Belgische zorginstellingen vallen als essentiële entiteiten onder de strengste NIS2-verplichtingen. Ziekenhuizen, laboratoria en grote apotheekgroepen moeten uiterlijk 18 april 2027 gecertificeerd zijn via CyberFundamentals of ISO 27001. Tegelijk maakt de combinatie van patiëntdata, medische IoT en 24/7 beschikbaarheid de zorgsector bijzonder kwetsbaar voor cyberaanvallen. Vlaamse subsidies dekken tot 50% van de kosten voor externe cybersecurity-expertise.
De zorgsector digitaliseert in hoog tempo. Elektronische patiëntendossiers, connected medische apparatuur en telemedicineplatformen maken de zorg efficiënter, maar vergroten tegelijk het aanvalsoppervlak aanzienlijk. Ondertussen stellen NIS2 en de GDPR steeds strengere eisen aan de beveiliging van gevoelige gezondheidsdata. Voor IT-verantwoordelijken en directies in de zorg is de vraag niet langer of cybersecurity aandacht verdient, maar hoe u het aanpakt met beperkte middelen en maximale continuïteit. Het goede nieuws: de Vlaamse en federale overheid ondersteunen zorginstellingen met substantiële subsidies en budgetten.
Welke zorginstellingen vallen onder NIS2?
Zorginstellingen behoren tot de sectoren die de Belgische NIS2-wet (wet van 26 april 2024) als essentieel of belangrijk classificeert. Dat betekent verplicht toezicht, incidentmelding en een conformiteitsbeoordeling. De classificatie hangt af van het type instelling en de organisatieomvang.
Bijna alle Belgische algemene en universitaire ziekenhuizen kwalificeren als essentiële entiteit vanwege hun omvang (doorgaans meer dan 250 medewerkers) en hun kritieke maatschappelijke functie. Zij vallen onder het strengste toezichtsregime. Referentielaboratoria die cruciale diensten verlenen aan de volksgezondheid delen die classificatie.
Apotheekgroepen, thuiszorgorganisaties en woonzorgcentra vallen als belangrijke entiteit onder NIS2 zodra zij de drempelwaarden overschrijden: meer dan 50 werknemers of meer dan €10 miljoen jaaromzet. Grotere groepen zoals Multipharma vallen expliciet in scope. Fabrikanten van medische hulpmiddelen vallen eveneens onder de wet wanneer hun producten als kritiek worden beschouwd.
Kleinere huisartsenpraktijken en individuele apotheken vallen in principe buiten de directe scope. Maar het zogenaamde “olievlekeffect” raakt ook hen: grotere entiteiten moeten onder NIS2 de veiligheid van hun toeleveringsketen waarborgen. Dat betekent dat ziekenhuizen en apotheekgroepen contractuele beveiligingseisen zullen opleggen aan kleinere partners. Meer details over de NIS2-verplichtingen en deadlines leest u in onze complete NIS2-gids.
De vijf cyberdreigingen die zorginstellingen extra kwetsbaar maken
De zorgsector combineert technische en organisatorische kenmerken die samen een uniek risicoprofiel creëren. Belgische zorgorganisaties werden geconfronteerd met gemiddeld 2.620 cyberaanvallen per week per instelling. Vijf factoren verklaren waarom de sector zo aantrekkelijk is voor aanvallers.
Medische IoT en legacy systemen. Infuuspompen, MRI-scanners, CT-scanners en pacemakers zijn steeds vaker verbonden met het ziekenhuisnetwerk. Veel van deze apparaten draaien op verouderde besturingssystemen die geen beveiligingsupdates meer ontvangen. Patchen is vaak onmogelijk zonder de medische certificering van het apparaat ongeldig te maken. Bij 80% van de zorgincidenten spelen kwetsbaarheden in hard- of software een rol, vaak doordat medische apparaten niet gesegmenteerd zijn van het kantoornetwerk. Dit is vergelijkbaar met de OT-problematiek in de maakindustrie, maar met een extra dimensie: een gehackte infuuspomp raakt direct de patiëntveiligheid.
De waarde van gezondheidsdata. Patiëntgegevens zijn op het dark web tot 50 keer meer waard dan financiële data. De reden is eenvoudig: een creditcard kunt u blokkeren, maar uw medische geschiedenis, genetische informatie en chronische aandoeningen zijn permanent. Dat maakt gezondheidsdata uiterst geschikt voor identiteitsfraude, verzekeringsfraude en langdurige afpersing. In 2025 waren datalekken verantwoordelijk voor 28% van alle cyberincidenten in de Europese zorgsector.
