Choose language

Na ChipSoft: Is een nationaal cybercrisis netwerk genoeg?

In mei schreven we over de ransomware-aanval op ChipSoft en wat die blootlegde: organisaties die verantwoordelijk zijn voor hun data, maar niet kunnen sturen op wat er in de keten gebeurt. Die analyse staat nog steeds. Maar er is inmiddels een concrete beleidsreactie. Vanaf 1 april 2026 is er een nationaal cybercrisis respons-netwerk operationeel voor de zorgsector, gecoördineerd door Z-CERT. Het is een betekenisvolle stap vooruit. Maar het lost slechts een deel van het probleem op.

Wat het nieuwe raamwerk biedt

Via het raamwerk leveren Atos, Fox-IT, KPN Health en Tesorion 24/7 gespecialiseerde ondersteuning bij cyberincidenten. Atos en Fox-IT zijn voor vier jaar aangewezen als nationale CSIRT-partners. Zorginstellingen die worden geraakt door een aanval kunnen nu sneller schakelen met de juiste expertise. Dat hoeft niet meer zelf te worden geregeld in de chaos van het moment.

Dat is precies wat tijdens de ChipSoft-aanval ontbrak: centrale coördinatie en snelle toegang tot gespecialiseerde kennis. Tientallen zorginstellingen stonden er in die eerste uren min of meer alleen voor, zonder duidelijk aanspreekpunt en zonder goed beeld van de omvang. Het nieuwe raamwerk adresseert die respons-kant van het probleem. En dat is hard nodig, want de frequentie en schaal van cyberaanvallen in de zorg neemt niet af.

De gekozen partners zijn bewust Nederlands. De samenwerking past in een breder Europees streven om kritieke IT-infrastructuren minder afhankelijk te maken van niet-Europese technologie en expertise.

Wat het niet oplost

Een incident response-raamwerk is per definitie reactief. Het helpt je beter te handelen als het misgaat. Maar het verandert niets aan de structurele kwetsbaarheid die de ChipSoft-aanval blootlegde: veel zorginstellingen weten niet precies welke data door welke leverancier verwerkt wordt, hoe die data door de keten beweegt, en wat er geraakt wordt als een schakel uitvalt. Dat blijkt ook uit de politiek. In een recente Kamerbrief erkent de minister geen inzicht te hebben in de mate waarin de Nederlandse zorgsector afhankelijk is van specifieke leveranciers of clouddiensten. Ze verwijst naar NEN7510 als norm en stelt dat informatieveiligheid de primaire verantwoordelijkheid blijft van zorginstellingen zelf. Juridisch correct. Maar het maakt ook zichtbaar dat er op nationaal niveau geen systematisch overzicht bestaat van ketenafhankelijkheden in de zorg.

De Cyberbeveiligingswet verplicht zorginstellingen tot een zorgplicht: een risicobeoordeling uitvoeren, passende maatregelen nemen, incidenten melden. Maar die plicht is alleen uitvoerbaar als je weet wat je beschermt. En precies daar wringt het voor veel organisaties. Niet door onwil, maar door ontbrekend inzicht in de eigen dataketen.Zorgmonitor Banner LP

Het onderscheid dat ertoe doet

Cybersecurity en data-inzicht worden in de praktijk vaak als aparte vraagstukken behandeld. Beveiligingsmaatregelen en certificeringen aan de ene kant; het in kaart brengen van datastromen, koppelingen en verwerkingen aan de andere. Als dat laatste al structureel gebeurt.

De ChipSoft-aanval laat zien dat die scheiding kunstmatig is. Op het moment dat systemen offline gaan, zijn audit trails onbereikbaar, rapportages niet in te zien en koppelingen niet meer traceerbaar. Wie heeft wanneer toegang gehad tot welke gegevens? Welke instellingen zijn geraakt? Welke meldingen moeten worden gedaan? Dat zijn vragen die je alleen snel kunt beantwoorden als je het antwoord al kent voordat de aanval plaatsvindt.

Inzicht in datastromen is geen aanvulling op cybersecurity. Het is een randvoorwaarde ervoor.

Twee vragen die elke zorginstelling nu zou moeten stellen:

  • Weten we precies welke data via welke leveranciers verwerkt wordt? Niet op hoofdlijnen, maar concreet. Welke koppelingen bestaan er, welke gegevens stromen daarin mee, en welke partijen hebben toegang?

  • Kunnen we bij een incident snel handelen, ook als systemen niet beschikbaar zijn? Beschikken we over inzicht dat los staat van de beschikbaarheid van de systemen die geraakt zijn?

Het nationale raamwerk van Z-CERT helpt als het antwoord op die vragen "nee" is en het toch misgaat. Maar de ambitie zou moeten zijn om op beide vragen "ja" te kunnen zeggen, vóór de aanval plaatsvindt.

FAQ

De meestgestelde vragen over dit onderwerp, kort beantwoord.

Het nationaal cybercrisis respons-netwerk is een samenwerking tussen Z-CERT, Atos, Fox-IT, KPN Health en Tesorion, operationeel per 1 april 2026. Via dit netwerk krijgen Nederlandse zorginstellingen 24/7 toegang tot gespecialiseerde ondersteuning bij cyberincidenten. Atos en Fox-IT zijn voor vier jaar aangewezen als nationale CSIRT-partners. Het raamwerk is opgezet naar aanleiding van toenemende cyberdreiging in de zorgsector, waaronder de ransomware-aanval op ChipSoft.

De Cyberbeveiligingswet (Cbw) verplicht zorginstellingen die onder de reikwijdte van de wet vallen tot twee kernverplichtingen. De zorgplicht houdt in dat organisaties hun informatiebeveiliging aantoonbaar op orde moeten hebben: een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen. De meldplicht verplicht organisaties om cyberincidenten te melden. De IGJ krijgt naast haar bestaande toezichthoudende rol ook een rol in het toezicht op digitale weerbaarheid op basis van de Cbw en de Wet weerbaarheid kritieke entiteiten (Wwke).

Inzicht in ketenafhankelijkheden begint met het in kaart brengen van alle leveranciers die betrokken zijn bij de verwerking van patiëntgegevens, inclusief de koppelingen tussen systemen en de gegevensstromen die daaruit voortvloeien. Dat is geen eenmalig werk: systemen worden aangepast, leveranciers wisselen, nieuwe koppelingen worden toegevoegd. Structureel inzicht vereist continue monitoring van datastromen over de organisatiegrens heen, inclusief audit trails die ook raadpleegbaar zijn als een systeem offline is.

Informatiebeveiliging richt zich op het beschermen van data tegen ongeautoriseerde toegang, verlies of misbruik. Inzicht in datastromen gaat over weten wát er met data gebeurt: welke gegevens worden gedeeld, met wie, via welke systemen en onder welke voorwaarden. Beide zijn noodzakelijk, maar ze vullen elkaar aan. Beveiligingsmaatregelen zijn pas effectief als je weet welke data je beschermt. En bij een incident is inzicht in datastromen bepalend voor hoe snel je kunt vaststellen wat er geraakt is en welke partijen je moet informeren.

Categories