Informatiebeveiliging Huisartsenspoedzorg schiet tekort
De overgrote meerderheid van de organisaties die in Nederland huisartsenspoedzorg levert, voldoet (nog) niet of niet volledig aan de wettelijke en cruciale normen voor informatiebeveiliging. Dit blijkt uit een recent onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ), uitgevoerd in 2024 en 2025. Van de in totaal 49 onderzochte organisaties – de zogenaamde huisartsendienstenstructuren die circa 100 huisartsenspoedposten exploiteren – bleken er 43 nog niet te voldoen aan de strenge eisen van de NEN 7510-norm.
Deze norm is essentieel om te waarborgen dat patiëntgegevens veilig, vertrouwelijk en beschikbaar zijn op het moment dat ze nodig zijn, zeker in de spoedeisende zorg buiten kantooruren. Met jaarlijks zo'n 2,6 miljoen Nederlanders die ten minste één keer een huisartsenspoedpost bezoeken, staat de veiligheid van gevoelige medische dossiers onder druk.
Grote tekortkoming in onafhankelijke beoordelingen
De belangrijkste tekortkoming die de inspectie constateerde, betreft de verplichte onafhankelijke beoordelingen op informatiebeveiliging. Deze waren bij veel organisaties afwezig of onvolledig. Dit gebrek aan externe controle maakt het onduidelijk of de digitale patiëntinformatie daadwerkelijk afdoende is beschermd tegen ongeautoriseerde toegang, diefstal of uitval van systemen.
"Iedereen in de zorg moet erop kunnen vertrouwen dat gegevens veilig en beschikbaar zijn wanneer nodig," aldus een woordvoerder van de IGJ. "De NEN 7510 stelt duidelijke eisen aan zorgaanbieders die met digitale systemen werken, onder meer over verantwoordelijkheid, beheer en toegang tot gegevens. Het aantoonbaar werken volgens deze norm via een onafhankelijke beoordeling is cruciaal en verplicht."
De NEN 7510-norm, die de basis legt voor betrouwbare digitale zorg, vereist onder andere dat organisaties risicoanalyses uitvoeren, de toegangsrechten tot medische dossiers adequaat regelen en het beheer van digitale systemen strak organiseren. Naleving van deze norm is bovendien noodzakelijk met het oog op de Cyberbeveiligingswet, die binnenkort van kracht wordt en de wettelijke verplichtingen voor digitale beveiliging in de zorg verder aanscherpt.
IGJ verwacht volledige naleving in 2026
De Inspectie Gezondheidszorg en Jeugd benadrukt dat de organisaties zich bewust zijn van het belang van goede informatiebeveiliging. Naar aanleiding van het onderzoek hebben alle huisartsendienstenstructuren die nog niet voldeden, maatregelen genomen om de geconstateerde tekortkomingen te verhelpen.
De IGJ ziet hierdoor een positieve ontwikkeling. Er is meer samenwerking ontstaan tussen de verschillende zorgaanbieders en er wordt vaker gebruikgemaakt van externe deskundigheid om de complexe materie van cyberbeveiliging aan te pakken.
Desondanks voert de inspectie de druk op: de IGJ zal de komende periode intensief toezicht blijven houden. De inspectie verwacht dat alle huisartsendienstenstructuren in 2026 aantoonbaar en volledig voldoen aan de veiligheidsnorm NEN 7510. Dit betekent dat de organisaties een onafhankelijke audit moeten kunnen overleggen waaruit blijkt dat hun informatiebeveiliging op orde is.
Dit onderzoek bij de spoedzorg maakt deel uit van een breder toezichtstraject van de IGJ op informatiebeveiliging in de Nederlandse zorg. Eerder voerde de inspectie al vergelijkbare onderzoeken uit bij onder andere ziekenhuizen, GGZ-instellingen en organisaties in de ouderenzorg en gehandicaptenzorg. De resultaten bij de huisartsenspoedzorg benadrukken dat adequate digitale veiligheid in de gehele zorgsector een voortdurende en urgente inspanning vereist.
Meer over Security
Over Witold Kepinski
