Informatiebeveiliging in de zorg onder druk: wat betekent dit voor uw organisatie?

De informatiebeveiliging in de zorg staat opnieuw nadrukkelijk op de agenda. De Inspectie Gezondheidszorg en Jeugd (IGJ) waarschuwt dat veel grotere ggz-organisaties nog niet kunnen aantonen dat zij voldoen aan de wettelijk verplichte NEN 7510-norm. Voor zorgorganisaties is dat een duidelijk signaal: grip op IT, security en compliance moet niet alleen goed geregeld zijn, maar ook aantoonbaar zijn vastgelegd.

IGJ ziet tekortkomingen bij grotere ggz-organisaties

Op 27 mei 2026 publiceerde de IGJ een nieuwsbericht over informatiebeveiliging binnen de geestelijke gezondheidszorg. De inspectie onderzocht 87 grotere ggz-organisaties. Daaruit bleek dat slechts 6 organisaties konden aantonen dat zij werken volgens NEN 7510, de norm voor informatiebeveiliging in de zorg.

Dat is zorgelijk, omdat digitale veiligheid direct raakt aan de bescherming van cliëntgegevens, medewerkergegevens en de beschikbaarheid van informatie. Zorgprofessionals moeten snel en veilig toegang hebben tot de juiste systemen en dossiers. Tegelijkertijd moeten bestuurders kunnen laten zien dat risico’s bekend zijn, maatregelen worden opgevolgd en verantwoordelijkheden duidelijk zijn belegd.

Informatiebeveiliging in de zorg is meer dan techniek

Informatiebeveiliging wordt vaak gezien als een technisch onderwerp. In de zorg is het veel breder dan dat. Wanneer systemen uitvallen, toegangsrechten niet goed zijn ingericht of gegevens onvoldoende beschermd zijn, kan dit directe gevolgen hebben voor de dagelijkse zorgverlening.
Een veilige IT-omgeving vraagt daarom om samenhang tussen techniek, beleid, processen en gedrag. Denk aan veilige werkplekken, goed beheerde netwerken, duidelijke toegangscontrole, back-ups, monitoring, incidentopvolging en vastgelegde verantwoordelijkheden. Alleen dan ontstaat een omgeving waarin medewerkers veilig kunnen werken en de organisatie aantoonbaar in control blijft.

NEN 7510 en de Cyberbeveiligingswet vragen om aantoonbare grip

NEN 7510 stelt eisen aan de manier waarop zorgorganisaties omgaan met informatiebeveiliging. De norm gaat onder meer over verantwoordelijkheid, beheer, toegang tot gegevens, risicobeoordelingen en passende beveiligingsmaatregelen. Zorgaanbieders moeten met een onafhankelijke toets kunnen aantonen dat zij volgens deze norm werken.

Daarbij wordt NEN 7510 ook steeds relevanter richting de Cyberbeveiligingswet, de Nederlandse uitwerking van NIS2. Voor zorgorganisaties die onder deze wetgeving vallen, wordt digitale weerbaarheid nog belangrijker. Het gaat dan niet alleen om maatregelen nemen, maar ook om bewijsvoering, opvolging en bestuurlijke verantwoordelijkheid.

Met XtrnCompliance helpt XTRN-IT organisaties om beleid, processen, risico’s en bewijsvoering gestructureerd vast te leggen. Zo wordt compliance minder ad hoc en beter beheersbaar.

Wat kunnen zorgorganisaties nu controleren?

Een sterke eerste stap is inzicht krijgen in de huidige situatie. Niet alleen technisch, maar ook organisatorisch. Belangrijke vragen zijn:

• Is duidelijk wie toegang heeft tot welke gegevens?
• Worden risico’s periodiek beoordeeld, vastgelegd en opgevolgd?
• Zijn back-ups, monitoring en incidentopvolging goed ingericht?
• Is er grip op werkplekken, netwerken, cloudomgevingen en identitybeheer?
• Zijn verantwoordelijkheden rondom informatiebeveiliging helder belegd?
• Kan de organisatie aantonen welke maatregelen zijn genomen?
• Sluit de IT-omgeving aan op NEN 7510, ISO 27001 en toekomstige NIS2-verplichtingen?

Door deze onderwerpen niet los van elkaar te bekijken, maar als onderdeel van één integrale IT-aanpak, ontstaat meer rust, overzicht en zekerheid. Dat helpt niet alleen bij audits of inspecties, maar vooral in de dagelijkse praktijk.

Een security assessment kan helpen om kwetsbaarheden, risico’s en verbeterpunten concreet in beeld te brengen. Zo weet uw organisatie waar zij staat en welke stappen prioriteit hebben.

XTRN-IT als IT-partner voor de zorg

XTRN-IT ondersteunt zorgorganisaties met veilige, stabiele en goed beheerde IT-omgevingen. Met meer dan 10 jaar ervaring in de zorgsector begrijpt XTRN-IT dat IT in de zorg direct invloed heeft op medewerkers, cliënten, bestuur en continuïteit.
Als NEN 7510- en ISO 27001-gecertificeerde IT-partner helpt XTRN-IT zorgorganisaties om informatiebeveiliging praktisch en aantoonbaar in te richten. Niet alleen op papier, maar juist in de dagelijkse IT-omgeving. Denk aan veilige werkplekken, betrouwbare netwerken, duidelijke supportprocessen, security monitoring en compliance-ondersteuning.
Voor zorgorganisaties die hun digitale omgeving structureel willen versterken, biedt XTRN-IT onder andere:

• veilige en beheerde werkplekken;
• netwerk- en infrastructuurbeheer;
• gecontroleerde toegang tot systemen en gegevens;
• back-up, monitoring en incidentopvolging;
• security monitoring en opvolging;
• 24/7 monitoring vanuit het eigen Security Operations Center;
• ondersteuning bij NEN 7510, ISO 27001, NIS2 en compliance.

Op de pagina ICT voor de zorgsector leest u hoe XTRN-IT zorgorganisaties helpt om grip te krijgen op continuïteit, informatiebeveiliging en IT-beheer.

Veilige zorg vraagt om veilige IT

De waarschuwing van de IGJ laat zien dat informatiebeveiliging in de zorg geen vrijblijvend onderwerp meer is. Zorgorganisaties moeten kunnen aantonen dat risico’s in beeld zijn, maatregelen worden opgevolgd en systemen veilig en beschikbaar blijven. Wie informatiebeveiliging structureel inricht, voorkomt dat compliance alleen een momentopname wordt. Het zorgt voor meer voorspelbaarheid, minder auditstress en betere bescherming van gevoelige gegevens.

Wilt u weten hoe uw zorgorganisatie meer grip krijgt op IT, informatiebeveiliging en continuïteit?

Plan dan een zorg-ICT intake met XTRN-IT.

Bron: Informatiebeveiliging bij meerderheid grotere ggz-organisaties niet op orde | Inspectie Gezondheidszorg en Jeugd