Inspectie: meeste ggz-instellingen hebben databeveiliging niet op orde

Een meerderheid van de grotere Nederlandse geestelijkegezondheidszorginstellingen voldoet niet aan de wettelijke eisen voor informatiebeveiliging. Dat meldt de Inspectie Gezondheidszorg en Jeugd, die ook zegt hier zich zorgen over te maken. Een klein deel van de instellingen reageerde helemaal niet op vragen van de Inspectie.

Dit nieuws in het kort

  • De Inspectie Gezondheidszorg en Jeugd zegt dat 81 van de 150 ggz-instellingen de informatiebeveiliging niet op orde hebben.
  • Het merendeel hiervan zei wel hiermee bezig te zijn, al deelden veel instellingen hier geen concrete planningen voor.
  • De beveiliging is belangrijk, omdat de geestelijke gezondheidszorg met zeer gevoelige persoonsgegevens werkt, zoals over de mentale en fysieke toestand van mensen.

Het onderzoek richtte zich op de grotere ggz-organisaties in Nederland met minstens 50 fulltimemedewerkers. Hier zijn er circa 150 van, waarbij er 87 instellingen zijn waarvan de Inspectie niet wist of ze zich aan de regels hielden. De instellingen bieden bijvoorbeeld forensische zorg, beschermd wonen of verslavingszorg aan.

De instellingen moeten voldoen aan de NEN 7510-norm, die onder meer gaat over wie toegang heeft tot gegevens, of risico's regelmatig gecontroleerd worden en of instellingen passende maatregelen nemen. Zorgaanbieders moeten met een audit kunnen aantonen dat ze aan de norm voldoen.

Vragenlijst

De IGJ vroeg de organisaties met een vragenlijst of ze aan de norm voldeden. Van de 87 instellingen konden 6 organisaties aantonen dat ze inderdaad aan die norm voldoen. De 81 andere instellingen konden dit dus niet. Hiervan gaven 40 organisaties aan dat er een streefdatum was om wel aan die norm te voldoen.

"Opvallend was dat 14 van de 87 organisaties ook na herhaalde oproepen niet reageerden op gestelde vragen", schrijft de Inspectie. Zorgaanbieders zijn verplicht mee te werken aan toezichtsverzoeken van de inspectie. Zij 'gaat er daarom van uit' dat deze instellingen niet volgens de norm werken.

De IGJ blijft de ggz-instellingen die nog niet aan de norm voldoen, volgen met gesprekken en het opvragen van documentatie. "De inspectie verwacht dat organisaties die nog niet voldoen aan de norm dit jaar minimaal een onafhankelijke en deskundige beoordeling laten uitvoeren."

Gehackte Clinical Diagnostics voldeed ook niet aan norm

De NEN 7510-norm geldt niet alleen voor ggz-organisaties, maar bijvoorbeeld ook voor het Clinical Diagnostics-lab dat bevolkingsonderzoek uitvoerde. Dit lab werd vorig jaar gehackt, waarbij de gegevens van zeker 715.000 Nederlandse vrouwen werden gestolen. De inspectie zei recent dat als het lab wel aan de norm had voldaan, de kans op zo'n hack kleiner had kunnen zijn en de gevolgen kleiner.

FPA AI en cybercrime

Door Hayte Hugo

Redacteur

28-05-2026 • 07:41

79

Submitter: jdh009

Reacties (79)

Sorteer op:

Weergave:

De politieke conclusie zal zijn dat nog wel wat meer bezuinigd kan worden op de GGZ. Dat is immers het stramien van de afgelopen decennia. We hebben het maar even niet over dat die bezuinigingen als veel hogere maatschappelijke (overheids)kosten elders opduiken. ;)

Door de staat van de GGZ verbaast het mij niet dat de juiste aandacht voor informatiebeveiliging wat minder aanwezig is.

[Reactie gewijzigd door The Zep Man op 28 mei 2026 08:05]

Want meer geld is de grote oplossing? De kosten stijgen al jaren op rij en vormen inmiddels een substantieel deel van de algehele zorgkosten.

Als bestuurder zou ik met deze cijfers tot in detail willen weten waar de kostenstijging in zit, hoe het in hemelsnaam mogelijk is dat zoveel mensen geestelijke gezondheidszorg nodig hebben en hoe het kan dat met zo’n budget de de informatiebeveiliging niet op orde is.

Helaas zie ik in mijn omgeving en mijn partner in haar werk hoe patiënten met een pilletje worden afgewimpeld voor hun mentale problemen. Van veel van die middelen kom je niet eenvoudig af.
hoe het in hemelsnaam mogelijk is dat zoveel mensen geestelijke gezondheidszorg nodig hebben
Wie zegt dat dit altijd niet al nodig was? Ik denk wel dat bepaalde dingen veranderd zijn in de laatste 30-40 jaar ofzo. Een paar dingen waar ik aan denk:
*Mensen schamen zich minder dat ze psychische klachten hebben en hulp zoeken. Ook wordt het beter geaccepteerd door de maatschappij in plaats van gedacht dat je zwak ben als je het nodig hebt.

*Beter beschikbaar. Dan denk ik aan dat het in de verzekering zit en je het dus niet zelf betaald. Maar bijvoorbeeld ook dat ik verwacht dat er meer psychiaters / psychologen zijn dan vroeger (al is het nog niet genoeg). En er is ook meer studie gedaan dus er is meer bekend. Maar ook dat de informatie makkelijker te vinden is op internet dus mensen zullen bijvoorbeeld eerder geneigd zijn om een pil te proberen.

