeste huisartsen door een zorggroep (vereniging van huisartsen) ondersteund worden vaak door centrale inkoop/regelen van IT.

@Accretion • 13 oktober 2025 20:15

Vaak zijn dat assistenten of artsen in opleiding.

gaskabouter @Triblade_8472 • 13 oktober 2025 21:07

Een chirurg levert juist geld op. Het enige verdienmodel van zorginstellingen is de diagnose behandelcombinatie die door een arts wordt verricht.

De rest zijn allemaal kosten. En als je weet dat winstmarges in de zorg zelden boven de 2 procent uitkomen weet je ook dat controle op de kostenkant het verschil is tussen winst en verlies.

magician2000 @Triblade_8472 • 13 oktober 2025 21:56

Omdat IT altijd als kostenpost gezien wordt? Heb je wel eens in een bedrijf onder de financieel manager / directeur gewerkt? Dat is echt een feest, vooral als IT-er. Dan kun je zeggen dat je e.e.a. dan "beter" uit moet leggen om mensen te overtuigen, maar veel mensen hebben er geen belang bij om zich te laten overtuigen omdat ze enkel naar budgetten kijken.

Tc99m @Triblade_8472 • 14 oktober 2025 10:07

Even los van het feit dat huisartsen(spoed)posten geen chirurgen inhuren (alleen huisartsen, en die verdienen veel minder), heel zakelijk bekeken zorgt de ingehuurde arts natuurlijk ook voor inkomsten; die levert zorg aan patiënten en de geleverde zorg wordt vergoed door de zorgverzekering.
De arts verdient zichzelf direct terug, security is overhead (en bepaalt zich hooguit indirect terug doordat je bijv. nooit een incident hebt). Daarom is het een "vervelende" kostenpost.

Ik wil hiermee het belang van het investeren in goede beveiliging niet bagatelliseren, maar wel illustreren waar het verschil zit. Daar kun je ook een oplossing in zien: zorg dat het op orde hebben van de databeveiliging voor organisaties 'loont' (bijv. door een financiële prikkel vanuit de overheid of de zorgverzekeraar).

DigitalExorcist @Triblade_8472 • 13 oktober 2025 20:19

Een chirurg bij een huisartsenpost? Wat een luxe.

gimbal @DigitalExorcist • 13 oktober 2025 20:41

Het is maar wat je luxe noemt... als ik onder het mes ga dan toch graag in een omgeving waar de chirurg de juiste apparatuur, het juiste gereedschap en het benodigde ondersteunende personeel heeft. Ik bedoel het werk van de chirurg heb ik nooit kunnen beoordelen omdat de anesthesist zijn werk uitstekend deed vooraf. Ik meen mij te herinneren dat ik nooit verder ben gekomen dan tot 3 tellen.

DigitalExorcist @gimbal • 14 oktober 2025 17:10

Ik bedoelde het ook enigszins sarcastisch ;)

DirtyHennessy @Triblade_8472 • 13 oktober 2025 21:02

Er zijn maar weinig klinieken die een medisch specialisten in vaste dienst hebben. Bij de gemiddelde ZBC is ongeveer maar een kwart van je medisch specialisten in vaste dienst. De overige medisch specialisten werken een aantal dagen per maand/week in de kliniek. Zeker de kleinere organisaties hebben niet het aanbod van patiënten om medisch specialisten in vaste dienst te hebben.

In het geval gaat het om praktijken waar je veelal niet meer dan 3-4 huisartsen werken. Dan wordt het lastig om daar ook even een hele IT afdeling te hebben en kom je dus uit bij dure consultants of zit je gebonden aan grote partijen.

[Reactie gewijzigd door DirtyHennessy op 13 oktober 2025 21:30]

masterjorie @Triblade_8472 • 14 oktober 2025 10:50

Heel simpel, het doel van de organisatie is zorg leveren, niet beveiligen. De arts draagt hier direct aan bij en de beveiliging slechts indirect.

