Zorginstellingen in Nederland en de EU moeten hun cyberbeveiliging meer richten op menselijk gedrag. Beveiligingsteams zien dat aanvallen via phishing en sociale manipulatie toenemen, mede door generatieve AI zoals GPT-4 en Gemini. De druk stijgt nu NIS2 en de Europese AI-verordening (AI Act) op het moment van schrijven richting invoering gaan. Bestuurders en CISO’s krijgen meer plichten, maar vooral het dagelijkse gedrag van medewerkers bepaalt de weerbaarheid.
Menselijke fout blijft hoofdrisico
De meeste digitale incidenten in de zorg beginnen bij mensen. Medewerkers openen een bijlage, delen een wachtwoord of klikken op een nep-link. De werkdruk is hoog en systemen zijn vaak complex. Dat vergroot de kans op een fout.
Social engineering is het misleiden van mensen om toegang of informatie te krijgen. Voorbeelden zijn nepmails van “IT-beheer”, QR-codes op posterborden en valse pushmeldingen voor inloggen. Hybride werken en mobiele apparaten maken het speelveld groter. De dader hoeft maar één keer gelijk te krijgen.
Social engineering: het gericht beïnvloeden van mensen zodat zij onbewust beveiligingsregels overtreden of gevoelige gegevens afstaan.
Generatieve AI maakt misleiding geloofwaardiger. Phishing in foutloos Nederlands is nu eenvoudig te maken met modellen als GPT-4, Gemini of Llama. Ook stemklonen kunnen een “arts” of “bestuurslid” laten bellen met spoedverzoeken. Daardoor wordt herkennen lastiger.
Techniek alleen is dan niet genoeg. Beleid, training en duidelijke werkafspraken zijn net zo belangrijk. Denk aan standaardprocedures voor verificatie en een laagdrempelige meldknop in het EPD. Zo wordt veilig gedrag de makkelijke keuze.
NIS2 dwingt cultuurverandering
De Europese NIS2-richtlijn geldt straks voor ziekenhuizen, laboratoria en veel toeleveranciers. De nationale omzetting moet op het moment van schrijven in 2024 plaatsvinden, met handhaving kort daarop. Bestuurders dragen expliciet verantwoordelijkheid voor cyberrisico’s. Dat verlegt aandacht van alleen IT naar organisatiebreed risicomanagement.
NIS2 vereist onder meer MFA, patchmanagement, training en incidentmelding binnen korte termijnen. Ook de ketenveiligheid moet op orde, inclusief eisen aan leveranciers en cloud. Deze plichten komen boven op de AVG, die dataminimalisatie en versleuteling voorschrijft. Samen betekenen zij: processen, mensen en techniek moeten in lijn zijn.
In Nederland bieden Z-CERT (voor de zorg) en het NCSC handreikingen en dreigingsinformatie. NEN 7510 blijft de basisnorm voor informatiebeveiliging in de zorg. Door NIS2 zullen audits scherper kijken naar gedrag en governance. KPI’s over meldingsbereidheid en training worden net zo relevant als firewall-regels.
De verschuiving raakt ook budget en sturing. Security moet een vast onderdeel worden van kwaliteit en patiëntveiligheid. Raden van bestuur hebben zicht nodig op mens- en procesrisico’s, niet alleen op tools. Dat vraagt blijvende rapportage in begrijpelijke taal.
AI versterkt phishingaanvallen
Aanvallers gebruiken taalmodellen als GPT-4, Gemini en open varianten zoals Llama om geloofwaardige berichten te maken. Ondergrondse varianten, zoals “WormGPT”, worden genoemd in veiligheidsrapporten en verlagen de drempel voor criminelen. Deepfake-audio kan spoedopdrachten nabootsen. Zo wordt de klassieke “CEO-fraude” aangepast aan de zorgpraktijk.
Ook MFA wordt misbruikt via “push-moeheid”: herhaalde meldingen tot iemand klikt. AI kan scripts maken die dit geautomatiseerd uitbuiten. Daarnaast verschijnen overtuigende nepagenda’s, labuitslagen of HR-documenten. Elk detail vergroot de schijn van legitimiteit.
Verdediging maakt tegelijk gebruik van AI. Producten zoals Microsoft Copilot for Security en Google Chronicle zetten algoritmen in om afwijkingen te vinden. Dat kan detectie versnellen en analisten ontlasten. Maar menselijk oordeel blijft nodig om fouten en vals alarm te voorkomen.
Privacy-by-design is cruciaal bij deze hulpmiddelen. Deel geen patiëntdata onnodig met leveranciers en schakel dataminimalisatie in. Log beslissingen en feedback voor verantwoording. Sluit aan op Z-CERT-dreigingsfeeds om modellen actueel te houden.
AI-verordening stuurt inkoop
De Europese AI-verordening (AI Act) legt eisen op aan hoge-risicosystemen en aan generieke AI. In de zorg vallen AI-functies in medische hulpmiddelen vaak in de hoge risicoklasse. AI voor beveiligingsanalyse kan onder generieke modellen vallen met zorgplichten voor aanbieders. Op het moment van schrijven werken organisaties aan implementatie en uitleg.
Bij inkoop helpt een vaste checklist. Vraag om modeldocumentatie, trainingdata-herkomst, evaluaties en foutmarges. Leg vast hoe het systeem uitlegbaar is en hoe menselijk toezicht plaatsvindt. Combineer dit met een DPIA onder de AVG voor privacyrisico’s.
Publieke instellingen vallen ook onder de Aanbestedingswet. Neem eisen op over transparantie, updatebeleid en exit-mogelijkheden. Evalueer leveranciers op naleving van NEN 7510 en ISO 27001. Zo voorkomt u lock-in en borgt u continuïteit.
Training hoort bij de uitrol. Gebruikers moeten weten wat het systeem wel en niet kan. Maak meldroutes voor fouten en bias. Dat voorkomt oververtrouwen in algoritmen.
Praktische stappen voor zorginstellingen
Bouw een meldcultuur rond verdacht gedrag. Organiseer elk kwartaal korte, realistische oefeningen, bijvoorbeeld rond EPD-berichten of roosterwissels. Beloon melden en feedback, niet alleen “geen klik”. Houd resultaten bij per team en verbeter gericht.
Voer phishing-bestendige MFA in met FIDO2-sleutels of passkeys. Beperk sms-codes en zet “number matching” aan bij pushmeldingen. Pas het principe van ‘least privilege’ en just-in-time-toegang toe. Beoordeel periodiek adminrechten en service-accounts.
Segmenteer netwerken en isoleer medische apparatuur zoals infuuspompen en MRI’s. Maak een actueel assetregister, inclusief softwareversies. Vraag leveranciers om een SBOM (software bill of materials) en updatebeleid. Patch kritieke systemen volgens een vast schema.
Wees incident-ready. Test back-ups volgens de 3-2-1-regel en oefen herstel van EPD’s en kritieke processen. Deel indicatoren van compromittering met Z-CERT en NCSC en meld datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens. Communiceer helder met patiënten over gevolgen en vervolgstappen.
