Meer documenten
Vragen en antwoorden over cyberbeveiliging van ziekenhuizen en zorgaanbieders
Waarom heeft de Europese Commissie een actieplan inzake cyberbeveiliging in de gezondheidszorg voorgesteld?
Cyberbedreigingen voor gezondheidszorgsystemen nemen toe, zowel in frequentie als in verfijning. Ziekenhuizen en zorgverleners, die kritieke infrastructuren van onze gezondheidszorgstelsels zijn, zijn bijzonder kwetsbaar voor cyberaanvallen, zoals ransomware of datalekken. Deze incidenten kunnen vitale medische diensten verstoren en de veiligheid van patiënten en hun gegevens in gevaar brengen.
De Commissie treedt met spoed op om deze uitdagingen aan te pakken en ervoor te zorgen dat de digitale transformatie van de gezondheidszorg zowel veilig als betrouwbaar is.
Hoe bevordert het actieplan het vertrouwen van patiënten en gezondheidswerkers?
Vertrouwen is een hoeksteen van digitale gezondheidszorg. Door ervoor te zorgen dat systemen veilig en veerkrachtig zijn, verzekert het actieplan patiënten ervan dat hun gegevens veilig zijn en dat hun zorg niet wordt verstoord.
Voor gezondheidswerkers biedt het plan tools en training om hen te helpen met vertrouwen door digitale platforms te navigeren. Deze tweeledige aanpak – die zowel patiënten als beroepsbeoefenaren beschermt – creëert een gezondheidszorgomgeving waarin digitale instrumenten worden omarmd en vertrouwd.
Hoe vormt dit actieplan een aanvulling op bestaande EU-wetgeving, zoals de NIS2-richtlijn?
Het actieplan bouwt voort op het bestaande wetgevingskader op het gebied van cyberbeveiliging, met name de NIS2-richtlijn, de verordening cybersolidariteit (met inbegrip van het noodmechanisme voor cyberbeveiliging), de cyberbeveiligingsverordening (met inbegrip van de Europese cyberbeveiligingscertificering), de verordening medische hulpmiddelen en de verordening cyberweerbaarheid. Deze zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele EU.
De NIS2-richtlijn, waarin verplichtingen voor kritieke sectoren, waaronder de gezondheidszorg, zijn vastgesteld, breidt het toepassingsgebied van de cyberbeveiligingsvereisten uit tot essentiële diensten, waaronder EU-referentielaboratoria, entiteiten die onderzoeks- en ontwikkelingsactiviteiten op het gebied van geneesmiddelen verrichten, fabrikanten van farmaceutische basisproducten en -preparaten (met inbegrip van vaccins), fabrikanten van medische hulpmiddelen die tijdens een noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd.
Wat het actieplan betreft, ligt de nadruk specifiek op de unieke kwetsbaarheden en behoeften van ziekenhuizen en zorglocaties.
Het actieplan gaat in de eerste plaats over het ondersteunen van de sector bij het nemen van de basismaatregelen op het gebied van cyberbeveiliging waarvan we weten dat deze de kans op een cyberincident zullen doen verschuiven. Het zorgt ervoor dat zorgstelsels zijn toegerust om de specifieke risico's waarmee zij worden geconfronteerd, het hoofd te bieden. Het besteedt bijzondere aandacht aan capaciteitsopbouw, investeringen en het helpen van ziekenhuizen en zorgaanbieders bij het nemen van de nodige paraatheidsmaatregelen op het gebied van cyberbeveiliging. Het stelt ook manieren vast om dergelijke entiteiten te helpen als een incident toeslaat, om ervoor te zorgen dat respons en herstel zo snel en efficiënt mogelijk zijn, zodat normale activiteiten snel kunnen worden hersteld.
Wat is de rol van het nieuwe Europees Ondersteuningscentrum voor cyberbeveiliging voor ziekenhuizen en zorgaanbieders?
In het actieplan wordt onder meer voorgesteld een pan-Europees ondersteuningscentrum voor cyberbeveiliging op te richten voor ziekenhuizen en zorgaanbieders om hen te voorzien van begeleiding, instrumenten en diensten op maat. Enisa, het EU-agentschap voor cyberbeveiliging, zal het centrum binnen zijn eigen structuren oprichten. Zij zal ervoor zorgen dat het actieplan op coherente en gestroomlijnde wijze wordt uitgevoerd en dat er geen nieuwe administratieve structuren worden gecreëerd.
Het ondersteuningscentrum zal een uitgebreide dienstencatalogus ontwikkelen van concrete oplossingen die de cyberbeveiliging van de sector versterken. Zij zal samenwerken met de lidstaten en putten uit de praktische ervaringen van zorgorganisaties.
Hoe ondersteunt dit actieplan de Europese ruimte voor gezondheidsgegevens?