*De maatschappij is veranderd:
Pesten via internet waardoor het op een bepaalde manieren moeilijker is (voor de jeugd).

Meer vergelijkingsmateriaal waardoor mensen misschien negatiever gaan voelen. Ik ben niet zo mooi als die mannen/vrouwen op Instagram of ik ben niet zo handig/slim als die youtuber. Ze hebben een betere baan. Ze gaan vaak op vakantie of hebben betere spullen. Ze hebben een goede relatie. Maar ook bijvoorbeeld dat je veel meer ziet dat ouder worden met problemen komt wat ouder worden enger of problematisch maakt.

*Er is te veel te doen. Elke dag kan je wel verdwalen op internet (zoals YouTube, Reddit en sexsites), tv, Twitch en Netflix zijn tegenwoordig gewoon 24 uur per dag te bekijken, er zijn veel games te spelen en online games stoppen ook nooit. Ondanks dat het een ontspanning zou moeten zijn kan het soms wel een dagtaak zijn om alles bij te houden en er dus geen echte "uit" moment meer is behalve slapen.

Ook verwacht ik dat werk minder nuttig kan voelen (bijvoorbeeld veel meer werk op een computer in plaats van een huis bouwen) en ook dat ik verwacht dat je vroeger veel meer gewaardeerd werd omdat bedrijven kleiner waren.

De opvoeding is anders. Ik denk dat meer mensen een te makkelijke jeugd gehad hebben waardoor ze niet echt klaar waren voor de toekomst. Of kinderen die minder hun ouders zien omdat ze allebei werken of gescheiden zijn. Maar ik denk ook dat bijvoorbeeld relaties anders zijn dan vroeger.

*Minder sociaal / vertrouwen dan vroeger. Mensen gaan minder bij elkaar op bezoek of hebben minder contact met elkaar. Maar ook door bijvoorbeeld scammers, criminelen, mensen die misbruik van andere maken, bedrijven die minder te vertrouwen zijn, ect heb ik ieder geval minder vertrouwen in andere mensen.

Er zal vast wel meer dingen te bedenken zijn maar dit zijn ieder geval een aantal dingen die ik kan bedenken. En het hoeft natuurlijk niet 1 ding te zijn maar ook verschillende dingen die opstapelen.
Dat zo vreselijk veel mensen geestelijke gezondheidszorg nodig hebben komt volgens mij doordat de maatschappij op steeds hogere toeren is gaan draaien. De wortels daarvan zit in de economie en de manier waarop geld wordt 'geschapen': namelijk doordat de bank geld kunnen scheppen door mensen een lening te verstrekken, die met rente moet terugbetaald en daardoor moet de economie steeds verder groeien en groeien want als de economie niet groet, valt deze om door de schuldenlast, die ondertussen wel steeds meer groeit.

Voeg daaraan toe de superrijken die zich steeds sneller verrijken ten kostte van mensen, samenleving, natuur, milieu, klimaat: de boel wordt enorm onder druk gezet. En wie hebben daar het meeste last van? Kwetsbare mensen, zoals ik bijvoorbeeld, die die race niet bij kunnen houden.

Het was geloof ik psychiater Dirk de Wachter (maar het kan ook die ander Belgische psychiater Paul Verhaeghe zijn geweest) die de maatschappij vergeleek met een steeds sneller varend schip waar mensen uitvallen, die vervolgens een reddingsboei wordt toegeworpen (de ggz) waar ze dan ook nog zelf naar toe moeten zwemmen en sommigen redden ook dat niet. En ondertussen vaart het schip steeds sneller door en vallen steeds meer mensen daardoor buiten de boot.
Als bestuurder zou ik met deze cijfers tot in detail willen weten waar de kostenstijging in zit, hoe het in hemelsnaam mogelijk is dat zoveel mensen geestelijke gezondheidszorg nodig hebben en hoe het kan dat met zo’n budget de de informatiebeveiliging niet op orde is.
Simpel.
De stijgende uitgaven vallen grotendeels te verklaren door prijsindexatie en een toegenomen aantal behandelde patiënten.
Prijsindexatie is logisch (alles wordt duurder). Meer te behandelen patiënten komt doordat er meer vraag is naar correctieve zorg door bezuinigingen op preventie zorg. In Nederland gaan we pas rennen nadat het fout gaat. Dit zie je ook terug in andere takken van de zorg.

[Reactie gewijzigd door The Zep Man op 28 mei 2026 08:33]

Simpel
Dat is het dus niet. In de zorgbranche waar ik werk zie je gigantisch veel verspilling achter de schermen. Vooral door administrative verplichtingen met veelal twijfelachtige nut en noodzaak. Dit wordt met het jaar meer en meer. We proberen dit zo veel mogelijk weg te houden bij de handjes aan het bed. Die zijn er al zo weinig. Wat wel resulteert in meer "niet-zorg" collega's, die vaak meer verdienen. Ook helpt het niet dat er een zeer meegaande cultuur is. Ik heb weinig sectoren meegemaakt waar men zo welwillend en accepterend is. Goed voor de patient/client maar niet altijd voor de eigen standpunten.

