Nieuwe cyberbeveiligingswet vooral voor grotere praktijken

48055 Screenshot 2020 02 05 at 15.03.29
Karel Gosselink
3 minuten
Image
Cyberbeveiliging
Op 15 augustus 2026 treedt de Cyberbeveiligingswet in werking. Deze wet stelt strengere eisen aan digitale veiligheid, incidentmeldingen en risicobeheer. Met name grote praktijken met meer dan 50 fte werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro krijgen ermee te maken. Tref alvast voorbereidingen!

Minimaal 50 fte en 10 miljoen omzet

De Cyberbeveiligingswet (Cbw) die op 15 augustus ingaat, stelt strengere eisen aan digitale veiligheid, incidentmeldingen en risicobeheer en is van toepassing op (mond)zorgaanbieders indien de organisatie minimaal 50 fte in dienst heeft en/of een jaaromzet én een balanstotaal van meer dan 10 miljoen euro heeft. Voldoe je aan (één van) deze criteria, dan wordt de mondzorgpraktijk aangemerkt als een belangrijke entiteit in de zorgsector en moet je je houden aan de verplichtingen uit de Cyberbeveiligingswet.  Het is aan zorgorganisaties zelf om te toetsen of ze onder deze wet vallen. Dit kun je toetsen met de officiële zelfevaluatietool van de Rijksoverheid.

Registreer je als grotere praktijk

Val je met je praktijk onder de nieuwe wet, dan is het van belang om hier alvast mee aan de slag te gaan. Een van de eerste handelingen is om je te registeren bij het Nationaal Cyber Security Centrum (NCSC). Dit is per 15 augustus verplicht. Na registratie kun je gebruikmaken van de producten en diensten van Z-CERT, dat vanuit de Cyberbeveiligingswet is aangewezen als Computer Security Incident Response Team (CSIRT) voor de Nederlandse zorg. Z-CERT biedt ondersteuning in geval van een incident en bij het vergroten van de digitale weerbaarheid van een organisatie.

Uitwerking van Europese regelgeving

De Cyberbeveiligingswet - die op 7 juli door de Eerste Kamer werd aangenomen - is de Nederlandse uitwerking van de Europese Network and Information Security directive (NIS2-richtlijn) die de cybersecurity en digitale weerbaarheid van bedrijven en overheden binnen de Europese Unie aanzienlijk moet gaan versterken.

Waar krijg je verder mee te maken?

Val je onder de Cyberbeveiligingswet, dan krijg je naast de verplichting om je te registreren bij het Nationaal Cyber Security Centrum verder te maken met:

Valt je mondzorgpraktijk niet onder de Cyberbeveiligingswet?

In dat geval ben je formeel uitgesloten van de directe verplichtingen van de Cyberbeveiligingsgwet. Toch wordt sterk aanbevolen om maatregelen te treffen om de informatiebeveiliging op orde te hebben en zo de digitale weerbaarheid te vergroten. Ook buiten de Cyberbeveiligingswet om kan de Inspectie Gezondheidszorg en Jeugd (IGJ) handhaven op basis van bestaande wetgeving, zoals de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) of de Algemene Verordening Gegevensbescherming (AVG). Volg daarom de NEN 7510-norm, dé norm voor informatiebeveiliging in de zorg. Breng intern het beleid hierover op orde en vergroot de bewustwording binnen de praktijk. 

Hulpmiddelen bij informatiebeveiliging

Of je nu wel of niet onder de Cyberbeveiligingswet valt, als mondzorgaanbieder wordt je geacht te voldoen aan de eisen op het gebied van informatiebeveiliging in de zorg (NEN 7510). Om je daarbij te helpen biedt de KNMT de volgende hulpmiddelen:

  1. Handboek Informatiebeveiliging: hierin staat hoe je verplichtingen op het gebied van informatiebeveiliging concreet invult. Per praktijklocatie stel je een eigen handboek op en zorg je voor risicomanagement met bijbehorende maatregelen
  2. Risicomanagementtool: hierin leg je de risico’s op het gebied van informatiebeveiliging vast. Hiervoor kun je gebruikmaken van de Risico-analysetool Informatiebeveiliging (Excel) of de risicomanagementtool Risqui

Webdossier Informatiebeveiliging en privacy

In oktober van dit jaar organiseert de KNMT via de Academy een webinar over het gebruik van deze hulpmiddelen.