image

Minister verklaart Nederlandse zorg onderdeel van vitale infrastructuur

dinsdag 12 december 2023, 14:10 door Redactie, 12 reacties

Demissionair minister Kuipers van Volksgezondheid heeft de Nederlandse zorg tot een onderdeel van de vitale infrastructuur verklaard, waardoor ook wetgeving op het gebied van digitale veiligheid voor de zorg van kracht zal worden. Het gaat dan om Europese Critical Entities Resilience richtlijn (CER) en de herziene richtlijn Network- and Information Security2 (NIS2). De wetten moeten de fysieke en digitale weerbaarheid van het zorgstelsel verhogen.

De Nederlandse zorg maakte geen deel uit van de vitale infrastructuur in Nederland. De voormalig minister van Volksgezondheid besloot in 2021 opnieuw te beoordelen of de zorg in Nederland onderdeel zou moeten worden van de vitale infrastructuur. "Ik heb deze herbeoordeling gebaseerd op scenario’s met maximale uitval: een overstroming en een digitale verstoring. Op basis van deze herbeoordeling, merk ik nog nader te bepalen onderdelen van de zorg als vitaal aan", aldus Kuipers (pdf).

De komende tijd gaat het kabinet werken aan het opstellen van de wetsvoorstellen voor het implementeren van de NIS2- en CER-richtlijnen. De minister verwacht dat de NIS2-richtlijn gaat gelden voor maximaal tweeduizend organisaties die actief zijn in de Nederlandse zorgsector, zoals zorgaanbieders, EU-referentielaboratoria en partijen die farmaceutische producten of medische hulpmiddelen fabriceren.

Deze organisaties moeten verplicht preventieve maatregelen tegen cyberincidenten nemen, grootschalige incidenten melden en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten informeren over mogelijke gevolgen. Aanvullend verplicht de NIS2-richtlijn dat deze organisaties zich registeren en aan de verplichtingen voldoen vanaf het moment dat de wet in werking treedt.

"Dit betekent onder meer dat ziekenhuizen, laboratoria en andere zorginstellingen bij het ingaan van de implementatiewet hun netwerk- en informatiebeveiliging op orde moeten hebben overeenkomstig de eisen zoals gesteld in de NIS2", aldus de minister. Wat betreft de CER-richtlijn zegt Kuipers dat hij het komende half jaar criteria gaat opstellen die bepalen welke organisaties in de zorg worden aangewezen als kritieke entiteit en aan de verplichtingen van de richtlijn moeten voldoen.

Afsluitend meldt Kuipers dat de vitaalverklaring van de zorg pas concreet gevolgen zal hebben wanneer zorgaanbieders worden aangemerkt als vitale aanbieder en aangewezen zijn als kritieke entiteit onder de CER-richtlijn. De financiële gevolgen van de implementatie van de CER- en NIS2-richtlijn worden de komende tijd nader in kaart gebracht, waaronder ook voor de zorgsector.

Reacties (12)
12-12-2023, 15:29 door Anoniem
Hoe zit de verhouding tussen vitale infrastructuur er essentiele en belangrijke entitien? Kainiemand dat toelichten?
12-12-2023, 15:33 door Anoniem
Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
12-12-2023, 16:11 door Anoniem
Door Anoniem: Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.

Pro cloud en controle

Leuker gaan we het niet maken,wel makkelijker

Mvg

BRUSSEL/EU2023
12-12-2023, 16:26 door Anoniem
Door Anoniem: Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.

Ondernemen is risico nemen, en dat de overheid een onbetrouwbare partner is kan geen verrassing zijn.

Niet piepen. Zorg voor een goed product, dat je goed beheert, en dan blijkt een ISO9001 certificering niet heel ingewikkeld. Ook een ISO 27001 certificering is eenvoudig als je vanuit goed-product-goed-beheer denkt,en niet vanuit goedkoop-inkopen-duur verkopen.
Als je die hebt, of er in ieder geval naar werkt, dan is NIS2 een breeze.
Daarmee heb je weinig incidenten,en gaat er een keer iets mis, dan weet je wat je moet doen.
12-12-2023, 16:57 door Anoniem
Door Anoniem: Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
Ja en dat is maar goed ook. Als je aan de zorg gaat leveren kom je binnenkort niet meer weg met shit. Dus je weet wat je te doen staat. Je best doen en transparantie leveren.
12-12-2023, 18:18 door Anoniem
Door Anoniem: Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.

Dat is natuurlijk op veel gebieden al het geval. Zo is ook bepaald dat al je chauffeurs moeten beschikken over geldige rijbewijzen, dat slachthuizen aan allerlei voorwaarden moeten voldoen, dat de uitstoot van bedrijven niet boven bepaalde waarden uit mogen komen, dat de hygiene van allerlei bedrijven (voedsel, lichaamszorg, enz.) op orde moet zijn, dat de veiligheid van werknemers op de werkplek afdoende geregeld moet zijn.
Dus in die zin veel minder nieuws onder de zon dan uw post doet vermoeden. Dat de zorg de plicht heeft op dit gebied haar risico's te managen en beperken lijkt me niet meer dan terecht.
12-12-2023, 23:13 door Anoniem
Door Anoniem: Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.
En anderzijds maar klagen over datalekken van patientgegevens. Wat wil je nu eigenlijk?
13-12-2023, 11:55 door Anoniem
Mooie woorden van de minister, "vitale infrastructuur", maar die woorden dienen in feite om de agenda van databeschikbaarheid door te drukken en de medische privégegevens van patiënten op te eisen voor de overheid. Want het is nu van "vitaal" belang verklaard, door de overheid en voor de overheid.

