De NIS2-richtlijn in de gezondheidszorg: de cybersecurity dokter?
In de gezondheidszorg worden veel gevoelige patiëntgegevens verwerkt middels netwerk- en informatiesystemen. Ook wordt gebruik gemaakt van geavanceerde medische apparatuur. Hoewel er ook zonder deze hedendaagse technologieën zorg geleverd kan worden is cybersecurity voor de gezondheidszorg dus van belang. Met de door de EU vastgestelde NIS2-richtlijn (hierna: de richtlijn) wordt beoogd cybersecurity binnen de EU te verbeteren. Dit (onder andere) specifiek in de gezondheidszorg. Wil je meer weten over de richtlijn in het algemeen en welke cybersecurityverplichtingen uit de richtlijn volgen? Lees dan (eerst) mijn eerdere blog Wat betekent de NIS-2 richtlijn voor jouw organisatie? Alles over de nieuwe EU-cybersecuritywetgeving. Heb je die blog al gelezen en/of wil je meer weten over de relevantie van de richtlijn voor jouw organisatie actief in de gezondheidszorg? Lees dan snel verder.
Op welke organisaties actief in de gezondheidszorg is de NIS2-richtlijn van toepassing en welke verplichtingen gelden er dan?
De richtlijn is van toepassing op verschillende entiteiten waarvan de dienstverlening van vitaal belang is voor de maatschappij en economie. De richtlijn is de opvolger van de eerste NIS-richtlijn uit 2016, die in Nederland is uitgewerkt in de Wet beveiliging netwerk- en informatiesystemen (de Wbni). Deze eerste NIS-richtlijn en de Wbni legden al de nodige verplichtingen op aan verschillende zorgorganisaties. Zorgorganisaties die al onder het toepassingsbereik van de eerste NIS-richtlijn en de Wbni vielen, vallen ook onder het toepassingsbereik van de richtlijn. Maar het toepassingsbereik van de nieuwe richtlijn is breder. De richtlijn is namelijk (onder andere en in ieder geval) van toepassing op zorgaanbieders in de EU met meer dan 50 werknemers en een jaaromzet van meer dan EUR 10 miljoen of een jaarlijks balanstotaal van meer dan EUR 10 miljoen. Maar ook op organisaties van die omvang uit de leveranciers- en bevoorradingsketen van zorgaanbieders zoals organisaties die medische hulpmiddelen vervaardigen en organisaties gericht op onderzoek en ontwikkeling binnen de gezondheidszorg.
In mijn eerdere blog over de NIS-2 richtlijn ga ik in op de cybersecurityverplichtingen die gelden als de richtlijn van toepassing is op jouw organisatie actief in de gezondheidszorg.
De richtlijn als cybersecurity dokter?
Kenmerkend aan de gezondheidszorg is dat de zorg altijd doorgaat. Ook zonder de hedendaagse technieken en systemen kan er zorg geleverd worden. Maar in deze tijden waar de zorg onder grote druk staat wegens onder andere personeelstekorten terwijl de vraag naar (complexe) zorg steeds verder toeneemt, worden zorgorganisaties toch steeds meer afhankelijk van digitale technologieën, waaronder (aan elkaar gekoppelde) netwerk- en informatiesystemen. Het niet beschikbaar zijn hiervan kan toch vergaande gevolgen hebben en door vertragingen die hierdoor kunnen ontstaan wordt de druk op de zorg verder opgevoerd.
Toekomstige problemen kunnen worden voorkomen als wordt voldaan aan de cybersecurityverplichtingen die de richtlijn oplegt aan organisaties die actief zijn in de zorg. En voorkomen is beter dan genezen. Het niet nakomen van deze cybersecurityverplichtingen kan namelijk leiden tot boetes tot wel EUR 10 miljoen of 2% van de totale jaaromzet. Daarnaast zal in dat geval alsnog aan de verplichtingen uit de richtlijn moeten worden voldaan. Genoeg redenen dus om aan de slag te gaan met het treffen van de benodigde maatregelen in het kader van cybersecurity.
Meer weten?
Wil je meer weten over de gevolgen van de richtlijn voor jouw organisatie actief in de zorg? Of over privacy en cybersecurity in de gezondheidszorg in het algemeen? Ik ga hierover graag met je in gesprek.