24/7 beschikbaarheid als kwetsbaarheid. Ziekenhuizen kunnen hun systemen niet zomaar offline halen voor onderhoud of updates. Die permanente beschikbaarheidseis geeft aanvallers een drukmiddel: ze weten dat een ziekenhuis sneller geneigd is te betalen om patiëntenzorg te herstellen.
De menselijke factor onder werkdruk. Zorgpersoneel werkt onder hoge tijdsdruk, waarbij directe patiëntenzorg altijd prioriteit heeft. Gedeelde werkstations op verpleegposten, open sessies tijdens ploegwissels en externe toegang voor specialisten vergroten het risico op phishing en accountmisbruik. Onderzoek toont dat 60% van de initiële toegang bij cyberaanvallen in de zorg via phishing verloopt.
Wisselende toegangspatronen. Artsen, verpleegkundigen, stagiairs, externe specialisten en onderhoudstechnici hebben allemaal verschillende toegangsniveaus nodig, vaak op wisselende tijdstippen. Zonder geautomatiseerd identiteits- en toegangsbeheer ontstaan er onvermijdelijk gaten.
Recente cyberaanvallen op zorginstellingen: lessen voor België
De impact van cyberaanvallen op zorginstellingen is geen theoretisch risico. Recente incidenten in België en Europa tonen de directe gevolgen voor patiëntveiligheid.
Op 13 januari 2026 trof ransomware het AZ Monica in Antwerpen. De IT-afdeling detecteerde het probleem om 06:30 uur en besloot alle servers preventief uit te schakelen om verdere verspreiding te voorkomen. Het gevolg: meer dan 70 chirurgische ingrepen geannuleerd, zeven kritieke patiënten overgebracht naar andere ziekenhuizen, en de MUG- en PIT-diensten tijdelijk overgenomen door naburige ziekenhuizen. Elektronische patiëntendossiers en medische beeldvorming waren dagen onbereikbaar. Het herstel nam weken in beslag; drie weken na de aanval kregen medewerkers pas weer toegang tot de patiëntendossiers.
Het AZ Monica staat niet alleen. In november 2023 werd CHC Montlégia in Luik getroffen door een aanval waarvan het herstel meer dan vier maanden duurde. In maart 2024 lekten de medische gegevens van 50.000 Belgen via het platform Medicheck. En in april 2026 trof ransomware softwareleverancier ChipSoft, waardoor meerdere ziekenhuizen hun patiëntenportalen offline moesten halen. Dit laatste incident illustreert een belangrijk punt: ook een aanval op uw softwareleverancier kan uw zorgverlening direct raken.
Op Europees niveau bevestigen de ENISA-rapporten dat de gezondheidszorg al vier opeenvolgende jaren de meest getroffen sector is. Ransomware domineert met 54% van alle incidenten, waarbij in 43% van de gevallen ook effectief data wordt gestolen (double extortion). De mediane kosten van een groot beveiligingsincident in de zorg worden geschat op €300.000, maar kunnen voor grote ziekenhuizen oplopen tot €5 miljoen.
De les is helder: een cyberaanval op een ziekenhuis is geen IT-probleem. Het is een patiëntveiligheidsprobleem. Wanneer het elektronisch patiëntendossier onbereikbaar is, missen artsen cruciale informatie over medicatie, allergieën en voorgeschiedenis. Dat leidt tot vertragingen, fouten en in het ergste geval tot schade aan patiënten. Meer over hoe u reageert wanneer het toch misgaat, leest u in ons artikel over de eerste 7 stappen bij een cyberaanval.
NIS2 en GDPR in de zorg: de dubbele meldplicht bij een datalek
Zorginstellingen die te maken krijgen met een incident waarbij patiëntgegevens betrokken zijn, vallen onder twee meldingsregimes tegelijk. Dat maakt de juridische complexiteit in de zorg groter dan in vrijwel elke andere sector.
Onder de GDPR moet u een datalek binnen 72 uur melden bij de Gegevensbeschermingsautoriteit (GBA). Onder NIS2 geldt een nog strakkere deadline: een early warning binnen 24 uur bij het CCB, gevolgd door een volledige melding binnen 72 uur en een eindrapport binnen één maand. Beide meldingen lopen via verschillende kanalen en hebben een ander perspectief. De GDPR focust op de bescherming van privacy en rechten van betrokkenen. NIS2 richt zich op de bescherming van de dienstverlening en infrastructuur.
