Zeer grote zorgaanbieders ouderenzorg hebben digitale zorg op orde, informatiebeveiliging moet beter

Publicatie | 05-06-2025

Wat deden we?

In de periode oktober 2023 tot mei 2024 bezocht de IGJ 8 zeer grote zorgaanbieders in de ouderenzorg. De selectie van deze 8 zorgaanbieders was willekeurig en betrof zorgaanbieders verspreid over Nederland. Het toezicht richtte zich op de inzet van digitale zorg. Tijdens deze bezoeken toetste de inspectie of de instellingen voldeden aan de normen uit het toetsingskader ‘inzet van digitale zorg door zorgaanbieders’. Waar dat nodig was, vroeg de inspectie de zorgaanbieders concrete verbeteringen op te pakken.

Wat zagen we?

Bij de bezoeken over digitale zorg lette de IGJ op goed bestuur, de aanschaf van digitale zorg, de betrokkenheid van cliënten en medewerkers, samenwerking en gegevensuitwisseling in de regio, informatiebeveiliging en continuïteit. Wij zagen dat het merendeel van de bezochte zorgaanbieders tijdens het bezoek niet voldeed aan de norm voor informatiebeveiliging. Tegelijkertijd zagen wij wel dat de randvoorwaarden voor het leveren van digitale zorg grotendeels in orde zijn. Zowel cliënten als zorgprofessionals worden betrokken bij de inzet van digitale zorg. Ook de bestuurders van de bezochte organisaties hebben voldoende aandacht voor het onderwerp digitale zorg.

Hieronder lichten wij onze bevindingen verder toe. Ook vragen wij aandacht voor het voldoen aan de norm voor informatiebeveiliging, de NEN 7510.

Bestuur heeft aandacht voor digitale zorg

De inzet van digitale zorg vraagt om bestuurlijke aandacht en passende afspraken over de verantwoordelijkheid. We zagen dat de bezochte zorgaanbieders voor de juiste randvoorwaarden zorgen bij de inzet van digitale zorg. Hoe digitale zorg wordt ingezet staat vaak beschreven in de organisatiestrategie. Ook zagen wij dat deze zorgaanbieders een duidelijke verdeling voor verantwoordelijkheden over digitale zorg hebben vastgelegd. Op deze manier is er binnen de hele organisatie aandacht voor het thema digitale zorg.

De implementatie van digitale zorg verloopt volgens een vast proces

De bezochte zorgaanbieders hebben een vast proces voor de aanschaf van digitale zorg. Zij leggen daarnaast de overwegingen van de aanschaf van digitale zorgtoepassingen duidelijk vast. Een gestructureerd proces helpt om de digitale zorg goed in de praktijk te kunnen invoeren. Het helpt daarnaast ook om de risico’s in te kunnen schatten. En ook om zorgprofessionals goed te kunnen laten werken met de digitale toepassing. Verder zagen wij dat de zorgaanbieders de afspraken over testen en onderhoud goed vastleggen en evalueren met de leveranciers. Het is belangrijk dat zorgaanbieders de afspraken met leveranciers vastleggen en regelmatig controleren. Op deze manier zorgen zij ervoor dat de zorg ICT door kan blijven gaan en dat problemen op tijd worden herkend.

Cliënten betrokken bij inzet digitale zorg (maar minder bij risico’s en aanschaf)

Bij de bezochte zorgaanbieders zagen wij dat de cliënten die gebruik maken van digitale zorg, de mogelijkheden hebben om mee te denken over de inzet van digitale zorg. Ook kijken de zorgaanbieders of een digitaal product wel geschikt is voor de cliënt. En houden zij rekening met de (medische) achtergrond en de behoefte van de cliënt. Tegelijkertijd, zagen wij dat zorgaanbieders nog niet altijd structureel naar alle cliëntgebonden risico’s kijken. En dat cliënten of hun vertegenwoordigers nog niet altijd betrokken worden bij de aanschaf van digitale zorg. Door de cliënt stap voor stap mee te nemen bij zowel het kiezen als het gebruik van digitale zorg, weet je als zorgaanbieder of de toepassing goed past bij wat de cliënt wil en nodig heeft. Ook wanneer de situatie van de cliënt mogelijk verandert.

Regionale samenwerking 

Tijdens de bezoeken zagen we dat de zorgaanbieders allen een groot regionaal netwerk van andere zorgaanbieders hebben. Bijvoorbeeld andere VVT-instellingen, ziekenhuizen en huisartsen. In dit netwerk werken zij samen om de inzet van digitale zorg te optimaliseren. Zo zagen we dat zij samenwerkingsafspraken over de digitale uitwisseling van gegevens vastleggen en evalueren. Verder zagen we dat de zorgprofessionals voldoende informatie hebben om de zorg aan de cliënten te kunnen leveren. Op deze manier hebben zorgaanbieders een goed overzicht van hun informatiestromen. En dragen zij bij aan de informatiebehoefte van de cliënten en de zorgprofessionals.

Informatiebeveiliging en continuïteit

Tot slot keken wij naar het onderwerp ‘informatiebeveiliging en continuïteit’. Wij zagen dat alle bezochte zorgaanbieders zicht bewust zijn van de wettelijke norm NEN 7510. Maar nog niet alle zorgaanbieders konden, op het moment van het bezoek, aantonen dat zij werken volgens deze norm. Zij hadden nog geen managementsysteem voor informatiebeveiliging. Het is van belang om ter werken volgens deze norm. Zo verkleint men de risico’s op het gebied van informatiebeveiliging. Wij hebben de zorgaanbieders om vervolgacties gevraagd. Inmiddels zijn alle bezochte zorgaanbieders aan de slag gegaan met verbeterplannen om dit op orde te brengen. Met als doel om aantoonbaar aan de norm te voldoen. 

