Een Nederlands bedrijf dat software levert voor elektronische patiëntendossiers (EPD) is deze week getroffen door een cyberaanval. Door de aanval lagen onderdelen van de dienstverlening tijdelijk stil, met hinder voor zorginstellingen in Brabant en mogelijk daarbuiten. Het bedrijf zette systemen uit voorzorg offline en onderzoekt de oorzaak, terwijl klanten overschakelden op noodprocedures. Het incident zet regels uit de AVG, de komende NIS2-wetgeving en, waar AI-modules meedraaien, de Europese AI-verordening in scherp daglicht.
Aanval treft EPD-leverancier
De getroffen leverancier ondersteunt zorginstellingen met EPD-software, het digitale dossier waarin artsen gegevens bijhouden. Bij de aanval werden delen van de infrastructuur geraakt en uit voorzorg offline gehaald. Dat leidde tot vertragingen bij het opvragen van dossiers en het plannen van afspraken. De dagelijkse zorg ging door, maar vaak in aangepaste vorm.
Bij dit soort aanvallen wordt vaak ransomware gebruikt: software die systemen versleutelt om losgeld te eisen. Of dat hier is gebeurd, is op het moment van schrijven niet bevestigd. Wel waarschuwen beveiligingsexperts al langer voor kwetsbaarheden bij toeleveranciers. Een aanval in de keten kan snel veel organisaties tegelijk raken.
De leverancier werkt aan digitaal forensisch onderzoek en herstel. Back-ups en segmentatie van netwerken bepalen hoe snel systemen weer veilig online kunnen. Ziekenhuizen en huisartsenpraktijken schakelen tijdens herstel over op papieren procedures. De prioriteit ligt bij spoedzorg en medicatieveiligheid.
Gevolgen voor patiënten
Uitval van EPD-systemen kan leiden tot langere wachttijden en verplaatste afspraken. Het opvragen van labuitslagen en röntgenbeelden kan trager gaan. Portalen voor patiënten zijn soms beperkt bereikbaar of tijdelijk dicht. Spoedgevallen blijven geholpen, maar administratieve afhandeling loopt dan achter.
In veel werkprocessen ondersteunen algoritmen controles, zoals het checken van medicijninteracties. Als die hulpmiddelen niet beschikbaar zijn, moeten zorgteams extra handmatige checks doen. Dat kost tijd en vergroot de werkdruk. Organisaties houden daarom noodprocedures paraat voor dit soort situaties.
Voor patiënten is vooral transparantie belangrijk. Als er sprake is van een datalek, moeten betrokkenen bij een hoog risico persoonlijk worden geïnformeerd. Het is op het moment van schrijven niet duidelijk of gegevens zijn buitgemaakt. De definitieve impact volgt uit het lopende onderzoek.
AVG eist snelle melding
Medische gegevens vallen onder de Algemene verordening gegevensbescherming (AVG) als ‘bijzondere persoonsgegevens’. Bij een mogelijk datalek geldt een meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur. Als het risico voor betrokkenen hoog is, volgt ook een melding aan patiënten. Zorginstellingen blijven verwerkingsverantwoordelijke, ook als de aanval bij een leverancier plaatsvindt.
Medische data zijn bijzondere persoonsgegevens onder de AVG en vragen extra bescherming, snelle melding en passende beveiliging.
Beveiligingsmaatregelen zoals versleuteling, dataminimalisatie en pseudonimisering beperken schade. Zijn data versleuteld en blijven sleutels veilig, dan is het risico vaak lager. Logging helpt om vast te stellen welke gegevens zijn geraakt. Zonder goede logs blijft de impact onduidelijk en duurt herstel langer.
Contracten tussen zorginstellingen en IT-leveranciers moeten duidelijke afspraken bevatten over incidentrespons en auditrechten. Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht bij grootschalige verwerking van gezondheidsdata. In de zorg gelden bovendien normen als NEN 7510 voor informatiebeveiliging. Toezichthouders kunnen handhaven als maatregelen tekortschieten.
NIS2 verhoogt druk
De Europese NIS2-richtlijn scherpt cybersecurity-eisen aan voor essentiële sectoren, waaronder de zorg. Ook toeleveranciers van kritieke digitale diensten vallen sneller onder deze regels. Nationale invoering brengt zwaardere zorgplichten en bestuurdersaansprakelijkheid met zich mee. Organisaties moeten aantoonbaar risicomanagement voeren.
NIS2 verplicht snelle incidentmelding: een vroege waarschuwing binnen 24 uur en een uitgebreid rapport kort daarna. Verwacht worden maatregelen als multi-factorauthenticatie, netwerksegmentatie en regelmatige pentests. Ook opleiden en oefenen horen erbij. Niet voldoen kan leiden tot boetes en aanwijzingen.
In Nederland wordt NIS2 momenteel in wetgeving uitgewerkt, op het moment van schrijven nog in implementatie. Ziekenhuizen en zorg-ICT-bedrijven doen er goed aan nu al aan te haken op de nieuwe eisen. Contracten kunnen ketenverplichtingen opnemen richting leveranciers. Sectorale partijen zoals Z-CERT ondersteunen met dreigingsinformatie en tooling.
AI-verordening raakt zorgsoftware
De Europese AI-verordening (AI Act) plaatst medische AI-toepassingen in de categorie hoog risico. Dat geldt bijvoorbeeld voor besluitondersteuning bij diagnose of triage. Als EPD-software AI-modules bevat, gelden extra eisen voor data-kwaliteit, toezicht en documentatie. Veiligheid en uitlegbaarheid worden verplicht vastgelegd.
Leveranciers moeten datasets beheersen, bias toetsen en beslissingen loggen. Gebruikers moeten weten wanneer een systeem AI inzet en wat de grenzen zijn. Samen met de AVG en medische regelgeving ontstaat een zwaarder compliance-kader. Dit verkleint risico’s bij fouten of misbruik.
Ook generatieve assistenten in patiëntenportalen vragen aandacht. Zij vallen onder transparantieplichten en moeten menselijk toezicht mogelijk maken. Bij een aanval kan manipulatie van modellen extra schade veroorzaken. Daarom horen validatie en monitoring in het beveiligingsplan.
Aanbevolen stappen voor zorg
Op korte termijn tellen isoleren, herstellen en melden. Breng getroffen systemen offline, controleer back-ups en stel noodprocessen in werking. Informeer toezichthouders tijdig en communiceer helder naar patiënten. Werk samen met Z-CERT en het Nationaal Cyber Security Centrum voor actuele dreigingsinformatie.
Op middellange termijn helpen zero-trust, sterke authenticatie en endpointdetectie (EDR/XDR). Test regelmatig met table-top oefeningen en hersteltests van back-ups, inclusief offline kopieën. Werk patchbeleid en configuratiemanagement strak bij. Documenteer wie toegang heeft tot welke data en waarom.
Bij inkoop loont het om harde eisen te stellen aan leveranciers. Denk aan NEN 7510- en ISO 27001-certificering, software-stuklijsten (SBOM), penetratietests en een responsible disclosure of bug-bountyprogramma. Vraag om heldere RTO/RPO-afspraken voor herstel. Zo verklein je de kans op uitval en beperk je de impact bij een volgende aanval.