Guru Evi @Orangelights23 • 13 oktober 2025 18:33

En daar zit het probleem, de kosten om te voldoen aan de eisen zitten niet bij de IT-leveranciers maar bij de dokters. Dit zorgt dat kleine bedrijven en zelfstandige medische professionelen zich verplicht zijn aan te sluiten bij een grote organisatie vanwege deze eisen die grotendeels weinig 'zin' hebben behalve een doosje op een formulier aantikken.

Wat moet gebeuren in deze gevallen is dat de default voor al de oplossingen die aangeleverd worden om 'secure' te zijn en gewaardeerd met een stempel (vb. ISO27001) met een negatieve framework - waar zitten de gaten en zijn ze "echt" of "denkbeeldig", en hoe worden ze opgelost. De meeste oplossingen stellen gewoon 'standaarden' op - centrale authenticatie, veilige bestandsopslag en EDR/DLP.

In veel gevallen is het ook een beetje schoenmaker, blijf bij je leest. Als je een medisch factureringssysteem koopt die geen centrale authenticatie of een 3rd party bestandsopslag toelaat maar hun eigen, gesloten, systeem implementeert dan zal geen van de onderdelen 'goed' of veilig werken. Geen enkele reden waarom vb OAuth en S3 niet 'standaard' vereist is.

In principe moet de overheid ipv "security" te forceren, "open standaarden" forceren, dan kun je componenten uitwisselen en een oplossing aanbieden die voldoet aan 'jouw' specifieke omstandigheden ipv jouw omstandigheden in een softwarehokje te forceren.

[Reactie gewijzigd door Guru Evi op 13 oktober 2025 18:36]

Panzer Dean @Guru Evi • 13 oktober 2025 20:28

Het is al lang gebruikelijk in de zorg dat oplossingen die gekocht worden aan de NEN7510 voldoen. Nieuw is echter het besef dat de instelling/praktijk/organisatie zelf daar óók aan moet voldoen met hun interne procedures, dat is een besef dat nog niet overal in de zorg is doorgedrongen, maar waarin de laatste 2 jaar grote stappen gezet zijn.

Sissors @Orangelights23 • 13 oktober 2025 18:58

En daarom ben je beter af dan om het gewoon in te kopen van een grote organisatie die veel schaalvoordeel heeft. En zonder te weten wat NEN7520 precies inhoudt, neem ik aan dat die regels voor een goede reden bestaan. Maar het is simpelweg heel moeilijk om aan al die dingen te voldoen als kleine organisatie, dus ben je beter af of in te kopen bij een groot iets, of onderdeel te zijn van een grote organisatie.

En dat willen 'we' ook vaak niet, maar het is het één of het ander. Of natuurlijk heel veel geld niet aan zorg besteden maar aan randzaken. En @Triblade_8472 dat is dus waarom dit anders is: We willen dat geld wat we aan de zorg besteden primair voor betere zorg gebruikt wordt. En natuurlijk heb je randvoorwaarden om aan te voldoen, van (IT) beveiliging tot de schoonmaak en de loodgieter. Maar dat blijven kosten posten waarbij geld voor de zorg niet aan de zorg wordt besteedt.

Triblade_8472 @Sissors • 13 oktober 2025 19:06

Ik snap je, en het staat men helemaal vrij dit goedkoper in te richten. Dat kan echt prima denk ik als men wil, al zullen er de nodige dure management en adviseringsbureau uren voor geschreven gaan worden.

Het is geen "primaire" zorg, maar het is wèl net zo belangrijk. En daar wringt de schoen, dat snap ik.

Om je loodgieter erbij te halen, diens primaire zorg is, gechargeerd, zorgen dat je kraan niet lekt. Maar ik vindt een norm dat er geen lood-houdende pijpen worden gebruikt eigenlijk nèt zo belangrijk als het werk zelf.
Niet primair, wel net zo belangrijk.

WillySis @Orangelights23 • 13 oktober 2025 19:49

Beveiliging is wel noodzakelijk en de verplichte Nen7520 is er niet voor niets gekomen. De beveiliging kost geld, maar als het mis gaat kan het veel meer geld kosten.

