Internetconsultatie Ministeriele regeling VWS Cyberbeveiligingsregeling gestart op 10 november

24-11-2025
293 keer bekeken

De consultatie maakt het voor organisaties en belanghebbenden mogelijk om te reageren op de conceptteksten van de regeling. De consultatieperiode loopt van 10 november tot en met 21 december 2025. Na afloop worden alle reacties beoordeeld en waar nodig verwerkt in de definitieve tekst.

GGZ-community

Informatiebeleid

Belangrijkste boodschap:
Deze regeling verplicht zorgorganisaties tot het nemen van stevige maatregelen op het gebied van cyberbeveiliging, sluit aan bij bestaande normen, introduceert een meldplicht voor significante incidenten en wijst Z-CERT aan als centraal aanspreekpunt voor incidentrespons in de zorg. De regeldruk wordt zoveel mogelijk beperkt door aan te sluiten bij bestaande verplichtingen en processen.

Zorgplicht

  • Essentiële en belangrijke entiteiten moeten passende technische, operationele en organisatorische maatregelen nemen voor informatiebeveiliging.
  • Aansluiting bij NEN 7510 (voor zorgaanbieders verplicht), ISO 27001/27002 of een gelijkwaardig niveau is vereist.
  • De zorgplicht geldt voor alle netwerk- en informatiesystemen, niet alleen zorginformatiesystemen.

Meldplicht

  • Incidenten zijn meldingsplichtig als ze voldoen aan specifieke drempelwaarden, zoals:
    • Uitval van kritieke bedrijfsprocessen >4 uur.
    • Compromittering van cruciale netwerksystemen.
    • Ernstige aantasting van bedrijfsgevoelige informatie of bijzondere persoonsgegevens (zoals patiëntgegevens) door vermoedelijk kwaadwillende handelingen.
    • Incidenten met blijvend letsel, ziekenhuisopname of overlijden als gevolg.
  • Meldingen verlopen via een portaal, met verschillende fasen (vroegmelding, update, eindverslag).

Gevolgen voor zorgaanbieders

  • Verplichte naleving NEN 7510
    Zorgaanbieders moeten voldoen aan de NEN 7510-norm voor informatiebeveiliging, zowel voor zorginformatiesystemen als voor alle andere netwerk- en informatiesystemen (zoals HR-systemen).

  • Uitgebreide zorgplicht
    Niet alleen elektronische uitwisselingssystemen, maar álle systemen die gebruikt worden voor de dienstverlening vallen onder de zorgplicht.

  • Meldplicht bij significante incidenten
    Incidenten die leiden tot uitval van kritische processen (>4 uur), compromittering van systemen, ernstige datalekken of letsel/dood, moeten gemeld worden bij Z-CERT en IGJ.

  • Aansluiting bij Z-CERT
    Zorgaanbieders krijgen ondersteuning van Z-CERT bij incidenten en moeten zich registreren in het NCSC-portaal.

  • Toezicht door IGJ
    De Inspectie Gezondheidszorg en Jeugd houdt toezicht op naleving en kan handhavend optreden.

  • Regeldruk en kosten (becijferd aan de hand van de richtlijnen regeldruktoets) 

    • Eenmalige kosten voor aansluiting bij NEN 7510: ca. €45.500
    • Structurele kosten: ca. €55.800 per jaar
    • Meldplicht: eenmalig ca. €4.200, structureel ca. €13.900 per jaar

Wilt u na het lezen van de internetconsultatie stukken reageren, laat het mij dan ruim voor 15 december weten. Met de andere brancheorganisaties in de zorg stemmen we onze eventuele reacties af.  Voor meer informatie: bpspeelman@denederlandseggz.nl

 

samen zijn we de Nederlandse ggz

 

Communities

Waardenetwerken
Regieteams
Winning teams
Andere netwerken

Contact

+31 (0)33 460 89 00
webredactie@denederlandseggz.nl
Bezoekersadres
www.denederlandseggz.nl

 
Cookie-instellingen