Wanneer een cyberaanval een medische noodsituatie wordt
Belgische ziekenhuizen bevinden zich nu in de frontlinie van een stille oorlog. Verlammende ransomware, datalekken van medische gegevens, toenemende afhankelijkheid van IT-leveranciers, kwetsbare verbonden medische apparaten: cybersecurity is niet langer een technisch onderwerp voorbehouden aan IT-specialisten, maar een directe kwestie van patiëntveiligheid en continuïteit van zorg. Cybersecurity-expert Willy Danenberg legt uit hoe ze zich kunnen voorbereiden.
De afgelopen maanden hebben diverse incidenten in België (AZ Monica, CHU Saint-Pierre,...) aangetoond dat een cyberaanval kan leiden tot het uitstellen van chirurgische ingrepen, het overplaatsen van kritieke patiënten en een ernstige verstoring van medische teams. In deze context neemt ook de regelgevingsdruk toe, met de inwerkingtreding van de cybersecuritywet NIS2, de versterking van de GDPR-controles en de uitbreiding van de verplichtingen op het gebied van cybersecuritybeheer naar het ziekenhuismanagement.
Om deze risico's en hun concrete gevolgen voor de ziekenhuissector te begrijpen, interviewden we Willy Danenberg, een cybersecurity-expert die momenteel een project afrondt voor de Nationale Bank van België, en de auteur van diverse naslagwerken over ransomwarebescherming, IT-weerbaarheid en naleving van regelgeving in kritieke omgevingen.
AK Hospitals: Waarom zijn Belgische ziekenhuizen zo'n belangrijk doelwit voor cybercriminelen?
Willy Danenberg: Ziekenhuizen combineren drie ideale factoren voor een aanvaller: extreme afhankelijkheid van IT-systemen, een bijna nultolerantie voor serviceonderbrekingen en zeer waardevolle medische gegevens. Wanneer een systeem uitvalt, vallen niet alleen de servers uit, maar lijdt ook de patiëntenzorg eronder.
De recente aanvallen in België hebben een diepe indruk achtergelaten. Wat zeggen ze over de operationele realiteit van een cyberaanval in een ziekenhuis?
Ze tonen dat een cyberincident onmiddellijk kan uitmonden in een medische crisis. Vertragingen in operatiekamers, onbeschikbare beeldvorming, ontoegankelijke patiëntendossiers, gestrest personeel,... De impact reikt veel verder dan de IT-afdeling en treft de gehele klinische organisatie.
Wat is het gevaarlijkste scenario voor een ziekenhuis vandaag de dag: een datalek of systeemuitval?
Verlies van beschikbaarheid blijft op korte termijn het meest kritiek, omdat het de patiëntveiligheid direct in gevaar brengt. Maar op middellange termijn is het wijzigen of manipuleren van klinische gegevens nog zorgwekkender: een vervalst laboratoriumresultaat kan fataal zijn zonder dat iemand het beseft.
'NIS2 transformeert cybersecurity in een governanceverplichting.'
We zien steeds meer aanvallen via externe dienstverleners. Waarom wordt dit risico zo onderschat?
Omdat veel ziekenhuizen hun IT hebben uitbesteed zonder de bijbehorende verantwoordelijkheden uit te besteden. Een gecompromitteerde leverancier kan een toegangspoort worden tot meerdere instellingen. Zonder strikte contractuele afspraken, technische controles en continue monitoring wordt de uitbestedingsketen een risicoversterker. Toezichthouders en patiënten stellen ziekenhuizen verantwoordelijk.
Wat verandert de NIS2-richtlijn concreet voor Belgische ziekenhuizen?
NIS2 transformeert cybersecurity in een governanceverplichting. Ziekenhuizen moeten aantonen dat ze proportionele maatregelen hebben genomen, dat ze weten hoe ze een incident moeten detecteren en dat ze de autoriteiten snel kunnen informeren. De deadlines zijn duidelijk en nietsdoen of improvisatie is niet langer acceptabel.
Hoe moet een ziekenhuis omgaan met een incident dat zowel onder NIS2 als de AVG valt?
Een rigoureuze coördinatie is essentieel. NIS2 heeft tot doel de continuïteit en veiligheid van kritieke diensten te waarborgen, terwijl de AVG persoonsgegevens beschermt. In sommige gevallen zijn twee meldingen vereist. Een veelgemaakte fout is om deze verplichtingen afzonderlijk af te handelen in plaats van een uniforme crisisbeheersingsaanpak te hanteren. Zo kunnen boetes zich opstapelen.
'Piloten brengen elk jaar dagen door in simulatoren om allerlei situaties te oefenen; hetzelfde moet gebeuren voor IT- en operationele teams.'
De recente sancties tegen ziekenhuizen na ransomware-aanvallen kwamen als een verrassing. Welke boodschap wil de toezichthouder hiermee overbrengen?
De boodschap is glashelder: slachtoffer zijn ontslaat je niet van je verantwoordelijkheid. De autoriteiten beoordelen of het ziekenhuis voldoende voorbereid was. Gebrek aan netwerksegmentatie, ongeteste back-ups en onduidelijke governance worden nu allemaal beschouwd als managementfouten.
Welke andere regelgeving is van invloed op de cyberbeveiliging van ziekenhuizen?
Verbonden medische apparaten moeten bijvoorbeeld gedurende hun hele levenscyclus beveiligd zijn. Platformen voor de uitwisseling van zorggegevens stellen ook strenge eisen aan vertrouwelijkheid en traceerbaarheid. Cyberbeveiliging wordt een transversaal thema in alle nalevingseisen van ziekenhuizen.
Echt herstelbare back-ups
Als u de cybersecurity van een ziekenhuis binnen de drie maanden zou moeten versterken, wat zouden dan uw absolute prioriteiten zijn?
Ten eerste, continuïteit van zorg in een verslechterde situatie. Doe ransomware-simulaties waarbij je de toegang tot alle services verliest en alles snel opnieuw moet opbouwen. Ten tweede, zorg voor echt herstelbare back-ups, onveranderlijke logbestanden, checklists die leiden tot corrigerende en preventieve acties, strikte netwerksegmentatie, sterk beveiligde toegang en realistische crisisoefeningen. Technologie is belangrijk, maar menselijke voorbereiding is nog belangrijker. Piloten brengen elk jaar dagen door in simulatoren om allerlei situaties te oefenen; hetzelfde moet gebeuren voor IT- en operationele teams.
Wat is volgens u de grootste bedreiging voor ziekenhuizen in de komende jaren?
Het grootste risico is het verlies van vertrouwen. Als patiënten en zorgprofessionals twijfelen aan de betrouwbaarheid van systemen en gegevens, wordt het hele zorgmodel verzwakt. Cybersecurity wordt een onzichtbare, maar essentiële pijler van medische kwaliteit. Nu Belgische ziekenhuizen te maken krijgen met steeds geavanceerdere digitale dreigingen, kan cybersecurity niet langer worden gezien als een kostenpost of een wettelijke beperking. Het is nu een voorwaarde voor patiëntveiligheid, de geloofwaardigheid van zorginstellingen en de veerkracht van het zorgsysteem.
>> De belangrijkste werken van Willy Danenberg zijn te vinden op de website bigbigbrain.com.