Ook continuïteit van ICT-voorzieningen heeft steeds meer de aandacht. Toch zagen we dat er soms verbeteringen mogelijk zijn in de werkwijze bij ICT-storingen. Daarnaast is actualisering van crisisplannen nodig. Het is van belang dat zorgaanbieders zorgdragen voor de continuïteit van zorg. Dat geldt zowel fysiek als digitaal. Een continuïteitsplan op het gebied van digitale en fysieke zorg is daarom noodzakelijk. 

Aandachtspunten voor zorgaanbieders

We zien dat de bezochte zorgaanbieders in de VVT aan de randvoorwaarden voor het leveren van digitale zorg voldoen. Dit is van belang omdat digitale zorg steeds meer onderdeel uitmaakt van de zorg aan cliënten. Tegelijkertijd zien we dat de zorgaanbieders nog stappen moeten zetten om volledig te voldoen aan de wettelijke norm voor informatiebeveiliging, de NEN 7510. Daarom vragen wij hier extra aandacht voor.

Voldoen aan NEN 7510

Zorgaanbieders moeten zorgen voor een managementsysteem voor informatiebeveiliging. Dat kunnen zij aantoonbaar maken door een onafhankelijke beoordeling uit te voeren op deze norm of door zich te laten certificeren. Dit laatste is volgens de wet niet verplicht. Voldoen aan deze norm helpt onder andere voorkomen dat systemen - en daarmee de zorg - langdurig uitvallen door incidenten. Daarom verwachten wij van deze zorgaanbieders, maar ook van alle andere grote en kleine zorgaanbieders uit de VVT, dat zij kritisch kijken naar hun informatiebeveiliging.

Op onze website hebben wij de belangrijkste informatie over de NEN 7510 en het voldoen aan de norm op een rijtje gezet. Hier kunt u meer informatie vinden: Vragen over NEN 7510.

Voorbereiden op de Cyberbeveiligingswet

Met de komst van de Cyberbeveiligingswet (Cbw) is het belangrijk dat zorgaanbieders die op basis van omvang onder de Cbw vallen, zich gaan voorbereiden op de wet. De Cbw is de Nederlandse vertaling van de NIS2-richtlijn (Network and Information Security). Voldoen aan de NEN7510 is nu al verplicht voor zorgaanbieders en dekt een aantal verplichtingen van de NIS2-richtlijn en de Cyberbeveiligingswet af.

Meer informatie over de Cbw staat op de website van het ministerie van Volksgezondheid Welzijn en Sport, zie pagina Cyberbeveiligingswet (website ministerie van VWS).

Goede voorbeelden uit de praktijk

Hieronder staan enkele goede voorbeelden die we bij de 8 bezochte zorgaanbieders zagen:

• Informatiebeveiliging in kaart brengen met een benchmark
  Enkele organisaties hebben via een zogenaamde benchmark een externe partij de informatiebeveiliging laten beoordelen. Dit is niet altijd een complete beoordeling, zoals de norm voorschrijft. Wel helpt dit bij bewustwording. Het geeft ook een beeld van welke activiteiten een zorgaanbieder moet inrichten om volgens de norm te werken.

• Crisisoefening cyberaanval
  Tijdens verschillende bezoeken zagen we dat de zorgaanbieders zich voorbereiden op mogelijke cyberaanvallen. Dit deden zij soms ook met ketenpartners. Het oefenen van deze gesimuleerde cyberaanvallen geeft inzicht in de georganiseerde processen en waar nog verbeteringen mogelijk zijn.

• Ruimte inrichten om domotica te ervaren
  Om cliënten, hun familie en zorgverleners te informeren over de huidige mogelijkheden van digitale (zelf)zorg, richtte een zorgaanbieder een ruimte in met verschillende niet-zorg gerelateerde domotica. Daar konden cliënten en zorgverleners, allerlei soorten domotica zien en ervaren. Voorbeelden van deze domotica waren gordijnen die open en dicht gaan op basis van de stem of robotstofzuigers.
• Samenwerking met hogescholen en universiteiten
  Enkele zorgaanbieders werken nauw samen met hogescholen en universiteiten. Waardoor onderzoek naar digitale zorg makkelijk toegepast kan worden in de organisatie. Dit zorgt voor een versnelde implementatie van de digitale zorg toepassing.
• Moreel beraad over dilemma’s bij digitale middelen
  Een zorgaanbieder geeft aan dat de keuze voor de inzet van digitale middelen tot dilemma’s kan leiden. Hiervoor organiseert men dan een moreel beraad, waar ook cliëntvertegenwoordigers aan kunnen meedoen. Andere zorgaanbieders hebben een innovatiepanel waarin cliënten of hun vertegenwoordigers ook deelnemen.

Hoe gaat het verder?

Naar aanleiding van de bezoeken blijft de inspectie de zorgaanbieders volgen die nog verbeteracties voor informatiebeveiliging hebben. Daarnaast houdt de inspectie toezicht op digitale zorg, zowel binnen de ouderenzorg als daarbuiten. We bezoeken zowel grote als kleine zorgaanbieders. De inspectie voert dit toezicht op diverse manieren uit. Bijvoorbeeld door bezoeken te brengen aan zorgaanbieders of door informatie op te vragen. Daarbij kan het gaan om digitale zorg in het algemeen, of om deelonderwerpen, zoals informatiebeveiliging en continuïteit.

Rapporten bij deze publicatie

Lees de rapporten van de zorgaanbieders die de inspectie bezocht

Meer informatie

• Website Aan de slag met informatieveilig gedrag
• Vragen over NEN 7510 (website IGJ)