'Hele zorgsysteem op losse schroeven'

"De situatie van de Belgische ziekenhuizen op het gebied van cyberveiligheid is kritiek. Zonder toereikende financiering zal ons zorgsysteem overgeleverd blijven aan hackers, met alle gevolgen vandien."

...

Die noodkreet valt te horen bij het Waalse Santhea, nadat de zorgintercommunale Vivalia onlangs ten prooi viel aan informaticapiraten. Santhea verwijst daarbij naar de Europese richtlijn Network and Information System Security (NIS) uit 2016. Die heeft tot doel om een hoog, gemeenschappelijk niveau van cyberbeveiliging voor netwerken en informatiesystemen in de Europese Unie te waarborgen. Deze richtlijn, die pas in 2019 in Belgisch recht werd omgezet, legt uitbaters van essentiële diensten - die door elke nationale sectorautoriteit als zodanig worden aangeduid - een reeks verplichtingen op om een systeem voor informatiebeveiliging in te voeren dat gebaseerd is op de ISO 27001/27002-normen. "Als sectorale overheid werd de FOD Volksgezondheid verondersteld de eerste essentiële diensten te identificeren tegen 3 november 2019. Dat is echter niet gebeurd, waardoor de tekst geen effect sorteert in de zorgsector. Een fout die niet aan de aandacht van de Europese Commissie is ontsnapt: die wees er immers op 30 oktober 2020 al op, naast andere tekortkomingen van ons land bij de naleving van de NIS-richtlijn." Santhea stelt dat het al tevergeefs heeft geprobeerd om deze kwestie bij de FOD Volksgezondheid aan te kaarten. De koepel pleit ervoor om ziekenhuizen te erkennen als essentiële diensten, en om hen een subsidie toe te kennen die in verhouding staat tot dat statuut op het vlak van cyberveiligheid. "Ondanks de gezondheidscrisis die we hebben doorgemaakt, en die eens te meer heeft aangetoond hoe essentieel zorginstellingen zijn voor de goede werking van ons land, verwijst de FOD naar het bestaan van ziekenhuisnoodplannen, accreditatieprocessen en ISO 27001/27002-normen om haar standpunt te rechtvaardigen. Laten we onszelf echter niet voor de gek houden: in werkelijkheid zijn die noodplannen geen maatregelen om op aanvallen te anticiperen en de beveiliging te versterken; Canadese/Amerikaanse accreditaties hebben geen betrekking op IT-beveiliging; en slechts zeer weinig ziekenhuizen zijn momenteel geaccrediteerd volgens de bovengenoemde ISO-normen." Gezien de talrijke cyberaanvallen die de sector onlangs te verduren kreeg, is het voor Santhea essentieel en onontbeerlijk om de NIS-richtlijn in de zorgsector toe te passen. Daarnaast is een jaarlijks structureel budget vereist voor de uitvoering van deze regelgeving. Globaal dringt een kwalitatief hoogstaand cyberbeveiligingsbeleid binnen de zorginstellingen zich op. Santhea vraagt de overheid om deze kwestie met spoed aan te pakken, voordat het eerste Belgische sterfgeval ten gevolge van een cyberaanval zich voordoet, zoals al gebeurde in het universiteitsziekenhuis van Düsseldorf in september 2020.