Inspectie maakt zich zorgen over informatiebeveiliging in de ggz

Publicatie27-05-2026

De Inspectie Gezondheidszorg en Jeugd (IGJ) onderzocht eind 2025 de informatiebeveiliging bij 87 organisaties in de geestelijke gezondheidszorg (ggz). De vraag was of zij werkten volgens de wettelijk verplichte norm, de NEN 7510. Maar 6 van hen konden dit aantonen. Veel andere organisaties gaven aan wel bezig te zijn om aan de norm te voldoen; slechts 40 organisaties hebben daar daadwerkelijk een streefdatum voor.

Het belang van goede informatiebeveiliging is groot. Zowel voor de bescherming van de privacy van cliënten en medewerkers, als voor de beschikbaarheid van gegevens om zorg te verlenen. De inspectie verwacht dat alle ggz-organisaties zo snel mogelijk werken volgens de norm.

Rol informatiebeveiliging in de ggz

De rol van (digitale) informatie binnen de ggz is van groot belang. Behandelaars en andere zorgverleners leggen digitaal gegevens vast in het Elektronisch Cliënten Dossier (ECD). Denk bijvoorbeeld aan een behandelplan, rapportages of voorgeschreven medicatie. De kwaliteit van de zorg is steeds meer afhankelijk van de beschikbaarheid van informatie. Het gaat vrijwel altijd om zeer gevoelige persoonsgegevens, bijvoorbeeld over de mentale en fysieke toestand van personen. Ggz aanbieders bieden ook steeds meer zorg digitaal aan, bijvoorbeeld via beeldbelgesprekken.

Wettelijk verplicht: werken aan informatiebeveiliging

Zorgaanbieders hebben de wettelijke verplichting om te werken aan informatiebeveiliging. De NEN 7510 is de norm voor informatiebeveiliging in de zorg in Nederland. Er staat in hoe organisaties in de zorg hun informatiebeveiliging moeten inrichten. De kern van de NEN 7510 gaat over het managementsysteem voor informatiebeveiliging. Dit heet ook wel een ‘information security management system’ of ISMS. Verder beschrijft de norm een serie beheersmaatregelen. Hiermee kunnen organisaties risico’s wegnemen of kleiner maken.

Werken volgens de NEN 7510 betekent dat het information security management system (ISMS ) goed werkt. De organisatie kan dan laten zien dat de kwaliteitscyclus voor informatiebeveiliging functioneert. Daarvoor is het niet genoeg dat er beleid is en beheersmaatregelen zijn. De organisatie moet ook controleren of deze werken zoals bedoeld. Als het nodig is, moet de organisatie verbeteringen uitvoeren.

De NEN 7510 norm bestaat uit 2 delen. Het 1e deel van de norm stelt eisen aan het managementsysteem, het ISMS. Het 2e deel beschrijft de beheersmaatregelen.

In de NEN 7510 staat dat de organisatie de informatiebeveiliging regelmatig onafhankelijk moet laten beoordelen. Zorgaanbieders zijn verplicht deze onafhankelijke beoordelingen uit te laten voeren. Certificering is een specifieke manier om aan te tonen dat een organisatie volgens de norm werkt. Een zorgaanbieder is echter niet verplicht om te certificeren.

Voor meer informatie, zie de pagina Vragen over NEN 7510.

Resultaten

De inspectie onderzocht 87 organisaties van in totaal circa 150 grotere ggz organisaties. Het ging om organisaties met minimaal 50 fte medewerkers waarvan nog niet bekend was in hoeverre zij volgens de norm werken. De organisaties bieden uiteenlopende vormen van zorg, zoals bijvoorbeeld forensische zorg, beschermd wonen of verslavingszorg. Het onderzoek vond plaats via een vragenlijst.

6 organisaties konden aantonen volgens de norm te werken, bijvoorbeeld met een certificaat. De anderen konden dat niet. Van die organisaties hebben er 40 een streefdatum om aan de norm te voldoen. Twee organisaties voldeden nog niet aan de norm, maar lieten wel een onafhankelijke beoordeling uitvoeren. Deze onafhankelijke beoordeling is een eis uit de norm. Een onafhankelijke en deskundige partij toetst hierbij periodiek of een organisatie werkt volgens de norm en welke verbeteringen nog mogelijk zijn.

Opvallend was dat 14 van de 87 organisaties ook na herhaalde oproepen niet reageerden op de gestelde vragen. Zorgaanbieders hebben een plicht om mee te werken aan ons toezicht door informatie te verstrekken. De inspectie gaat er daarom vanuit dat deze aanbieders niet volgens de norm werken.

Cyberbeveiligingswet

In het tweede kwartaal van dit jaar moeten zorgaanbieders met meer dan 50 fte werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro voldoen aan de Cyberbeveiligingswet (hierna: Cbw). De Cbw is de Nederlandse invulling van de Europese Network and Information Security directive, of NIS2-richtlijn. De wet is bedoeld om de digitale weerbaarheid van organisaties te versterken tegen toenemende cyberdreigingen . Ggz-organisaties kunnen onder de reikwijdte van de Cbw vallen.
Een van de eisen uit de wet is dat zorgaanbieders een zorgplicht hebben op het gebied van informatiebeveiliging. Dit betekent dat zij passende maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen cyberrisico’s. Ggz-aanbieders die aantoonbaar werken volgens NEN 7510 voldoen al voor een belangrijk deel aan die zorgplicht

Hoe gaat het verder?

De inspectie volgt de ggz-organisaties die nog niet voldoen aan de norm, inclusief de organisaties die nog niet reageerden. Dat gebeurt onder meer door gesprekken te voeren en documentatie op te vragen (zoals onafhankelijke beoordelingen en/of verbeterplannen). De inspectie verwacht dat organisaties die nog niet voldoen aan de norm dit jaar minimaal een onafhankelijke en deskundige beoordeling laten uitvoeren. Organisaties moeten zo snel mogelijk aan de norm voldoen.

Dit onderzoek bij ggz-aanbieders is onderdeel van het toezicht van de IGJ op informatiebeveiliging in de zorg. Eerder deed zij onder andere onderzoek bij ziekenhuizen, huisartsenspoedposten, zelfstandige klinieken en organisaties in de ouderenzorg.