Belangrijkste boodschap:
Deze regeling verplicht zorgorganisaties tot het nemen van stevige maatregelen op het gebied van cyberbeveiliging, sluit aan bij bestaande normen, introduceert een meldplicht voor significante incidenten en wijst Z-CERT aan als centraal aanspreekpunt voor incidentrespons in de zorg. De regeldruk wordt zoveel mogelijk beperkt door aan te sluiten bij bestaande verplichtingen en processen.
Zorgplicht
- Essentiële en belangrijke entiteiten moeten passende technische, operationele en organisatorische maatregelen nemen voor informatiebeveiliging.
- Aansluiting bij NEN 7510 (voor zorgaanbieders verplicht), ISO 27001/27002 of een gelijkwaardig niveau is vereist.
- De zorgplicht geldt voor alle netwerk- en informatiesystemen, niet alleen zorginformatiesystemen.
Meldplicht
- Incidenten zijn meldingsplichtig als ze voldoen aan specifieke drempelwaarden, zoals:
- Uitval van kritieke bedrijfsprocessen >4 uur.
- Compromittering van cruciale netwerksystemen.
- Ernstige aantasting van bedrijfsgevoelige informatie of bijzondere persoonsgegevens (zoals patiëntgegevens) door vermoedelijk kwaadwillende handelingen.
- Incidenten met blijvend letsel, ziekenhuisopname of overlijden als gevolg.
- Meldingen verlopen via een portaal, met verschillende fasen (vroegmelding, update, eindverslag).
Gevolgen voor zorgaanbieders
-
Verplichte naleving NEN 7510
Zorgaanbieders moeten voldoen aan de NEN 7510-norm voor informatiebeveiliging, zowel voor zorginformatiesystemen als voor alle andere netwerk- en informatiesystemen (zoals HR-systemen).
-
Uitgebreide zorgplicht
Niet alleen elektronische uitwisselingssystemen, maar álle systemen die gebruikt worden voor de dienstverlening vallen onder de zorgplicht.
-
Meldplicht bij significante incidenten
Incidenten die leiden tot uitval van kritische processen (>4 uur), compromittering van systemen, ernstige datalekken of letsel/dood, moeten gemeld worden bij Z-CERT en IGJ.
-
Aansluiting bij Z-CERT
Zorgaanbieders krijgen ondersteuning van Z-CERT bij incidenten en moeten zich registreren in het NCSC-portaal.
-
Toezicht door IGJ
De Inspectie Gezondheidszorg en Jeugd houdt toezicht op naleving en kan handhavend optreden.
-
Regeldruk en kosten (becijferd aan de hand van de richtlijnen regeldruktoets)
- Eenmalige kosten voor aansluiting bij NEN 7510: ca. €45.500
- Structurele kosten: ca. €55.800 per jaar
- Meldplicht: eenmalig ca. €4.200, structureel ca. €13.900 per jaar
Wilt u na het lezen van de internetconsultatie stukken reageren, laat het mij dan ruim voor 15 december weten. Met de andere brancheorganisaties in de zorg stemmen we onze eventuele reacties af. Voor meer informatie: bpspeelman@denederlandseggz.nl