De zorg kosten zitten gedeeltelijk in de "standaard" zaken maar vooral in een verziekt systeem. Dus elke keer maar meer geld schuiven is al lang geen houdbare optie meer. Men moet een keer gaan kijken waarom de kosten zo uit de klauwen lopen en grondig ingrijpen in die procedure en verzekering slangenkuil. Het concept van het ziekenfonds was zo slecht nog niet.
Dat is overal.

Mijn partner is pedagoog en werkt in een kinderopvang.

Ooit bracht je je kind daarnaartoe zodat er voor gezorgd kan worden terwijl de ouders werken. Tegenwoordig worden alle kinderen op kinderdagverblijven gevolgd in een kindvolgsysteem, met periodieke evaluaties van het kind, observaties en testjes of het kind nog past in de vooraf uitgedachte ontwikkelingscurve. Is het kind iets trager, dan krijgt het voorschoolse educatie zodat het instromen op de basisschool makkelijker gaat.

Het kinderopvangsysteem is daarmee een voorloper van de basisschool geworden, met een zware focus op educatie.

Dat klinkt allemaal heel leuk en handig, maar dat betekent dus wel dat mensen in de kinderopvang nu opgeleide pedagogen moeten zijn, en er dus een werkpakket bij is gekomen die vooral uit administratieve lasten bestaat.

In de praktijk weet iedere pedagoog dat bij het gros van de kinderen alles wel bijtrekt - de een is nu eenmaal was sneller dan de ander op een bepaald vlak, maar dat verschil trekt wel bij. De echte probleemgevallen zie je ook wel zonder kindvolgsysteem.

En kinderen die niet naar de kinderopvang gaan? Nou, die zitten niet in het kindvolgsysteem. Dus je dekt er niet eens alle kinderen mee.
En vergeet de steeds hoger wordende eisen waaraan alles moet voldoen ook niet.

Ik werk in een pand van nog geen 6 jaar oud wat toen opgeleverd is volgens alle toen geldende eisen en standaarden. We zijn nu bezig alle stekkerblokken onder bureau's te vervangen en nog meer aanpassingen te doen omdat de eisen hiervoor veranderd zijn.
Een stekkerblok met een schakelaar er op is potentieel brandgevaarlijk en mag niet meer want door veel schakelen kan de schakelaar slijten en brand veroorzaken. Dat de blokken onder een bureau zitten en de schakelaar wss nooit gebruikt is maakt dan niet uit.
We hebben 60 werkplekken een klein stukje moeten opschuiven omdat er een kabel onder een vilten tussenschot doorliep, daar is ruimte voor maar iemand kan het draaipootje aanpassen en dan kan de kabel klem komen te zitten en in theorie kan dat brandgevaarlijk zijn.

We hebben een aantal stekkerblokken aan een dikke verlengkabel zitten, load is nooit meer dan 300watt ( of doe eens gek en maak er 2A van, kabel en blok beide gerate op 16A) maar iemand kan eens bedenken om een koffiezet apparaat mee te nemen en die aan te sluiten en dan is die extra overgang en de lengte niet toegestaan en potentieel brandgevaarlijk.
Oplossing is een extra stopcontact aanleggen of de stekkers vervangen voor Wieland.

Hier zijn we met meerdere collega's nu al heel wat uren aan kwijt en geintje kost een vermogen maar als we het niet doen komen we niet door de keuring, geen keuring geen verzekering :X

Ja waarom zou de zorg nou zo duur zijn zeg..... :?
Ik kan me oprecht in heel veel regeltjes vinden voor maar misschien slaan we soms wel een beetje door? Ik werk nu zo'n 17-ish jaar in de zorg en kan tientallen voorbeelden geven van regeltjes dingen die menig mens versteld doen staan :X

[Reactie gewijzigd door sapphire op 28 mei 2026 11:33]

De invloed van met name sociale media op onze samenleving is een heel duidelijke oorzaak van de toename van de benodigde zorg. Daarbij spelen ook andere dingen: in Nederland wordt bijna 5 keer vaker een diagnose "autisme" gemaakt dan in andere EU-landen. Ook hierdoor wordt meer van de zorg gevraagd, maar we zouden ook eens kunnen kijken waarom het 5 keer vaker gebeurd?
Omdat men vaak niet verder wil kijken wat het echte probleem is.

Maar ze willen wel een stempel op zodat ze patiënt hun probleem "oplossen", vandaar.
Ik denk dat je hier iets wezenlijks benoemd: na de diagnose "autisme" is het gemakkelijker om zaken voor elkaar te krijgen. Of het nu in de zorg of medicijnen is, of voor aangepast onderwijs...
Dat is wel zeer kwalijk. Je kunt misschien behandeling en begeleiding krijgen, maar als je dat krijgt voor de verkeerde diagnose in werkelijkheid word je natuurlijk niet echt geholpen. Het kan je zelfs verder de afgrond in helpen als de hulp niet helpt omdat je voor het verkeerde wordt behandeld. Ook is het zo dat vervolgbehandelingen telkens aan die eerste diagnose kan worden opgehangen, zo wordt voortborduurt op iets dat mogelijk niet klopte met verkeerde conclusies tot gevolg. Als het dus is om hulp te krijgen is het wel een heel erg slecht systeem met kans tot grote persoonlijke schade die ermee wordt aangericht.

