Cybersecurity voor de zorg

Ziekenhuizen, GGZ, VVT en huisartsenpraktijken zijn steeds vaker doelwit van gerichte aanvallen. Tegelijkertijd moet de zorg gewoon doorgaan: SEH, OK, beeldvorming, lab. Uitval is geen optie.

NEN 7510 / 7512 / 7513NIS2 & CyberbeveiligingswetEPD, medische apparatuur & leveranciers

De cybersecurity-uitdaging in de zorg

De zorgsector combineert alles wat aanvallers interessant vinden: gevoelige medische gegevens, kritieke processen en complexe ketens met leveranciers en cloud-diensten.

  • Ziekenhuizen zijn een van de meest aangevallen sectoren in Europa; ransomware legt regelmatig OK's, SEH's en beeldvorming plat. [bron: ENISA, World Economic Forum]
  • Nederlandse zorginstellingen melden jaarlijks tientallen ernstige datalekken en incidenten aan IGJ en AP. [bron: Z-CERT, IGJ]
  • Legacy-systemen, medische apparatuur en leverancierskoppelingen maken patchen en segmentatie complex. [bron: NEN / ENISA]

Concreet: waar gaat het mis in de praktijk?

  • EPD- of portaalaccounts die worden misbruikt via phishing of zwakke wachtwoorden.
  • VPN-toegang voor leveranciers die nooit is ingeperkt of uitgeschakeld.
  • Medische apparatuur in hetzelfde netwerksegment als kantoor-IT.
  • Onvoldoende logging en monitoring, waardoor aanvallen pas laat worden ontdekt.
  • Uitbestede IT zonder duidelijke afspraken over patchbeleid, logging en incidentrespons.

Wet- en regelgeving voor zorginstellingen

Zorgorganisaties moeten tegelijkertijd voldoen aan NEN-normen, Europese regelgeving en eisen van toezichthouders en zorgverzekeraars.

NIS2 / Cyberbeveiligingswet

Grote zorginstellingen vallen onder NIS2 (in Nederland de Cyberbeveiligingswet). Dat betekent o.a.:

  • Risicogebaseerde maatregelen voor netwerk- en informatiesystemen.
  • Verplichte meldingen van significante incidenten binnen strikte termijnen.
  • Bestuurlijke verantwoordelijkheid voor cybersecurity (raad van bestuur / directie).

Sectornormen: NEN 7510 en aanpalende normen

NEN 7510 is de basisnorm voor informatiebeveiliging in de zorg. Vaak aangevuld met:

  • NEN 7512 / 7513 voor logging, uitwisseling en vastlegging.
  • ISO 27001/27002 als raamwerk voor informatiebeveiligingsmanagement.
  • DigiD-vereisten voor systemen met publieke identificatie/authenticatie.

Hoe Neo Security zorgorganisaties helpt

We beginnen niet met een generieke scan, maar met jullie realiteit: type zorginstelling, kritieke systemen, leveranciers, medische apparatuur, EPD/EVS en cloud.

NEN 7510 / NIS2 gap-analyse

  • Analyse van huidige maatregelen, beleid en logging.
  • Overzicht van risico’s per proces (bijv. SEH, OK, lab, beeldvorming).
  • Roadmap richting aantoonbare compliance.

Meer over governance & compliance: NIS2 / Cyberbeveiligingswet en compliance & governance.

Gerichte pentests op zorgsystemen

  • EPD/ HIS / LIS / PACS en patiëntportalen.
  • VPN’s, externe toegang (ZIS, thuismonitoring).
  • API’s richting leveranciers en zorgverzekeraars.

Meer over onze pentests: pentest-aanpak.

OT & medische apparatuur (OT/IoMT-security)

  • Segmentatie en hardening van medische netwerken.
  • Risicoanalyse van verbonden apparatuur (infusiepompen, monitors, scanners).
  • Non-disruptive testen die de zorgprocessen niet onderbreken.
  • We werken graag samen met leveranciers en R&D-teams om healthcare-apparatuur veilig te testen.

Meer over OT/ICS: OT security assessment.

Incident Response & tabletop-oefeningen

  • Ransomware- en datalek-scenario’s specifiek voor zorgorganisaties.
  • Oefenen met crisisteam (CIO, CISO, medisch manager, communicatie).
  • Heldere draaiboeken voor IGJ-meldingen, Autoriteit Persoonsgegevens en patiëntencommunicatie.

Meer over response: incident response en tabletop-oefeningen.

Security awareness voor zorgprofessionals

  • Praktische trainingen voor artsen, verpleegkundigen en balies.
  • Focus op phishing, medicatie- en identiteitsfraude, gebruik van mobiele apparatuur.
  • Afgestemd op de werkdruk en realiteit op de vloer.

Meer over awareness: security awareness training en phishing tests.

Waarom Neo Security voor de zorg?

Je kunt cybersecurity in de zorg overlaten aan een generiek adviesbureau – of aan een team dat zelf aan de knoppen heeft gestaan.

  • We komen uit de praktijk.
    Opgegroeid tussen patchkasten, datacenters en hybride omgevingen. We kennen de beperkingen van EPD’s, leveranciers en legacy zelf.
  • Feiten boven angst.
    Geen FUD-presentaties, maar bevindingen met duidelijke prioritering: wat moet nu, wat kan later, wat is nice-to-have.
  • Combinatie offense + governance.
    We koppelen pentests en red teaming aan NEN 7510/NIS2- en ISO 27001-kaders, zodat findings direct vertaalbaar zijn naar beleid, controls en audits.
  • Sectorfocus op vitale omgevingen.
    We werken vooral voor organisaties waar uitval geen optie is: zorg, industrie, energie, overheid. De zorg hoort daar absoluut bij.

Klaar voor een nuchtere blik op uw digitale zorgomgeving?

We beginnen meestal met een korte verkenning: welke systemen zijn kritiek, waar zit de grootste druk (EPD, medische apparatuur, leveranciers) en welke verplichtingen gelden al (NEN 7510, NIS2, contractueel)? Van daaruit bepalen we samen of een gap-analyse, pentest of tabletop-oefening de beste eerste stap is.

Plan een verkenningssessieBekijk onze pentestaanpak
Onze aanvalskracht, uw sterkste verdediging. Ook aan het bed van de patiënt.

Bronnen & achtergrond