Nieuwe cyberbeveiligingswet vooral voor grotere praktijken
Minimaal 50 fte en 10 miljoen omzet
De Cyberbeveiligingswet (Cbw) die op 15 augustus ingaat, stelt strengere eisen aan digitale veiligheid, incidentmeldingen en risicobeheer en is van toepassing op (mond)zorgaanbieders indien de organisatie minimaal 50 fte in dienst heeft en/of een jaaromzet én een balanstotaal van meer dan 10 miljoen euro heeft. Voldoe je aan (één van) deze criteria, dan wordt de mondzorgpraktijk aangemerkt als een belangrijke entiteit in de zorgsector en moet je je houden aan de verplichtingen uit de Cyberbeveiligingswet. Het is aan zorgorganisaties zelf om te toetsen of ze onder deze wet vallen. Dit kun je toetsen met de officiële zelfevaluatietool van de Rijksoverheid.
Registreer je als grotere praktijk
Val je met je praktijk onder de nieuwe wet, dan is het van belang om hier alvast mee aan de slag te gaan. Een van de eerste handelingen is om je te registeren bij het Nationaal Cyber Security Centrum (NCSC). Dit is per 15 augustus verplicht. Na registratie kun je gebruikmaken van de producten en diensten van Z-CERT, dat vanuit de Cyberbeveiligingswet is aangewezen als Computer Security Incident Response Team (CSIRT) voor de Nederlandse zorg. Z-CERT biedt ondersteuning in geval van een incident en bij het vergroten van de digitale weerbaarheid van een organisatie.
Uitwerking van Europese regelgeving
De Cyberbeveiligingswet - die op 7 juli door de Eerste Kamer werd aangenomen - is de Nederlandse uitwerking van de Europese Network and Information Security directive (NIS2-richtlijn) die de cybersecurity en digitale weerbaarheid van bedrijven en overheden binnen de Europese Unie aanzienlijk moet gaan versterken.
Waar krijg je verder mee te maken?
Val je onder de Cyberbeveiligingswet, dan krijg je naast de verplichting om je te registreren bij het Nationaal Cyber Security Centrum verder te maken met:
- Zorgplicht
Organisaties moeten maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Ook moeten zij maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken. De Cyberbeveiligingswet schrijft 10 zorgplichtmaatregelen voor waar organisaties ten minste aan moeten voldoen. Het NCSC heeft verschillende adviesproducten ontwikkeld die je kunnen helpen om deze maatregelen te nemen. - Meldplicht
Organisaties moeten significante incidenten binnen de wettelijke termijnen melden aan hun Computer Security Incident Response Team (CSIRT) en de bevoegde autoriteit via het meldportaal. - Bestuurlijke verantwoordelijkheid
Bestuurders zijn eindverantwoordelijk voor cyberrisicobeheersing. Zij moeten beschikken over voldoende kennis om risico’s en beveiligingsmaatregelen te kunnen beoordelen en moeten daarvoor een passende training volgen. - Toezicht en handhaving
Toezichthouders, waaronder de Inspectie Gezondheidszorg en Jeugd (IGJ), controleren of organisaties voldoen aan de verplichtingen uit de Cyberbeveiligingswet.
Valt je mondzorgpraktijk niet onder de Cyberbeveiligingswet?
In dat geval ben je formeel uitgesloten van de directe verplichtingen van de Cyberbeveiligingsgwet. Toch wordt sterk aanbevolen om maatregelen te treffen om de informatiebeveiliging op orde te hebben en zo de digitale weerbaarheid te vergroten. Ook buiten de Cyberbeveiligingswet om kan de Inspectie Gezondheidszorg en Jeugd (IGJ) handhaven op basis van bestaande wetgeving, zoals de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) of de Algemene Verordening Gegevensbescherming (AVG). Volg daarom de NEN 7510-norm, dé norm voor informatiebeveiliging in de zorg. Breng intern het beleid hierover op orde en vergroot de bewustwording binnen de praktijk.
Hulpmiddelen bij informatiebeveiliging
Of je nu wel of niet onder de Cyberbeveiligingswet valt, als mondzorgaanbieder wordt je geacht te voldoen aan de eisen op het gebied van informatiebeveiliging in de zorg (NEN 7510). Om je daarbij te helpen biedt de KNMT de volgende hulpmiddelen:
- Handboek Informatiebeveiliging: hierin staat hoe je verplichtingen op het gebied van informatiebeveiliging concreet invult. Per praktijklocatie stel je een eigen handboek op en zorg je voor risicomanagement met bijbehorende maatregelen.
- Risicomanagementtool: hierin leg je de risico’s op het gebied van informatiebeveiliging vast. Hiervoor kun je gebruikmaken van de Risico-analysetool Informatiebeveiliging (Excel) of de risicomanagementtool Risqui.
Webdossier Informatiebeveiliging en privacy
In oktober van dit jaar organiseert de KNMT via de Academy een webinar over het gebruik van deze hulpmiddelen.