En dan om het nog wat ontopic te eindigen: komen al je behandelingen, persoonlijke gegevens, voortgang, mogelijk dus verkeerde diagnoses in systeem die totaal slecht beveiligd zijn, waarbij alle data op straat kan belanden en de verantwoordelijke zorg ervan wegkijkt, zelfs bij zorgen en verzoek tot contact van de inspectie. Kortom: goed geregeld. What could possibly go wrong. /s

[Reactie gewijzigd door Aardwolf op 29 mei 2026 05:46]

Ik heb zelf zo'n autisme-diagnose. En hoewel het in mijn geval wel duidelijk beperkend is, vind ik het bij veel anderen met diezelfde stempel helemaal niet zo beperkend. Ik kom sociaal bijv. nauwelijks mee in groepen mensen - ook al probeer ik er veel energie in te stoppen, maar veel anderen met diezelfde stempel lukt dat wel. Terwijl sociale moeilijkheden, i.t.t. tot andere criteria, toch echt een hard criterium zijn voor autisme.

Mij lukt alleen 1-op-1-contact met veel moeite. Als ik iemand al goed ken, dan gaat het wat makkelijker.

Ben ook bang dat deze beperking steeds minder serieus genomen wordt door het alsmaar oprekken van de definitie. Anderen zien het zelfs al als superkracht, en hoewel ik vast beter ben in bepaalde zaken, kosten bepaalde zaken gigantisch veel energie, en sommige dingen lukken gewoon niet.
Ik zie -en er is ook beleid op- dat er juist minder en minder met pillen wordt gesmeten. Old habits die hard, maar er is echt een kentering plaats aan het vinden.
Daar kan ik bijna emotioneel van worden. Dan was mijn geschreeuw niet voor niets. Maar ik zit er voorlopig nog wel aan vast. Wat mij tot chronische disharmonie met mijn omstandigheden en omgeving maakt. Soms vergeet ik ze een paar uur - vraag me ineens af waarom ik zo gelukkig ben, om dan een sneer van het leven recht in mijn ziel te krijgen en te leren dat ineens stoppen nog steeds geen goed idee is. Terwijl langzaam de 'pleister' wegtrekken niets iets is waar dit leven nog de tijd en ruimte voor biedt.
Want meer geld is de grote oplossing? De kosten stijgen al jaren op rij en vormen inmiddels een substantieel deel van de algehele zorgkosten.
Dat terwijl 'meer marktwerking' zoals we nu hebben, aan de man was gebracht als oplossing voor stijgende kosten.
Om dit verhaal technisch te houden, totdat er monopolisten kwamen zoals Chipsoft en Epic, die wel weten hoe ze richting de zorg een factuur moeten sturen.
Absoluut. Dit zijn feiten. Het is geen zorg dan ook maar maskeren van maatschappelijk ongenoegen. Vaak is wat als familiesysteem problemen begon, later maatschappelijke problemen. En wie er ooit schuldig waren al lang niet meer te bekennen zodra de "ziekte" bij classificatie zich manifesteert. Zoeken in je jeugd is in dat opzicht ook zinloos.
Als antwoord op die vraag waar de stijgende kosten in zitten zou ik het boek De Mythe van Normaal (Nederlandse vertaling van The Myth of Normal) van Gabor Maté aan willen raden. Gaat een wereld voor je open.
In een alsmaar veeleisende, hectische en 24u/7 maatschappij die onderwijl ook nog eens in een razend tempo verhard en polariseert, ik kijk er niet gek van op dat de ggz kosten fors toenemen.

[Reactie gewijzigd door TJ89 op 28 mei 2026 20:21]

Je wilt ook niet weten hoeveel geld er verslonden wordt door die GGZ instellingen. En die directies belonen zich schathemelrijk, want ze vangen genoeg per patient. Of ze die vervolgens snel en efficient de juiste hulp kunnen geven wordt niet naar gekeken.

Dus logisch dat ze overvol zitten, want dat is ook maximaal cashen.

Terug naar IT kant.....dit alles (of er nu bezuinigd word of geld wordt verbrast) is geen excuus om voldoende IT-ers in te huren om informatiebeveiliging op orde te krijgen.
De toiltetten en bureaus worden toch ook gewoon bijna dagelijks schoongemaakt daar? Dus het is kwestie van prioriteiten. Maar ik kijk er niet vanop met al die geprivatiseerde instellingen waar het vooral om de welvaart van eigenaars gaat.
Informatie beveiliging is trouwens geen IT feestje trouwens dat is echt een misvatting het raakt alle onderdelen van een organisatie.
We leven toch niet meer in een papieren wereld? Alles is digitaal. De hacks vinden ook digitaal plaats.
Het zijn dan toch IT-ers die de kar op dit gebied moeten trekken.
De memo met wachtwoord op je monitor is toch ook iets waar IT (security officer) de medewerkers over moet inlichten? Evenals voorlichting over phising, usb sticks, linkjes clicken, etc moet vanuit IT komen.
Ok het afsluiten van het pand en clean desk is meer office, maar toegangspasjes en camera's is al snel weer IT.
Maar misschien kun jijzelf met voorbeelden komen waarom het een misvatting is dat het geen IT feestje is?
IT richt zich vooral op de techniek: systemen beheren, patchen, firewalls, monitoring, accounts, netwerkbeveiliging enzovoort. Maar Information Security gaat over het beschermen van álle informatie en processen binnen een organisatie. Dus niet alleen digitaal.