De kosten zijn te drukken door met meerdere partijen samen te werken, of doordat aanbieders van de systemen delen van de beveiliging in hun pakket implementeren.

sOid @Orangelights23 • 13 oktober 2025 20:41

Waar ik me in overheidsland behoorlijk aan erger is dat verwacht wordt dat iedere organisatie zelf het wiel uitvindt. Er zijn dan wel richtlijnen, normenkaders et cetera, maar er wordt weinig samengewerkt en veel wordt aan de markt overgelaten.

Ik zie daar vanuit de IBD wel wat verandering in komen, maar blijft allemaal mondjesmaat. Mijns inziens moet er veel meer op landelijk of zelfs Europees niveau worden geregeld.

Hoe zit dat in de zorgsector?

TrafalgarLaw @sOid • 14 oktober 2025 04:13

Het is met name een probleem door marktwerking in applicatie-beheerders en aanbieders. Veruit het meest populaire elektronisch patientendossier systeem is Medicom in Nederland. Wordt gebruikt door huisartsen, huisartsenposten en apothekers. Echter kunnen ze een ramp zijn om mee samen te werken omdat het systeem zelf wat verouderd is en (uit meerdere bronnen vernomen dat) diegenen die de contractenonderhandelingen en support doen voor MediCom nogal arrogante klootzakken zijn. De kwaliteit van support die ze jou geven is verbonden aan duur van het contract die je hebt afgesloten. Daarnaast kunnen ze exorbitante prijzen rekening door hun machtspositie in de markt.

Daarnaast heb je systemen zoals ProMedico en MicroHIS X die ik persoonlijk fijner vind en ze lossen problemen sneller op. Echter beslissen degenen die de systemen het vaakst gaan gebruiken (de artsen) niet wat ze voorgeschoteld gaan krijgen. Primair is het probleem toch de kosten (en de baten). Een huisartsenpost hoeft niet alle fancy modules van bijvoorbeeld een Medicom te gebruiken omdat het een soort spoedpost is en geen reguliere zorg levert.

Ik ken inmiddels wel 10 verschillende huisartsensystemen en het is inderdaad iedere keer het wiel uitvinden omdat er geen landelijk beleid is, alleen marktwerking.

[Reactie gewijzigd door TrafalgarLaw op 14 oktober 2025 04:15]

Paultje3181 @TrafalgarLaw • 15 oktober 2025 22:31

Hier ben ik het dus absoluut niet mee eens. Medicom is inderdaad het grootste HIS (en is specifiek voor huisartsen, het apotheek systeem is Pharmacom).

Pharmapartners is hard aan het ontwikkelen en er wordt wel degelijk veel meer gekoppeld. De backbone is nog steeds COBOL-based, wat soms beperkingen opwerpt, maar CGM en Promedico zijn zeker niet heiliger. Er ligt een duidelijk systeem met EDI, LSP etc. Maar om een voorbeeld te geven: Promedico keurt door Pharmacom gegenereerde recepten random af, maar stuurt direct een nieuw recept. Maar omdat Solvay liever hun SAAS-systeem gebruikt is het maar de vraag of dit ooit opgelost gaat worden.

Huisartsen zijn grotendeels zelfstandigen en hebben 99/100 keer gewoon de eigen keuze welk systeem ze gebruiken. Ze stemmen het echter wel af met de huisartsen groep. Maar zeggen dat we gewoon wat voorgeschoteld krijgen is echt onzin.

Lancer @Orangelights23 • 14 oktober 2025 09:06

De aanpak die we kiezen moet anders. Onze aanpak leunt te veel op gespecialiseerde security teams en heeft te veel vertrouwen in technische maatregelen.

Er moet veel meer aandacht naar het met zijn allen doen. Basis awareness is niet voldoende. Werken aan security gerelateerde taakgerichte kennis werkt beter. Zorg niet alleen dat iedereen kan herkennen wanneer iets van de rails loopt en weet wat te doen in eerste triage, maar ook weet hoe je je wereld om je heen veilig inricht. Een voordeur zonder slot wordt nauwelijks meer verkocht, maar toch staan we in de rij voor clouddiensten die niet beloven de bedrijfsgegevens netjes te behandelen.

