Op technisch vlak scoort de sector goed. Maar liefst 85% van de organisaties heeft de toegang tot systemen met patiëntgegevens beveiligd met multifactorauthenticatie (MFA). Wachtwoordbeleid is bij 73% op orde en ruim 72% controleert apparatuur op malware en e-mail op phishing. Dit zijn solide fundamenten. Op het gebied van incidentmanagement heeft 72% een proces voor melden, registreren en afhandelen ingericht.

De organisatorische inbedding van informatiebeveiliging kan nog verder worden versterkt. Een derde van de organisaties kampt met capaciteitstekort en 40% twijfelt of de beschikbare capaciteit toereikend is. Veel organisaties hebben slechts één medewerker verantwoordelijk voor zowel informatiebeveiliging als privacy. Iets meer dan de helft (55%) heeft een actueel beveiligingsbeleid vastgesteld. Bij 50% staat risicomanagement structureel op de bestuurlijke agenda; een mooi vertrekpunt voor de overige organisaties om dit nog dit jaar te regelen. De overgang van ad-hoc naar structureel risicomanagement is bij veel organisaties al gaande.

Grotere organisaties (≥ 250 fte) scoren op vrijwel alle thema’s beter dan kleinere (< 250 fte). Bij MFA is het verschil 92% versus 70%, bij malware- en phishingcontrole 82% versus 50% en bij incidentmanagement 79% versus 58%. Kleinere organisaties beleggen informatiebeveiliging vaak bij één persoon en kunnen minder gemakkelijk specialisten inhuren. Dit verschil laat ook zien waar de meeste winst te behalen valt: juist voor kleinere organisaties bieden samenwerking, gedeelde inkoop van security-diensten en de praktische hulpmiddelen die VWS en brancheorganisaties op basis van deze monitor ontwikkelen, een concreet perspectief.

Deze twee thema’s verdienen extra bestuurlijke aandacht. Minder dan vier op de tien organisaties (38%) heeft een volledig crisisplan klaar in geval van een ernstig beveiligingsincident. Bij leveranciersmanagement stelt 68% eisen bij aanschaf van software en diensten, maar slechts 46% heeft ook afspraken over rapportage door leveranciers. Veel verbeteringen staan al gepland voor 2026: de wil is er, de uitvoering volgt.

De Monitor Informatiebeveiliging Zorg is een self-assessmenttool waarmee organisaties inzicht krijgen in hun eigen situatie. De self-assessment is gebaseerd op de NEN 7510 en is de komende maanden nog beschikbaar. Aan het einde van het jaar (december 2026) volgt nog een nieuwe rapportage. Met de komst van de Cyberbeveiligingswet (NIS2) wordt structurele aandacht voor informatiebeveiliging een vereiste. Deze monitor helpt directies en beleidsadviseurs om die weg helder en meetbaar te houden.

Wilt u ook inzicht in waar uw zorgorganisatie staat? Vul dan de self-assessment in.