Denk bijvoorbeeld aan:
  • fysieke beveiliging van gebouwen, serverruimtes en archieven;
  • HR-processen zoals onboarding/offboarding en background checks;
  • toegangsbeheer en functiescheiding;
  • awareness-trainingen voor medewerkers;
  • leveranciers- en ketenrisico’s;
  • compliance en wetgeving;
  • clean desk policies en classificatie van informatie;
  • risicoanalyses en crisismanagement.
Een post-it met een wachtwoord op een monitor is bijvoorbeeld geen technisch probleem maar vooral een menselijk/procesmatig probleem. Daarom vallen awareness en beleid ook onder Information Security.

En ja, IT speelt daarin een grote rol, zeker bij digitale dreigingen zoals ransomware of phishing. Maar beveiliging alleen bij IT neerleggen werkt in de praktijk juist vaak averechts. Dan krijg je situaties waarbij IT zich ineens moet bemoeien met fysieke beveiliging, HR-processen of bedrijfsrisico’s terwijl dat eigenlijk organisatiebreed gedragen moet worden.

Daarom zie je binnen volwassen organisaties dat Information Security meestal onder Governance, Risk & Compliance (GRC) valt of direct onder management/risk, en niet puur onder IT. Security raakt namelijk de hele organisatie, niet alleen de systemen.
Volgens mij snappen we het allebei dus heel goed, want de meeste voorbeelden had ik al gegeven en laat onverlet dat IT belangrijkste component vormt bij informatiebeveiliging.

Waarom je dan zo stellig het volgende schrijft is mij dan een raadsel:
Informatie beveiliging is trouwens geen IT feestje trouwens dat is echt een misvatting het raakt alle onderdelen van een organisatie.
Dus terug naar het GGZ verhaal....jij zou ipv IT (security) personeel ander personeel aannemen? 8)7
Het blijft moeilijk om iemand bijval te geven....liever gaan we er frontaal tegenin.
Het grote probleem bij veel van die ggz-instellingen is dat mensen hogerop, die eigenlijk geen verstand hebben van it-gerelateerde zaken, alle beslissingen maken. Zelfs als door de it-afdeling wordt aangegeven dat het niet mogelijk is of onrealistisch is. Als dan blijkt dat het niet werkt, komt dat zelfde clubje mensen weer met de volgende reeks rare verzoeken. Er wordt simpelweg niet geluisterd met mensen die er wel expertise in hebben. Daardoor wordt er ook veel geld over de balk gegooid.
Knettergek is het nieuwe normaal. Vroeger werd je dan opgesloten, tegenwoordig mag je je waan ideeën zelfs propaganderen op het internet. Wat uiteraard niet helpt bij het voorkomen van schade aan die persoon en de samenleving.
Vroeger werden normale mensen opgesloten omdat andere dachten dat men gek was, of dat men een ander idee had over iets. En vergeet niet de mensen die opgenomen waren zodat andere hun eigendommen konden inpikken. Nee, gelukkig moet men eerst een bewezen gevaar voor zichzelf of andere zijn voordat men iemand kan opsluiten.

Het probleem zijn niet de "gekken" maar het gebrek aan financiering.

Het gebrek aan beveiliging (hoogst waarschijnlijk) ook!
Tsja, als je steeds minder budget kriigt zal informatiebeveiliging geen hoge prioriteit hebben.

Daarnaast nog een nuancering: het is wettelijk verplicht om aan de NEN7510 te voldoen, maar niet om daadwerkelijk gecertificeerd te zijn. Het blijft dus bij een soort van self-assessment waar geen onafhankelijke auditor te pas komt. En als je geen fte/budget hebt voor informatiebeveiliging(spersoneel), dan is het vaak toch maar een papieren exercitie.
De eerste google zoekactie levert een GGZ instelling op die 4,6% winst maakte in 2024.
GGZ Rivierduinen heeft in 2024 een winst gerealiseerd van € 10,6 miljoen op een totale omzet van € 230 miljoen.
https://www.rivierduinen.nl/gezonde-financiele-situatie-ggz-rivierduinen-fundament-voor-groei-en-ontwikkeling/

Als zij genoegen zouden nemen met 4,5%, dan hebben ze al € 250.000,- om een NEN7510 certificering te behalen, dat mag toch wel voldoende zijn? Het is geen kwestie van meer geld, maar een juiste besteding.
Geld is niet zaligmakend de juiste mensen met kennis en ervaring ontbreken vaak.
En goede mensen huur je in met....?

Geld is niet zaligmakend, maar je kan er wél mensen met de juiste kennis en ervaring mee binnenhalen, middels een vast contract of ingehuurd.
Bijna 20% van ggz-instellingen maakt verlies: https://www.skipr.nl/nieuws/bijna-een-op-vijf-ggz-aanbieders-draait-verlies-in-wfz-peiling/

Een groot deel draait daarnaast quitte.
En er is gewoon een norm voor, de NEN 7510 en volgende. Deze is er al een jaar of 20 en sinds 2008 moeten alle instellingen daar aan voldoen. Er zijn cursussen en heel praktische handboeken. Hier niet aan voldoen is gewoon ernstig falen en incompetentie van het management.
Hier niet aan voldoen is gewoon ernstig falen en incompetentie van het management.
Dat staat er niet. Ze weten niet of ze voldoen. Mogelijk voldoen ze niet, maar dat is niet wat ze onderzocht hebben. Het is zomaar mogelijk dat ze wél voldoen, maar dit niet hard kunnen maken, met oa een certificering. (die niet verplicht is lees ik in deze draad)

