“Informatieveiligheid in de zorg vraagt om inzicht, leiderschap en bewust gedrag”
Stefan Clement (beleidsmedewerker bij de Vereniging Gehandicaptenzorg Nederland (VGN) en projectleider bij zorg- en onderwijsorganisatie Koraal) over mensgericht leiderschap en het gebruik van bewezen hulpmiddelen.
Informatiebeveiliging is allang geen puur technisch onderwerp meer. De zorgsector wordt geconfronteerd met toenemende cyberaanvallen, complexe ketenafhankelijkheden en een groeiende hoeveelheid wet- en regelgeving. Daardoor moeten organisaties continu werken aan hun digitale weerbaarheid. Maar voor veel bestuurders en teams blijft het lastig om overzicht te krijgen: Waar staan we? Wat moet beter? En hoe beginnen we zonder meteen grote investeringen te doen?
Voor Stefan Clement is juist deze combinatie van uitdagingen en kansen wat zijn werk zo waardevol maakt. Zijn duo-rol geeft hem uniek inzicht: “Je begrijpt enerzijds hoe zorgorganisaties in de praktijk functioneren, en anderzijds kun je dat perspectief gebruiken om landelijk beleid beter vorm te geven.”
Cyberveiligheid: bewustzijn groeit, maar de aanpak verschilt sterk
Zorgorganisaties zijn zich steeds bewuster van de risico’s van cyberaanvallen. De gevolgen kunnen groot zijn: financiële schade, uitval van systemen en verstoring van zorgprocessen. Toch is investeren niet vanzelfsprekend. Veel organisaties werken budgetgericht en zien IT nog te vaak als een eenmalige kostenpost. Daarbij komen volgens Stefan drie uitdagingen. “De volwassenheid verschilt sterk tussen grote en kleine organisaties. En er bestaat geen generieke aanpak voor informatiebeveiliging. Ook ontwikkelt techniek zich niet altijd in hetzelfde tempo als de complexiteit van de bedrijfsvoering.”
Grip krijgen op informatieveiligheid: inzicht is cruciaal
Daarom stimuleert de VGN het gebruik van bestaande, bewezen hulpmiddelen, zoals de gratis self-assessment Informatiebeveiliging Zorg van ICTU. Deze tool biedt organisaties de mogelijkheid om anoniem hun huidige niveau van informatiebeveiliging te beoordelen, verbeterpunten te identificeren en zich te vergelijken met andere organisaties en sectoren. “Die anonimiteit is belangrijk,” benadrukt Stefan. “Veel organisaties zijn huiverig voor toezicht van bijvoorbeeld de IGJ. Maar de tool is juist bedoeld om te leren en te verbeteren. Het geeft niet alleen inzicht, maar ook context. Je ziet hoe jouw organisatie zich verhoudt tot andere. Dat motiveert en geeft richting. De tool is bovendien bedoeld voor een breed publiek: bestuurders, IB professionals, ICT managers en projectleiders. Iedereen die met digitalisering of risico’s werkt, kan ermee aan de slag. Hoe meer organisaties de tool gebruiken, hoe beter het beeld wordt van de landelijke stand van zaken, en hoe veiliger en toekomstbestendiger de zorg kan worden.”
Waarom juist nu? De druk wordt groter
Zorgorganisaties hebben te maken met een groeiende hoeveelheid verplichtingen en risico’s: NIS2, NEN7510, toenemende digitale kwetsbaarheid, personeelstekorten en een sterk groeiende afhankelijkheid van data en systemen. Nieuwe wetgeving maakt bestuurders bovendien persoonlijk verantwoordelijk. Dat zorgt volgens Stefan voor extra urgentie: “Zodra bestuurders beseffen dat zij persoonlijk aangesproken kunnen worden, komen organisaties echt in beweging. We proberen daar met de VGN op in te spelen door overzicht te bieden. Zo werken we momenteel aan een praatplaat die alle thema’s – van AI tot cybersecurity – met elkaar verbindt. Tijdens de VGN voorjaarsbijeenkomst worden per thema workshops georganiseerd.
Gedrag blijft de sleutel tot veilige digitalisering
Stefan benadrukt dat de mensfactor in dit verandertraject het verschil maakt. “Kennis, houding en gedrag van medewerkers bepalen het succes. Het gaat erom dat mensen de juiste dingen doen – niet alleen dat systemen veilig zijn. Techniek kun je kopen. Gedrag moet je organiseren. Dat vraagt om visie, mensgericht leiderschap en een zorgvuldige aanpak. Niet te snel, niet te geforceerd – maar met oog voor cultuur, richting en daadkracht. Daarom zetten we ook in op trainingen, digicoaches en leeromgevingen waarin organisaties kennis met elkaar delen. Het is essentieel dat mensen van elkaar kunnen leren. Gedrag en cultuur worden daarmee structurele onderdelen van informatiebeveiliging.”
Meer informatie over de self-assessment voor zorgorganisaties
Met de self-assessment krijg je snel inzicht in de belangrijkste Informatiebeveiligingsmaatregelen binnen jouw zorgorganisatie. De vragen zijn gebaseerd op de NEN 7510. De vragenlijst is ontwikkeld door ICTU i.o.v. VWS en i.s.m. brancheorganisaties in de zorg.
De antwoorden op de self-assessment worden ANONIEM opgenomen in de sectorbrede Monitor informatiebeveiliging Zorg. Dit helpt VWS en de brancheorganisaties om gerichter te ondersteunen met praktische hulpmiddelen en input voor beleid.