Hier ligt een belangrijke taak voor onze opleidingsinstituten. Wordt in HR gerelateerde opleidingen genoeg aandacht besteed aan privacy en de bijbehorende maatregelen? Hoe zit dat met systeembeheerders, bestuurskundigen, juristen, fiscalisten etc.? Een goed gebouwd bedrijfsproces, plus aansturing voorkomt al een deel van de problemen. Doordat het proces goed gedefinieerd is, is het vervolgens makkelijker om daar een risicoanalyse op te doen, dat zou een proceseigenaar zelfstandig moeten kunnen, en alles wat nog daarna komt.

Dit is een enorme verandering waar we doorheen moeten, maar als iedereen over de juiste kennis beschikt doen we dingen in een keer goed, zonder dat een security of privacy officer hoeft in te grijpen. Het aantal (zeldzame) seniors dat je nodig hebt zal hierdoor dalen aangezien die zich alleen nog met de echt complexe cases hoeven te bemoeien.

Fun fact, deze aanpak lijkt enorm op wat je bv voor operational excellence moet doen om de operatie kwalitatief beter en efficiënter te maken.

ph00lt0 13 oktober 2025 20:04

Veel huisartsen verplichten je ook tot gebruik van het Landelijk Schakelpunt (LSP) terwijl dat helemaal niet mag. Daarin worden al je medische gegevens uitgewisseld. Tip is om zelf dit te controleren via: https://www.volgjezorg.nl/

Paultje3181 @ph00lt0 • 14 oktober 2025 09:54

Verplichten niet, maar het is wel heel erg handig. Juist in spoed situaties is er geen toestemming te vragen en voordat het dan ook daadwerkelijk open gezet is gaat er veel kostbare tijd verloren.

Is het ideaal? Nee. Kan iedereen erbij? Ja, mits er een geldige UZI-pas gebruikt wordt en de juiste rechten zijn ingesteld. Is het te volgen wat er gebeurt? Ja, via volgjezorg inderdaad. Kun je iemand aanspreken (en meer) als die onterecht in je dossier zit? Ja, en dat levert ook een ontslag op staande voet op voor de medewerker als het terecht is; een medewerker zal dus echt niet zomaar gaan zitten kijken.

Momenteel wordt via Mitz een systeem ingeregeld om rechten beter vast te leggen wie wat wel en niet mag zien. Kijk hiervoor op https://mijnmitz.nl

[Reactie gewijzigd door Paultje3181 op 14 oktober 2025 09:54]

FrostyPeet 13 oktober 2025 18:21

Databeveiliging? Ik zit wel eens bij een balie in een ziekenhuis of huisartspost te wachten. Als ik dan hoor wat er allemaal door de telefoon besproken wordt... Moet allemaal efficient. De balie medewerkster moet de patiënten "afwerken", telefoon opnemen, veel typen op een toetsenbord. Vervolgens de dokter die luid de naam van de patiënt noemt om deze naar de spreekkamer te leiden.

Het nacht postvakje is gelukkig weg. Daar kon ik vroeger een deurtje open maken, tussen de enveloppen de mijne zoeken om de een of de andere verwijsbrief uit te vissen.

Of sta eens bij patiënten registratie waar je je moet inschrijven. Hoor je ook het halve levensverhaal en persoonlijke data.

R_Zwart @FrostyPeet • 13 oktober 2025 18:35

Als de roep om minder administratie in de zorg werkelijkheid wordt zal dit alleen maar erger worden vrees ik.

Sissors @R_Zwart • 13 oktober 2025 19:00

Hoe bedoel je 'erger'? Als in, wat hij beschrijft is dat nou erg? Imo zijn we wel echt doorgeslagen qua "dataveiligheid" als een arts nog geen eens meer de naam van een patient mag gebruiken in de wachtkamer om die te halen. Moet dat met een nummertje dan om het maar anoniem te houden?

Arjant2 @Sissors • 14 oktober 2025 00:15

mee eens hoor als een arts al niet eens meer een naam mag noemen.