Hier staat nergens dat ze niet voldoen, alleen dat ze het niet weten:
Hier zijn er circa 150 van, waarbij er 87 instellingen zijn waarvan de inspectie niet wist of ze zich aan de regels hielden.
en
Van de 87 instellingen konden 6 organisaties aantonen dat ze inderdaad aan die norm voldoen. De 81 andere instellingen konden dit dus niet.
Hier staat nergens dat ze niet voldoen, alleen dat ze het niet weten:
Als je het weet, heb je een audit uitgevoerd en is daar verslaglegging van. Als je het niet weet zijn er nog maar 2 opties, namelijk: Je weet niet of er verslaglegging van is, of je hebt geen aandacht voor deze norm. In het eerste geval zou je de vraag als directielid simpelweg door kunnen sturen naar de verantwoordelijke personen, als zij er ook geen antwoord op hebben, is de meest logische verklaring dat er geen check is gedaan op deze norm, geen gap-analyse is en effectief het bedrijf dus niet aan de norm kan voldoen. Het is heel simpel: Je moet kunnen aantonen dat je voldoet, kun je dat niet, voldoe je niet.
Met een goed beleid op dit gebied heb je een certificering en heb je die certificaten,
Om het dan maar (over)compleet te maken ;)

Met een goed beleid heb je de certificering en weet je er vanaf. Als je geen antwoord kunt of wilt geven, is het beleid niet op orde en zal de certificering dus ook ontbreken :'(.
Het werken volgens NEN 7510 in de zorg is verplicht. Zorgaanbieders moeten aantoonbaar voldoen aan NEN 7510 ev Toezichthouders (zoals IGJ) gebruiken NEN 7510 als normenkader. Dus eigenlijk moet je wel degelijk kunnen aantonen dat je werkt conform NEN 7510.

Dit niet kunnen is falen van management die, wanneer ze dit niet priotiseren en implementeren. Management is always to blaim.

Probleem is in mijn ervaring vooral artsen, veel minder het zorgpersoneel.

[Reactie gewijzigd door Pietopdeheuvel op 28 mei 2026 08:58]

Die verplichting klopt! (staat trouwens hier)
Maar dan nog staat er niet dat ze niet voldoen, maar dat ze niet weten of ze voldoen. Dan moet je schrijven "Het niet weten of ze voldoen is gewoon [...]".

Het is zeker falen, maar ik zou weg blijven van "ernstig falen en incompententie" zolang het plaatje niet helder is.
Het plaatje is volkomen helder. Wanneer je niet weet of je voldoet is dat een haalschuld, en kan je een audit laten doen door een consultant op dat gebied. Rond 2010 heb ik verschillende instellingen geauditeerd.
Dat de inspectie dit niet weet zegt niets over de zorginstelling. Die kan prima weten of ze voldoen, en misschien doen ze dat ook, maar hadden ze geen zin in een vragenlijst van de inspectie.
Naast haalschulden heb je ook zoiets als brengschulden
IGJ blijft de ggz-instellingen die nog niet aan de norm voldoen, volgen met gesprekken en het opvragen van documentatie.
Nee. Freaking nee. Geachte instelling. Per xxx datum ga jij voldoen.
Doe je dat niet dan is xxxxxxxx het boete bedrag. 1 maand na de boete controleren we weer. En indien niet voldoen aan, gaat de deur dicht.
Precies. We zien al tientallen jaren dat de fluwelen handschoentjes-tactiek niet werkt. Waarom zou het nu wel werken...?

Wat we óók zien, is dat hele dikke boetes wél werken, 7% van de jaaromzet bijvoorbeeld als er niet aan de DMA wordt voldaan. Opeens gaan er dingen veranderen.

Leg de verantwoordelijkheid nou eens waar die hoort! Bij de directie. Laat hen maar eens publiekelijk op het matje geroepen worden en laat hén de nadelen ondervinden. Alleen dan veranderen er zaken.
[...]

"1 maand na de boete controleren we weer. En indien niet voldoen aan, gaat de deur dicht."
Dit is ook wel echt enorm kortzichtig eh. De kern van "geestelijke-gezondheidszorginstellingen" is toch nog steeds om mensen te helpen en ik gok dat geen enkel land er genoeg heeft om zo radicaal te kunnen handelen & zomaar de deuren te kunnen sluiten omdat ze niet in orde zouden zijn met informatie beveiliging.

Het is een probleem, 100% akkoord en ik praat het niet goed. Het moet gewoon weg in orde gebracht worden en er moet meer focus opgelegd worden maar als je er maatschappelijk gezien naar kijkt heb ik liever de beschikbaarheid van zorgverlening met een mogelijks risico dan helemaal geen zorgverlening.
En indien niet voldoen aan, gaat de deur dicht.
Volgens mij moeten we niet vergeten wat het originele doel is van zo'n instelling. Sluit je de deuren ervan dan sta je daar met een hoop hulpbehoevenden die geen plek meer hebben, daar moet je wat mee ongeacht de stand van hun databeveiliging.
IGJ mag geen boetes opleggen. Mag alleen 'eisen' dat er een verbetertraject ingezet wordt. Pas als het misgaat wordt er een instantie bij betrokken die wel boetes mag opleggen (AP). Erg rare constructie maar zo lijkt het nu geregeld te zijn.
Welke straf krijg je als je er niet aan voldoet?
Het merendeel hiervan zei wel hiermee bezig te zijn, al deelden veel instellingen hier geen concrete planningen voor.
Dit is wel een mooi antwoord , ik ben er mee bezig ... ooh planning nee die hebben we niet.
Mijn gedachten ook ja. Hoe zeg ik iets, maar tegelijkertijd ook helemaal niets?
Ik verbaas me hier ook over. Net als de Belastingdienst, die niet aan alle wetgeving voldoet en dat gewoon afdoet met "daar zijn we nog niet klaar voor".