In de praktijk betekent dit dat uw DPO (Data Protection Officer) en uw CISO of NIS2-verantwoordelijke bij elk incident tegelijk in actie moeten komen. Patiëntgegevens zijn bovendien “bijzondere persoonsgegevens” onder artikel 9 van de GDPR. Dat maakt de meldplicht strenger en de potentiële boetes hoger: tot €20 miljoen of 4% van de wereldwijde omzet onder de GDPR, bovenop de NIS2-sancties.
Een bijkomend aandachtspunt in de zorg betreft bewaartermijnen. Medische dossiers moeten in België 30 tot 50 jaar bewaard worden na het laatste patiëntencontact. Die wettelijke bewaarplicht prevaleert boven het GDPR-recht op vergetelheid, maar stelt enorme eisen aan de langetermijnbeveiliging van digitale archieven. Dertig jaar aan patiëntdata beschermen vergt een structurele aanpak, geen eenmalige investering.
Concrete beveiligingsmaatregelen voor zorginstellingen
Het CyberFundamentals (CyFun) framework biedt de structuur om NIS2-verplichtingen concreet in te vullen. Voor ziekenhuizen als essentiële entiteiten is het niveau Essential relevant, met 140 tot 200 controles. De maatregelen laten zich vertalen naar vijf prioriteiten die specifiek voor de zorgsector gelden.
Netwerksegmentatie van medische apparatuur. Medische IoT-apparaten (infuuspompen, beademingsmachines, imaging-systemen) moeten geïsoleerd zijn van het kantoornetwerk en het gasten-wifi. Dit voorkomt dat een besmette laptop van een bezoeker of medewerker kan communiceren met kritieke medische apparatuur. Netwerksegmentatie is de meest effectieve maatregel om laterale beweging van aanvallers te beperken, zoals het AZ Monica-incident pijnlijk illustreerde.
Identiteits- en toegangsbeheer op maat van de zorg. De diversiteit aan gebruikers in een ziekenhuis (artsen, verpleegkundigen, stagiairs, externe technici) vereist geautomatiseerd gebruikersbeheer op basis van het “least privilege” principe. Multifactor-authenticatie (MFA) moet actief zijn op alle externe verbindingen en toegang tot kritieke systemen. De CCB-richtlijn n° 1/2025 stelt dit expliciet verplicht.
Immutable back-ups. Back-ups moeten onafhankelijk van het primaire netwerk worden bewaard en beschermd tegen wijziging. Dit is de enige effectieve garantie op herstel na ransomware. Organisaties met geteste, offline back-ups zijn aanzienlijk minder geneigd om losgeld te betalen en herstellen sneller. Meer over de kosten en impact van ransomware leest u in ons artikel over ransomware-kosten voor KMO’s.
Awareness training op maat van zorgpersoneel. Standaard phishing-trainingen volstaan niet in een zorgomgeving. Trainingen moeten kort, relevant en afgestemd zijn op de dagelijkse praktijk: hoe herkent u een verdachte spoedaanvraag? Wat doet u wanneer u een verdacht bericht ontvangt terwijl u bij een patiënt staat? De frequentie moet maandelijks zijn, niet jaarlijks.
Incident response plan met klinische component. Een draaiboek voor digitale crisissituaties is verplicht onder NIS2. In de zorg moet dat plan verder gaan dan IT-herstel: het moet ook evacuatieprocedures bij IT-uitval bevatten, afspraken met naburige ziekenhuizen voor patiëntoverdracht, en een communicatieprotocol voor patiënten en personeel. Regelmatige simulaties zijn essentieel.
VLAIO-subsidies en federale budgetten voor cybersecurity in de zorg
De financiële drempel voor NIS2-compliance is lager dan veel zorginstellingen denken. Zowel de federale als de Vlaamse overheid voorzien in substantiële ondersteuning.
Federale ziekenhuisbudgetten. De FOD Volksgezondheid voorziet vanaf 2025 een structureel jaarlijks budget van €15,6 miljoen voor cyberweerbaarheid in ziekenhuizen. Daarvan gaat 80% naar instellingsspecifieke projecten (risk assessments, netwerkbeveiliging, identiteitsbeheer) en 15% naar sectorbrede initiatieven. In 2024 werd bovendien een eenmalig bedrag van €39,5 miljoen verdeeld onder de ziekenhuizen om de eerste stap naar NIS2-conformiteit te faciliteren.