Voor de patiënten was het al sinds jaar en dag van vitaal belang. Dat kon Kuipers nooit zoveel schelen. Hij noemt het "zorg", maar hij denkt: "data = geld". En dan niet voor de patiënten, maar voor het grootbedrijf en de eigenaren daarvan.

Net zoals de EU zegt: "kinderen beschermen tegen kinderporno" maar denkt: "meer controle".

De komende tijd gaat het kabinet werken aan het opstellen van de wetsvoorstellen voor het implementeren van de NIS2- en CER-richtlijnen. De minister verwacht dat de NIS2-richtlijn gaat gelden voor maximaal tweeduizend organisaties die actief zijn in de Nederlandse zorgsector, zoals zorgaanbieders, EU-referentielaboratoria en partijen die farmaceutische producten of medische hulpmiddelen fabriceren.

Deze organisaties moeten verplicht preventieve maatregelen tegen cyberincidenten nemen, grootschalige incidenten melden en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten informeren over mogelijke gevolgen. Aanvullend verplicht de NIS2-richtlijn dat deze organisaties zich registeren en aan de verplichtingen voldoen vanaf het moment dat de wet in werking treedt.

Onder het mom van "databeveiliging" wil Kuipers richtlijnen die de macht van burgers over hun eigen data gaat onttrekken aan die burgers en gaat verplaatsen naar organisaties, omdat het anders "niet veilig" zou zijn. De beveiliging moet groot, cyber en ingewikkeld worden, want heeft de overheid een excuus om die beveiliging en dus de data af te pakken van de burgers.
15-12-2023, 12:11 door Anoniem
Door Anoniem: Nou, dat is dan lekker. Gaat de overheid voor je bepalen hoe je als particuliere organisatie je zaken regelt - daar komt het uiteindelijk op neer. De kosten? Die zijn uiteraard niet voor de overheid maar voor de ondernemer.
Zo werkt dat in Nederland: geen zeggenschap over je eigen centen.

Je bedoeld dat je beveiliging van persoonsgegevens niet belangrijk vindt?....
Was met corona nog niet duidelijk geworden dat zorg een belangrijke factor is?
Paar jaar te laat maar ok.
17-12-2023, 12:37 door Anoniem
Door Anoniem: Hoe zit de verhouding tussen vitale infrastructuur er essentiele en belangrijke entitien? Kainiemand dat toelichten?

Lees de CER en NIS2 directives
https://eur-lex.europa.eu/eli/dir/2022/2555 NIS2 (ook NL versie) digitale kant CER plus digitale dienstverlening
https://eur-lex.europa.eu/eli/dir/2022/2557 CER - fysieke aspecten, ketens


België heeft een tijd geleden een mooi visueel overzicht gemaakt of je bedrijf of organisatie onder NIS2 valt :
https://ccb.belgium.be/nl/de-nis2-richtlijn-wat-betekent-dit-voor-mijn-organisatie

Helaas is onze overheid minder voortvarend met de voorlichting, Rond 15 januarie schijnt er meer info te komen.
18-12-2023, 10:41 door Anoniem
Dit gaat er op uiteindelijk ook op neerkomen dat je niet alleen aan een hele hoop beveiligingseisen in zowel techniek als processen moet gaan voldoen, maar dat je ook op elk willekeurig moment moet gaan kunnen aantonen dat je volledig aan al die eisen voldoet.(Altijd klaar zijn voor een audit). En dat voor jezelf maar welllicht ook voor je leveranciers.

Organisaties moeten:

1 processen en techniek zo inrichten dat men compliant is
2 documenteren dat men compliant is
3 processen inrichten om compliant te blijven
4 processen om de documentatie die dit aantoont volledig en up to date is op elk moment in de tijd

En dat alles natuurlijk met echte en niet puur papieren compliancy.

1 & 2 voor elkaar te krijgen is een klus, maar 3 & 4 zijn wellicht de grotere uitdaging.
18-12-2023, 17:11 door Anoniem
Door Anoniem: Dit gaat er op uiteindelijk ook op neerkomen dat je niet alleen aan een hele hoop beveiligingseisen in zowel techniek als processen moet gaan voldoen, maar dat je ook op elk willekeurig moment moet gaan kunnen aantonen dat je volledig aan al die eisen voldoet.(Altijd klaar zijn voor een audit). En dat voor jezelf maar welllicht ook voor je leveranciers.

Organisaties moeten:

1 processen en techniek zo inrichten dat men compliant is
2 documenteren dat men compliant is
3 processen inrichten om compliant te blijven
4 processen om de documentatie die dit aantoont volledig en up to date is op elk moment in de tijd

En dat alles natuurlijk met echte en niet puur papieren compliancy.

1 & 2 voor elkaar te krijgen is een klus, maar 3 & 4 zijn wellicht de grotere uitdaging.
Met al de vereiste NEN7510 normering is het niet echt veel meer (mits je aan de intent van de normering voldoet ;-))
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.