Als je een boete krijgt wegens het verlopen van je APK, dan werkt "Ik ben hiermee bezig, maar een concrete planning heb ik niet voor u" immers ook niet.
Geen straf. Enige wat IGJ kan doen is vragen dat de organisatie een 'verbetertraject' opstelt. Zie ook het bericht aan Clinical Diagnostics. Zie ook dit bericht op tweakers van een tijdje geleden (het bericht aan Clinical Diagnostics is ook best wel interessant om te lezen).
Enkele maanden geleden dit al besproken met mijn vrouw over de instellingen waar zij werkt. Tevens ook gehad over fysieke beveiliging en privacy schendingen. Maar alles buiten het wegwerken van maanden aan wachtlijsten heeft weinig tot geen prioriteit. Snap ik wel, er is desastreus tekort aan behandelaren, waardoor er letterlijk mensen overlijden. En dan nog durven mensen te beweren dat meer geld geen oplossing is. Dat is het wel en dan vooral ook daarnaast oncomfortabele, preventieve, maatschappelijke beslissingen nemen: Geen Socials meer gerund door Big Tech, Geen onderwijs gericht op extrinsieke motivatie, stimuleren van gezinsleven door het mogelijk te maken dat ouders genoeg financiën hebben en tijd voor de kinderen, dus dat een gezin kan leven op 1 modaal inkomen. Dan komt er weer mentale ruimte.
Grappig dat je 1 modaal inkomen noemt. Ben lange tijd (onvrijwillig) eenverdiener geweest, omdat mijn partner ziek is. Nu wel weer aan het werk voor een x aantal uur. Je wordt uitgeknepen door de staat waar je bij staat: ik heb zo'n 10k per jaar extra afgedragen omdat mijn partner ziek is. De stas: 'ja dat is een keuze'. Ammehoela.

Maar goed, onze kinderen hebben daardoor altijd 1 ouder thuis gehad. En al zeg ik het zelf, ik vind ze stabieler dan andere kinderen. Dat neemt niet weg dat er problemen zijn, maar ze hebben niet dat schreeuwerige van klasgenoten. Schreeuwen is trouwens een vorm van aandacht vragen, gek genoeg bij kinderen met drukke ouders waarvan de kinderen na een kinderfeestje op woensdagmiddag ook nog naar de voetbal moeten in de avond .. had een keer een kind van een ander in de auto. Moest naar sport, naar Chinees en nog wat dingen. Zegt ze: 'eigenlijk wil ik gewoon spelen ..' Vond ik best zielig.
Dit is compleet offtopic maar ik wilde het toch even zeggen, een kind wat eigenlijk gewoon wilt spelen en niet naar een sport of muziekles wilt is niet per definitie zielig. Ze zien namelijk op die leeftijd (ten opzichte van de ouders) niet in wat voor meerwaarde sporten en muziekles kan hebben, er zijn zat studies gedaan waaruit blijkt dat je zelfvertrouwen verbeterd en je hersenen op bepaalde vlakken beter werken als je dit wel doet.
Je schrijft een hoop, maar ik zie je toevoeging niet echt. Je enige echte punt in je betoog is meer geld. Maar er is al veel geld... Het wordt gewoon niet uitgegeven aan noodzakelijke beveiliging.

Voorbeeld:
GGZ Rivierduinen heeft in 2024 een winst gerealiseerd van € 10,6 miljoen

Over 2023 realiseerden we een winst van € 4,1 miljoen.
https://www.rivierduinen.nl/gezonde-financiele-situatie-ggz-rivierduinen-fundament-voor-groei-en-ontwikkeling/

Afschuiven op meer belastingen naar zorg is onzin, men moet het gewoon goed besteden. Alleen hierop toezien blijkt niet te kunnen ofzo...


Gerelateerd aan dit topic. Rivierduinen schrijven op hun website:
Onze applicatieleverancier en hostingsleverancier zijn ISO 27001/NEN7510 gecertificeerd, waarmee ze voldoen aan hoge beveiligingseisen.
Maar wat zij niet schrijven in nog veel interessanter. Dat zijzelf niet gecertificeerd zijn, alleen de genoemde leveranciers. Is dit voldoende? Ik verwacht van niet! Maar het staat wel leuk...
Je hoeft niet gecertificeerd te zijn, de eis is dat je moet kunnen aantonen dat je volgens NEN 7510 ev werkt.
Tuurlijk, die mensen die dan de sjaak zijn omdat hun ellende op straat ligt worden daar echt beter van....


Ik denk dat je echt geen flauw benul hebt hoe onzettend ontregeld patienten kunnen geraken van dit soort activiteiten. Zelfs enkel al dit nieuwsbericht kan sommigen ontregelen.
Het gaat verder dan software, en de software die ggz instellingen gebruiken moeten ook al NEN7510 gecertificeerd zijn. In de NEN7510 gaat het bijvoorbeeld ook om hoe je met toegang tot de informatie om gaat (mag iedere medewerker in ieder dossier? hoe registreer je toegang tot een dossier?), hoe registreer je je assets (laptops bijvoorbeeld) en weet je zeker welke medewerker welke laptop heeft.
Tsja... dat zal voornamelijk liggen aan de sturing vanuit de directie van deze instellingen....