Bij de huisarts gebeurt dat dan ook gewoon nog veelal, in ziekenhuizen worden toch veelal wel nummers gebruikt. Aanmelden bij een aanmeldzuil en je krijgt een ticket en je wordt opgeroepen via schermen naar een bepaalde kamer.

jpsch @R_Zwart • 13 oktober 2025 21:13

Wat gaat er niet weglekken aan gegevens door de inzet van AI?

Piemol @FrostyPeet • 13 oktober 2025 22:19

Begin van het jaar werd mij bij de balie gewoon gezegd: heeft u zich via de app aangemeldt?

En bij maken van nieuwe afspraak: kunt u zelf via de app regelen.

Nou, dat is dus de andere kant van de automatisering, dat hoeft van mij ook echt niet op die manier.

Arjant2 @Piemol • 14 oktober 2025 00:17

En toch zal dit wel de toekomst zijn. Er wordt enorm veel geld aan zorg uitgegeven en het wordt alleen maar meer met een vergrijzende bevolking, combineer dit met een gebrek aan personeel en ze zullen toch echt de administratieve kant van de zorg moeten vereenvoudigen/automatiseren om de zorg nog enigszins betaalbaar te houden.

mjtdevries 13 oktober 2025 18:23

De eis van de inspectie voor een onafhankelijke beoordeling is een beetje vreemd, omdat de NEN norm dat specifiek niet verplicht stelt.

Dit geeft de NEN zelf aan:

Nee, certificatie is niet verplicht. Maar een zorginstelling moet wel kunnen aantonen dat zij voldoet aan NEN 7510. Certificatie is een goede manier om dat te doen. NEN certificeert zelf niet. NEN heeft wel het certificatieschema voor certificatie tegen NEN 7510 ontwikkeld en is ook schemabeheerder voor NEN 7510. Dat betekent dat er uniforme regels en eisen zijn opgesteld waar de conformiteitsbeoordelende instellingen zich aan moeten houden, zodat er eenduidigheid bestaat in de wijze van toetsing tegen de norm. Een belangrijke eis is, dat CBI’s voor het schema NEN 7510 geaccrediteerd moeten zijn door de Raad voor Accreditatie (RvA). Dat betekent dat er een onafhankelijk toezichthouder is (RvA) op het handelen van de aangesloten conformiteitsbeoordelende instelingen

https://www.nen.nl/zorg-w...tiebeveiliging-in-de-zorg

Het zou natuurlijk veel verstandiger zijn geweest om in de NEN norm een onafhankelijke beoordeling verplicht te stellen.

Triblade_8472 @mjtdevries • 13 oktober 2025 18:30

Zorginstellingen moeten voldoen aan de NEN7510-norm wanneer zij (1) het BSN van patiënten verwerken en (2) gebruik maken van een zorginformatiesysteem en/of een elektronisch uitwisselingssysteem.

Het is niet verplicht voor alle zorginstellingen, maar wel voor sommige.

Panzer Dean @Triblade_8472 • 13 oktober 2025 20:32

Er is geen zorginstelling die niet gebruik maakt van een zorginformatiesysteem. Ergo, alle zorginstellingen moeten hieraan voldoen.

mjtdevries @Triblade_8472 • 14 oktober 2025 10:57

Je haalt twee dingen door elkaar.
Jij hebt het over de verplichting om aan de NEN norm te voldoen.
Ik heb het de verplichting om een onafhankelijke beoordeling te laten doen om te constateren of je aan de norm voldoet.
Dat zijn twee verschillende verplichtingen.

R_Zwart @mjtdevries • 13 oktober 2025 18:33

Maar een NEN norm kan wel opgenomen worden in een wet. Dan is het wel verplicht.

Triblade_8472 @R_Zwart • 13 oktober 2025 18:49

Dat is ie toch?

Triblade_8472 in 'Databeveiliging van veel Nederlandse huisartsenspoedposten voldoet niet aan wet'

mjtdevries @R_Zwart • 14 oktober 2025 10:54

Dan is het verplicht dat je volgens die norm werkt.
Maar dan is het dus niet verplicht dat je een certificering hebt, want de norm vereist dat niet.

