Digitale weerbaarheid binnen zorg- en welzijnsorganisaties

Het recente ransomware-incident bij ChipSoft laat het toenemende belang van digitale weerbaarheid binnen zorg- en welzijnsorganisaties zien. Daarom brengen we het thema nogmaals onder uw aandacht.
 
Als toezichthouder heeft u enerzijds de taak om innovatie en digitalisering te stimuleren in uw organisatie waar dat de kwaliteit, toegankelijkheid en betaalbaarheid bevordert, anderzijds heeft u ook de taak om toe te zien op een organisatie waar data veilig is en geen onnodige risico’s worden genomen. Omdat risico’s nooit volledig uit te sluiten zijn, geven wij u een aantal aandachtspunten voor het moment dat een incident toch plaatsvindt:

Wat kunt u als toezichthouder doen?

• Zorg voor agendering: Bespreek cybersecurity structureel in de raad van toezicht.
• Stel de juiste vragen: Vraag de raad van bestuur naar de stand van zaken rondom informatiebeveiliging.
• Toets voorbereiding: Is er een actueel crisis- en continuïteitsplan? Zijn scenario’s geoefend (bijv. ransomware)?
• Houd zicht op de hele keten en belanghouders: Denk aan ICT-leveranciers en opslag data.
• Let op governance en verantwoordelijkheden: Zijn rollen en verantwoordelijkheden helder belegd, ook in crisissituaties?
• Blijf betrokken tijdens een incident: Hoe wordt de raad van toezicht geïnformeerd?

In het licht van aankomende regelgeving wijzen wij u ook op ons recente blog over de NIS2-richtlijn en de implicaties voor bestuur en toezicht:
De NIS2-richtlijn benadrukt onder meer de verantwoordelijkheid van bestuurders én toezichthouders op het gebied van cyberrisico’s.
 
Verder is het goed om te weten dat de Wet weerbaarheid kritieke entiteiten (Wwke) en de Cyberbeveiligingswet (Cbw) zijn aangenomen, die ook voor (een deel van) de zorg gelden.
 
Wij blijven relevante inzichten en handvatten delen via onze website, bekijkt u ook de Calamiteiten gids en onze pagina toezicht op crises.