Beroepshalve en op persoonlijk vlak (kind) kom ik regelmatig bij GGZ instellingen over de vloer, en je krijgt toch vaak de indruk dat de betreffende directeur van deze instellingen (op een af andere manier zijn het vaak VVD-ers.... waarom snap ik ook niet gezien de tak van zorg) zich om 2 dingen druk maakt:

Een zeer mooi pand met veel nadruk op allerlei details op pietluttige dingen, en het binnenhouden van alle ZZP psychologen die aan komen rijden met hele riante auto's met een Belgisch kenteken (want economische vluchtelingen)

Ergens in een aftands bijgebouw zitten dan een paar IT'ers die wanhopig de zorg ondersteunen, met veel te weinig middelen (afgaand op het houtje-touwtje werkplek inrichting) Ik kan me dan zomaar indenken dat informatiebeveiliging dan heeeeeel weinig prioriteit heeft vanuit het management.

Uiteraard zullen de meeste problemen ontstaan zijn vanuit de bezuinigingen van de Overheid. Die hebben gewoon alles naar de provincie/gemeente geschopt zonder een dekkende begroting.

[Reactie gewijzigd door caspar M op 28 mei 2026 08:10]

Best bijzonder. Ik mag aannemen dat er vanuit gemeenten enzo alleen wordt gewerkt met gecertificeerde instanties toch? Het hele idee hierachter is natuurlijk dat je bedrijven dwingt netjes te werken.

Wij vragen ook aan alle bedrijven of ze bepaalde certificeringen hebben én vragen deze sinds niet al te lang geleden ook daadwerkelijk op én hebben ons het doel gesteld deze periodiek te controleren bij meerjarige contracten.


@Hayte Ik zou Tweakers wel eens willen horen over de opdrachtgevers van deze instellingen. Zit deze vraag niet in de contracteisen? Zo ja, waarom wordt hier niet naar gekeken? Waar blijft de verantwoordelijkheid van bijv. de gemeentes?
Oh ja, en hoe zit dit dan met zorgverzekeraars - doen zij wél zaken met ongecertificeerde zorgleveranciers...?
Best bijzonder. Ik mag aannemen dat er vanuit gemeenten enzo alleen wordt gewerkt met gecertificeerde instanties toch? Het hele idee hierachter is natuurlijk dat je bedrijven dwingt netjes te werken.
En wat als gemeentes nou niks te kiezen hebben? Je kan eisen stellen, maar als niemand daar 100% aan voldoet zal je toch met de 'minst slechte partij' in zee moeten. Helemaal niks doen is nog beroerder en gemeentes hebben ook zorgplicht.

Marktwerking bestaat alleen als er veel geschikte aanbieders zijn die met elkaar concurreren om het beste aanbod voor de beste prijs bij de afnemer te halen. Dat dat in de zorg het geval zou zijn is gewoon doorgeschoten liberaal denken.
Dan wijs je hen op hun wettelijke taak en maakt een melding bij de juiste autoriteit, lijkt mij. Maar als ik dit artikel lees, krijg ik het idee dat er niks gebeurt. Noone cares. Als de gemeente er wél bewust mee in zee gaat, waar staat dit dan genoteerd? Ik gok nergens omdat er ik vermoed dat er niet naar gevraagd wordt.

Hoezo zorgplicht? Je doet zaken met bedrijven die illegaal opereren! Je kan dus niet eens weten wat hun kwaliteit is hierin.
Hoezo zorgplicht? Je doet zaken met bedrijven die illegaal opereren! Je kan dus niet eens weten wat hun kwaliteit is hierin.
Gemeentes hebben zorgplicht, die kunnen niet zomaar contracten met GGZ instellingen opzeggen omdat ze dan niet aan hun plicht om voor kwetsbare groepen te zorgen voldoen en dat imo terecht als zwaarder wordt gezien dan of de beveiligingscertificatie perfect op orde is.
Niet opzeggen, maar simpelweg niet aangaan of naar een ander overstappen.

Je hebt mijns inziens minimaal een inspanningsplicht om burgers óók hierin te verzorgen. Als gemeentes met jan en alleman mogen hobbieën wordt het ook zo'n zooitje, niet?

Dus eerst aangeven (eisen) bij de club, dan een melding doen bij de juiste autoriteit en als laatste vertrekken. De enige manier. Maar niemand pakt hierin de eigen verantwoordelijkheid en verschuilen zich achter drogredenen als 'ja maar de mensen hebben recht op zorg'. Ja, maar óók recht op veilige persoonsgegevens!! Het een sluit het ander niet uit, of wel? Mag je er niks van zeggen dan?
Tuurlijk wel, maar je kan een leverancier niet opzeggen als er geen werkbaar alternatief voor is. Dan heb je helemaal niks meer en dat is minder dan zorg met iets minder goed afgeschermde persoonsgegevens.
Ik mag met enige gepaste trots zeggen dat ik bij een GGZ instelling werk waar we dit goed op orde hebben. Het staat of valt met mensen die bevlogen zijn op dit onderwerp en dit ook echt belangrijk vinden, gelukkig zijn we hier binnen de IT afdeling an daarbuiten bewust van.

[Reactie gewijzigd door Centurion183 op 28 mei 2026 09:52]


Op dit item kan niet meer gereageerd worden.