VLAIO-subsidies voor KMO’s en VZW’s. Apotheken, laboratoria en thuiszorgorganisaties die als KMO of VZW zijn gestructureerd, kunnen een beroep doen op de VLAIO cybersecurity verbetertrajecten: 50% subsidie op externe expertise voor KMO’s en maatwerkbedrijven (waaronder VZW’s). Grotere ondernemingen die onder NIS2 vallen, krijgen 35% tussenkomst. De pakketten variëren van €7.100 tot €39.900.
Sinds 1 februari 2026 is de VLAIO KMO-portefeuille exclusief voorbehouden voor cybersecurity-advies. Kleine ondernemingen krijgen 45% terug, middelgrote 35%, met een jaarlijks plafond van €7.500. Een cybersecurity audit van €5.000 kost na subsidie dus slechts €2.750 voor een kleine zorgorganisatie.
Investeringsaftrek. Bedrijven kunnen 10% tot 40% van hun investeringen in digitale beveiligingssystemen aftrekken van hun belastbare winst.
De boodschap is helder: wacht niet tot de budgetten op zijn. De combinatie van federale middelen en Vlaamse subsidies maakt het mogelijk om nu te investeren in een structurele aanpak, in plaats van straks te betalen voor de gevolgen van een incident.
Veelgestelde vragen over cybersecurity in de zorgsector
Valt mijn zorginstelling onder NIS2?
Ziekenhuizen met meer dan 250 medewerkers vallen als essentiële entiteit onder de strengste NIS2-verplichtingen. Apotheekgroepen, thuiszorgorganisaties en woonzorgcentra met meer dan 50 medewerkers of meer dan €10 miljoen omzet vallen als belangrijke entiteit in scope. Kleinere praktijken worden indirect geraakt via toeleveringsketeneisen.
Wat is de deadline voor de NIS2-conformiteitsbeoordeling voor ziekenhuizen?
Essentiële entiteiten, waaronder de meeste ziekenhuizen, moeten uiterlijk 18 april 2026 een eerste conformiteitsbeoordeling voorleggen (CyFun Basic of Important niveau). Volledige certificering op het doelniveau moet afgerond zijn tegen 18 april 2027. Meer over dit proces leest u in ons artikel over de NIS2 conformiteitsbeoordeling.
Moet ik bij een datalek zowel de GBA als het CCB verwittigen?
Ja, bij een incident met patiëntgegevens gelden twee meldregimes tegelijk. Onder de GDPR meldt u binnen 72 uur bij de GBA. Onder NIS2 stuurt u een early warning binnen 24 uur naar het CCB, gevolgd door een volledige melding binnen 72 uur en een eindrapport binnen één maand.
Welke subsidies bestaan er voor cybersecurity in de zorgsector?
Ziekenhuizen ontvangen federale budgetten via de FOD Volksgezondheid (€15,6 miljoen structureel per jaar). Kleinere zorgorganisaties kunnen een beroep doen op VLAIO-verbetertrajecten (50% subsidie) en de KMO-portefeuille (45% subsidie op cybersecurity-advies). Daarnaast bestaat er een investeringsaftrek van 10% tot 40%.
Hoe bescherm ik medische apparatuur die niet gepatcht kan worden?
Netwerksegmentatie is de belangrijkste maatregel: isoleer medische IoT-apparaten in een apart netwerksegment dat gescheiden is van kantoor- en gastennetwerken. Combineer dit met monitoring op afwijkend netwerkverkeer en strikte toegangscontrole voor onderhoudstechnici.
Hoe begin ik concreet met NIS2-compliance in mijn zorginstelling?
Start met een cybersecurity audit om uw huidige beveiligingsniveau in kaart te brengen. Dit levert een concrete gap-analyse en roadmap op. Van daaruit kiest u het juiste kader (CyFun of ISO 27001) en werkt u gericht aan de prioriteiten. Cyberplan voert audits en pentests uit die rekening houden met de 24/7 beschikbaarheid en de specifieke systeemarchitectuur van zorginstellingen.
Wilt u weten waar uw zorginstelling staat op het vlak van cybersecurity? Cyberplan combineert technische diepgang met begrip voor de zorgcontext. Van security audits tot pentests op medische netwerken: wij houden rekening met de 24/7 beschikbaarheid en de gevoeligheid van patiëntdata. Plan een vrijblijvend kennismakingsgesprek en ontdek hoe u patiëntdata en bedrijfscontinuïteit structureel beschermt.
