Dreigingsprofiel: zorgverlener
Als arts, psycholoog of sociaal werker heb je wettelijke verplichtingen rond patiëntgegevens en beroepsgeheim. Hoe bescherm je patiëntdata en communiceer je veilig in de zorgsector?
Dreigingsprofiel: zorgverlener
Dit profiel is voor artsen, verpleegkundigen, psychologen, therapeuten, sociaal werkers, en anderen die met patiëntgegevens werken. De zorgsector is een primair doelwit voor cybercriminelen — en jouw verplichtingen gaan verder dan alleen technische maatregelen.
Wettelijk kader
Medisch beroepsgeheim (WGBO) Je geheimhoudingsplicht is wettelijk verankerd. Patiëntgegevens mogen niet worden gedeeld zonder toestemming — ook niet met familie, ook niet met collega’s die niet bij de behandeling betrokken zijn.
NEN 7510 De Nederlandse norm voor informatiebeveiliging in de zorg. Voor zorgorganisaties is dit in de praktijk verplicht. De norm schrijft onder meer voor: toegangsbeveiliging, logging, encryptie en incidentrespons.
AVG (GDPR) Gezondheidsdata is een bijzondere categorie — de zwaarste AVG-bescherming. Datalekken moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens, en onder omstandigheden ook aan de betrokkene.
IGJ-toezicht De Inspectie Gezondheidszorg en Jeugd kan handhavend optreden bij incidenten. Datalekken bij zorgaanbieders worden serieus genomen.
Dreigingsanalyse
Ransomware is de hoofddreiging Nederlandse ziekenhuizen zijn eerder getroffen door ransomware (OLVG, Maastricht UMC). Criminelen weten dat ziekenhuizen slecht kunnen wachten — behandelingen lopen door, systemen moeten snel weer beschikbaar zijn. Ze vragen meer losgeld en krijgen het vaker betaald dan in andere sectoren.
Hoge waarde van patiëntdata Medische dossiers zijn op de zwarte markt meer waard dan creditcardgegevens. Ze bevatten namen, BSN, verzekeringsdata, medicatiegeschiednis — genoeg voor identiteitsfraude voor jaren.
Menselijke schakel Phishing gericht op zorgmedewerkers is een primair aanvalspad. Een nep-e-mail van “het EPD-systeem” of “IT-beheer” kan geloofwaardig zijn in een drukke klinische omgeving.
Checklist
Werkapparaten
- Gebruik alleen goedgekeurde apparaten voor patiëntdata — nooit een persoonlijke telefoon zonder versleuteling
- Auto-lock na korte inactiviteit — een scherm met patiëntdata dat onbeheerd staat is een datalek
- Inloggen met je eigen account, nooit een gedeeld account — accountability vereist traceerbaarheid
- VPN van de organisatie gebruiken bij externe toegang tot EPD-systemen
Communicatie
- WhatsApp is niet geschikt voor patiëntgerelateerde communicatie — dit is een veelgemaakte fout in de zorg
- Gebruik systemen die de organisatie heeft goedgekeurd voor patiëntcommunicatie
- Voor externe partijen: versleutelde e-mail of een beveiligd portaal
- Bespreek geen patiëntgegevens in openbare ruimtes — wachtkamers, liften, de kantine
Wachtwoorden en toegang
- Uniek wachtwoord per systeem — een gecompromitteerd EPD-account mag niet doorwerken naar e-mail
- 2FA overal waar het systeem het ondersteunt
- Toegang intrekken direct bij uitdiensttreding — dit gaat regelmatig mis
Datalekken
- Weet wat het meldproces is binnen jouw organisatie
- Een verdwaalde e-mail met patiëntdata naar het verkeerde adres is al een meldplichtig datalek
- Meld ook bijna-incidenten — dat helpt de organisatie patronen te herkennen
Communicatie met patiënten
Patiënten sturen soms gevoelige informatie via e-mail of WhatsApp — diagnoses, medicatielijsten, resultaten. Hoe ga je daarmee om?
- Stel duidelijk vast welk kanaal jouw organisatie gebruikt voor patiëntcommunicatie
- Stuur nooit medische informatie terug via een onbeveiligd kanaal als een patiënt dat doet
- Wijs patiënten actief op het bestaan van beveiligde alternatieven (patiëntenportaal, MedMij-apps)
Zelfstandig werkende zorgverleners (ZZP-zorg)
Als je buiten een organisatie werkt, gelden dezelfde regels — maar jij bent zelf verantwoordelijk voor de implementatie:
- Versleuteld apparaat (BitLocker op Windows, FileVault op Mac)
- Separate versleutelde opslag voor patiëntdossiers — niet op je persoonlijke bureaublad
- Overweeg een AVG-compliant cloud-opslag (Proton Drive, Tresorit) voor patiëntdossiers
- Begrijp de AVG-meldplicht voor ZZP’ers — als verwerkingsverantwoordelijke ben jij de contactpersoon
Tools
| Doel | Tool | Opmerking |
|---|---|---|
| Wachtwoordmanager | Bitwarden / KeePassXC | KeePassXC voor offline, Bitwarden voor team |
| Versleutelde opslag | Proton Drive / Tresorit | AVG-compliant, EU-servers |
| 2FA | Aegis Authenticator | Offline, open source |
| Veilige e-mail | Proton Mail | Voor externe communicatie |
Zie ook:
- Dreigingsprofiel: kleine ondernemer — AVG-verplichtingen voor zelfstandigen
- Bitwarden review — wachtwoordbeheer voor de praktijk
- KeePassXC review — offline alternatief
- Proton Drive review — AVG-compliant opslag