Van de wet moet je dan kunnen laten zien dat je volgens die norm werkt. Dus als er iemand van de overheid langs komt om dat te controleren dan moet je op dat moment bewijs kunnen overleggen net zoals je doet als er een externe auditor langs komt.

Je kunt prima volgens de norm werken zonder dat er elk jaar een externe auditor langs komt.
Maar die externe auditor is natuurlijk wel een prima stok achter de deur.
Daarom zou het beter zijn geweest als die certificering verplicht was gesteld.

Quintiemero @mjtdevries • 13 oktober 2025 18:32

Nja, dat zien we met de Wpg-audits. Wat een drama is dat.

Beveiliging en antivirus
Nederland

13 oktober 2025 18:20

Volgens de bron horen de organisaties al meerdere jaren wettelijk aan de genoemde norm te voldoen. Ik lees in het nieuws niet hoeveel organisaties eerder dan wel aan de wet voldeden. Er staat zelfs niet dat er eerder door de toezichthouder onderzoek naar is gedaan. Hoe is eind 2026 moeten voldoen dan redelijk? Het klinkt alsof de wet belangrijker is voor het papier dan voor de praktijk. Als patiënt heb je absoluut niets aan strenge wettelijke eisen als het mis gaat omdat de toezichthouder het wel prima vond dat bewustzijn tonen voorlopig weer een jaartje extra genoeg is. En die toezichthouder gaat de slachtoffers niet compenseren, laat staan de gevolgen verhelpen als het mis is gegaan.

[Reactie gewijzigd door kodak op 13 oktober 2025 18:27]

Triblade_8472 13 oktober 2025 18:22

6 / 49 is schrikbarend laag. Waarom krijgen die bestuurders niet flink op hun lazer? Dit had al jaren geleden opgelost moeten zijn! Ben benieuwd of ze in de tussentijd wel bonussen hebben gekregen...

Het gaat niet over de verkoopcijfers van de lokale groenteboer hé? Dit gaat over de beveiliging van een van je meest onvervangbare data!

En dit is het rijke Nederland waar kennis makkelijk gekocht man worden en redelijk rijkelijk voorhanden is. Kan je voorstellen hoe de beveiliging is in de veelal slechte staat landen in 't oosten en zuiden van de EU.

Dat gecombineerd met EHDS, waarbij in de EU jouw medische data verplicht uitwisselbaar moet zijn en, weliswaar met een opt-out, beschikbaar wordt gemaakt aan onderzoeksinstituten, is toch wel zorgelijk. Eenmaal kwijt = nooit meer terug.

Laat ons land lekker zelf focussen op de eigen beveiliging en deze nog flink verbeteren voordat de hele EU aan elkaar geknoopt wordt. Er is ook hier dus nog genoeg te doen, blijkt.

Yucon 13 oktober 2025 19:27

Dat 'de meeste' MFA hebben vind ik toch aardig schokkend. Sommige dus nog niet.

sisa 13 oktober 2025 20:59

Ik ben zelf werkzaam op een (kleine) huisartsenpost en heb deze gesprekken met de IGJ gevoerd. Voornamelijk een vraagstuk voor kosten en capaciteit, het is bizar lastig hier geld voor vrij te spelen. Een veelgehoord antwoord is dat het zorg-geld betreft en dat het in dat geval niet voor de zorg wordt uitgegeven.

Daarnaast speelt kennis/interesse een rol. Weinig personeel en het huisartsenpost personeel heeft vaak een parttime baan in een dokterspraktijk en daarnaast af en toe dienst op de post. Zie ze maar eens mee te krijgen. Oudere doelgroep dat werkt met briefjes en codes uit een boekje. Zelfs een intranet of protocollen beheersysteem is niet financieel haalbaar. Ik draai de post zelfstandig op ict gebied met 32 uur per week. Daarnaast heb ik nog 30 huisartspraktijken onder mijn hoede vanuit ict en digitalisering.

[Reactie gewijzigd door sisa op 13 oktober 2025 21:10]

Om te kunnen reageren moet je ingelogd zijn