De Europese ruimte voor gezondheidsgegevens (EHDS) is het vlaggenschipproject van de EU voor de digitalisering van de gezondheidszorg, waarin duidelijke regels worden vastgesteld voor het gebruik van gezondheidsgegevens voor een betere verstrekking van gezondheidszorg, onderzoek, innovatie en beleidsvorming.
Veerkrachtige en veilige infrastructuur is essentieel voor de uitvoering van de EHDS. Dit actieplan bevat concrete maatregelen voor de beveiliging van gegevensverwerking in ziekenhuizen en zorgaanbieders, die zowel als verstrekkers als gebruikers van gezondheidsgegevens in de EHDS optreden.
Naast dit actieplan en de cyberbeveiligingswetgeving voorziet de komende EHDS-verordening ook in specifieke waarborgen voor de verwerking van persoonsgegevens over gezondheid. Het bevat bijvoorbeeld waarborgen met betrekking tot het beheer van log-in en identificatie in systemen voor elektronische patiëntendossiers of het hergebruik van gegevens in beveiligde verwerkingsomgevingen.
Hoe zal het actieplan ervoor zorgen dat de patiëntenzorg niet wordt verstoord door cyberincidenten?
Een van de kernpijlers van het actieplan is snelle respons en herstel.
Dit omvat:
- Het ontwikkelen van een abonnementsservice voor ransomwareherstel en het uitbreiden van de opslagplaats van beschikbare ransomware-decoderingstools
- Ziekenhuizen aanmoedigen om robuuste back-upsystemen in te voeren om kritieke gegevens te beschermen.
- Versterking van de crisisresponscapaciteiten door opleiding en samenwerking op EU-niveau.
Deze maatregelen hebben tot doel de impact van cyberincidenten op gezondheidszorgdiensten tot een minimum te beperken en ervoor te zorgen dat patiënten ononderbroken zorg krijgen.
Welke rol spelen de lidstaten bij de uitvoering van dit actieplan?
De lidstaten zullen een cruciale rol spelen bij de uitvoering van het actieplan door:
- Coördinatie van nationale cyberbeveiligingsstrategieën voor de gezondheidszorg.
- Het delen van dreigingsinformatie en beste praktijken over de grenzen heen.
- Ondersteunen van ziekenhuizen en zorgverleners bij het nemen van de nodige maatregelen.
De lidstaten worden aangemoedigd nationale actieplannen op te stellen die gericht zijn op cyberbeveiliging in de gezondheidszorg. In deze plannen zou een overzicht worden gegeven van de specifieke cyberbeveiligingsrisico's waarmee gezondheidszorgstelsels worden geconfronteerd en van de nationale maatregelen die worden genomen om deze aan te pakken, waarbij er ook voor wordt gezorgd dat middelen en praktijken op Europees niveau doeltreffend worden ingezet.
Hoe wordt het succes van het actieplan gemeten?
Om het succes van dit plan te meten, zal Enisa, in overleg met de Commissie, regelmatig verslag uitbrengen aan de relevante groepen en organisaties over de voortgang ervan. Deze verslagen zullen gegevens bevatten van de EU-cyberbeveiligingsindex, die zal helpen beoordelen hoe goed de gezondheidszorg het doet op het gebied van cyberbeveiliging. Deze informatie laat zien of het plan werkt en een positieve impact heeft.
Wat kunnen patiënten doen om de doelstellingen van het actieplan te ondersteunen?
Patiënten kunnen een bijdrage leveren door op de hoogte te blijven van cyberbeveiliging en maatregelen te nemen om hun eigen digitale gezondheidsgegevens te beschermen. Bijvoorbeeld:
- Gebruik van betrouwbare authenticatiemechanismen (bv. de EU-portemonnee voor digitale identiteit) voor online gezondheidsportalen.
- Melden van verdachte activiteiten, zoals phishingpogingen.
- Vertrouwende zorgaanbieders die de door de EU aanbevolen cyberbeveiligingsmaatregelen volgen.
Een veilig ecosysteem voor gezondheidszorg is afhankelijk van actieve deelname van iedereen.
Wat is het tijdschema voor de uitvoering van het actieplan?
Deze mededeling bevat een duidelijk plan om de Europese gezondheidszorg veiliger te maken tegen cyberdreigingen. Het plan creëert een centrale hub voor cyberbeveiligingsondersteuning, waardoor het voor ziekenhuizen en zorgverleners gemakkelijker wordt om samen te werken om online veilig te blijven.
Dit plan is nog maar het begin. De Commissie begint een breder gesprek met alle belanghebbenden, waaronder zorgaanbieders, overheden en deskundigen, om hun ideeën en feedback te horen. De Commissie zal deze input gebruiken om het plan gedetailleerder te maken en beter af te stemmen op de behoeften van ziekenhuizen en andere zorgverleners. Deze aanbevelingen zullen tegen eind 2025 worden gedeeld.
Om dit doel te bereiken roept de Commissie alle lidstaten en belanghebbenden op om samen te werken om de gezondheidszorg cyberveiliger te maken.
Voor meer informatie
Actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders