NIS2 in de gezondheidszorg: juridische en medicolegale gevolgen voor (directies van) Belgische ziekenhuizen

Inleiding

Met de NIS2-richtlijn (Richtlijn (EU) 2022/2555) heeft de EU de lat voor cyberweerbaarheid in vitale sectoren aanzienlijk hoger gelegd. België heeft NIS2 omgezet via de NIS2-wet van 26 april 2024 (gepubliceerd op 17 mei 2024) en aanvullend koninklijk besluit van 25 juni 2024. Voor ziekenhuizen is dit geen IT-vraagstuk meer, maar een bestuurs- en aansprakelijkheidsdossier met directe impact op patiëntveiligheid, continuïteit van zorg en bestuursverantwoordelijkheid. 

Hieronder probeer ik een en ander op een rij te zetten. Vooral naar aanleiding van enkele gesprekken met IT security experten. Uiteraard is dit slechts een eenvoudige weergave van een complex probleeem.

Reikwijdte: vallen ziekenhuizen onder NIS2?

In NIS2 staan “healthcare providers” (waaronder ziekenhuizen en privéklinieken) expliciet vermeld als sector met hoge criticiteit (Annex I, “Health”). In België worden grote entiteiten in Annex I als essentieel aangemerkt; middelgrote entiteiten in Annex I gelden als belangrijk. Bovendien kan de CCB entiteiten, ongeacht hun omvang, identificeren als NIS2-entiteit (bv. unieke zorgverstrekker in een regio). Concreet: vrijwel alle Belgische ziekenhuizen vallen binnen scope; de meeste zullen essentiële entiteiten zijn.

Kernverplichtingen (juridisch-technisch)

1) Risicobeheermaatregelen

Ziekenhuizen moeten “passende en evenredige technische, operationele en organisatorische maatregelen” nemen (art. 21 NIS2). De richtlijn noemt o.a.: incidentafhandeling; bedrijfscontinuïteit (back-ups, disaster recovery, crisismanagement); supply-chain-beveiliging; veilige ontwikkeling en onderhoud; kwetsbaarhedenbeheer en disclosure; beleid en procedures; testen en auditing; cryptografie en encryptie; toegangsbeheer en multi-factor authenticatie; beveiligde communicatie. Deze lijst fungeert feitelijk als minimum-norm voor de sector.

 2) Meldplichten bij incidenten

Ziekenhuizen moeten significante incidenten “onverwijld” melden aan het nationaal Computer Security Incident Response Team (CSIRT) met: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur (met initiële beoordeling) en eindrapport binnen één maand. Het Belgische recht bevestigt deze termijnen en procedure.

 3) Toezicht en conformiteit

België heeft de Centre for Cybersecurity Belgium (CCB) als nationale autoriteit en het nationaal CSIRT aangeduid. Het koninklijk besluit van 25 juni 2024 bekrachtigt dat en voorziet in (regelmatige) conformiteitsbeoordeling: voor essentiële entiteiten is die periodiek en verplicht (via een conformiteitsbeoordelingsinstantie of CCB-inspectie); belangrijke entiteiten krijgen ex-post toezicht. Het CCB biedt hiervoor het Belgisch CyberFundamentals-kader (CyFun) en een registratieportaal (Safeonweb\@work).

Bestuursaansprakelijkheid en sancties (directie-impact)

NIS2 legt expliciet verantwoordelijkheid bij het bestuursorgaan: de directie moet de risicobeheermaatregelen goedkeuren, toezicht houden op de uitvoering én volgt verplichte opleiding; ze kan aansprakelijk worden gehouden voor inbreuken op art. 21. De Belgische NIS2-wet neemt dit over (art. 31).

Voor niet-naleving voorziet NIS2 (en de Belgische wet) aanzienlijke administratieve geldboetes:

  • Essentiële entiteit (bv. ziekenhuis): tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag).
  • Belangrijke entiteit: tot €7 miljoen of 1,4%.

België preciseert bovendien dat bij herhaling de boete kan worden verdubbeld en dat er bestuurlijke maatregelen mogelijk zijn zoals het tijdelijk verbieden dat een CEO/wettelijke vertegenwoordiger een leidinggevende functie uitoefent tot de tekortkomingen zijn verholpen (art. 59–61 NIS2-wet).

De Belgische wet voorkomt “dubbele bestraffing” met de GBA/APD voor dezelfde gedraging (geen tweede boete door CCB indien de toezichthouder gegevensbescherming al heeft beboet), al blijven alternatieve sancties mogelijk.

Medicolegale consequenties voor ziekenhuizen

1) Patiëntenrechten en beroepsgeheim

Een cyberincident dat vertrouwelijkheid of toegankelijkheid van dossiers aantast, raakt het recht op privacy en het zorgvuldig bijgehouden en veilig bewaarde patiëntendossier onder de Wet betreffende de rechten van de patiënt (22 augustus 2002). Schending kan leiden tot klachten, schadeclaims en/of tuchtrechtelijke gevolgen voor beroepsbeoefenaars én aansprakelijkheid voor het ziekenhuis als instelling.

2) Parallelle meldplicht onder GDPR

Wanneer een incident een inbreuk in verband met persoonsgegevens vormt, geldt de GDPR-meldplicht aan de Gegevensbeschermingsautoriteit “zonder onredelijke vertraging” en uiterlijk binnen 72 uur (art. 33 GDPR). In de praktijk betekent dit twee sporen: NIS2-melding aan CSIRT en GDPR-melding aan de GBA/APD (en mogelijk mededeling aan betrokken patiënten bij hoog risico). De Belgische NIS2-wet verplicht de autoriteiten bovendien tot nauwe samenwerking bij gegevenslekken.

3) Continuïteit van zorg en civielrechtelijke aansprakelijkheid

NIS2 maakt bedrijfscontinuïteit en crisismanagement expliciet verplicht. Een aanval die de zorg verstoort (bv. uitval operaties/beeldvorming) kan, bij onvoldoende voorzorgsmaatregelen, civiele aansprakelijkheid doen ontstaan wegens zorgvuldigheidschending of contractuele wanprestatie tegenover patiënten (afhankelijk van de rechtsverhouding). Dat risico vergroot wanneer verplichtingen uit NIS2 (back-ups, noodprocedures, MFA, leveranciersbeheersing) niet aantoonbaar zijn nageleefd.

Praktische consequenties voor de directie (governance en compliance)

1. Scope & registratie

Bepaal formeel of uw entiteit “essentieel” of “belangrijk” is (Annex I/II + omvangscriteria) en registreer via Safeonweb\@work; België moet tegen 17 april 2025 lijsten opstellen en actualiseren. 

2. Bestuurlijke verankering

Wijs verantwoordelijkheden toe (raad van bestuur, directie, CISO), keur maatregelen goed, documenteer toezicht en volg verplichte opleiding (art. 31 NIS2-wet).

3. Normatief kader kiezen

Gebruik CyFun (Belgisch CyberFundamentals-kader) als referentie of ISO-/EN-normen; essentiële entiteiten doorlopen periodieke conformiteitsbeoordeling. 

4. Supply-chain-beheer

Heronderhandel contracten met IT-leveranciers (MFA, patching, logging, SBOM/vuln-disclosure, RTO/RPO, auditrechten, incident-SLA’s). NIS2 legt nadruk op leveranciersrisico’s.

5. Incidentrespons & meldketens

Koppel NIS2-meldpad (24 u/72 u/1 mnd) aan GDPR-proces (72 u). Test dit via table-tops en integreer met crisiscommunicatie (ook naar patiënten, waar nodig).

6. Continuïteit van zorg

Leg minimaal vast: netwerksegmentatie OT/IT, offline back-ups, fallback-procedures (papieren orders, downtime-formulieren), noodsamenwerkingen binnen het loco-regionaal ziekenhuisnetwerk, en escalatie naar CSIRT/CCB. 

7. Opleiding & cultuur

Directie en medische staf: phishing-weerbaarheid, rol-gebaseerde training, awareness over meldplichten en patiëntenrechten (privacy). ([Gezondheidsdienst België][4])

Tot slot

NIS2 verankert cyberbeveiliging als kerntaak van de ziekenhuisleiding. Voor Belgische ziekenhuizen betekent dit juridisch afdwingbare risicobeheermaatregelen, strikte meldtermijnen, actief toezicht door de CCB (met verplichte conformiteitsbeoordelingen voor essentiële entiteiten) en zware sancties bij niet-naleving. Medicolegaal raken cyberincidenten rechtstreeks aan patiëntenrechten (privacy, toegang, continuïteit) en kunnen ze aanleiding geven tot aansprakelijkheid. Wie NIS2 bestuurlijk op orde brengt, supply-chain beheerst en continuïteit van zorgverlening aantoonbaar kan waarborgen, verkleint zowel het zorg- als rechtsrisico - en verhoogt tegelijk de veerkracht van het ziekenhuis.

Bronnen (selectie)

  • Richtlijn (EU) 2022/2555 (NIS2) – tekst, Annex I (Health), art. 21 (maatregelen), art. 23 (melding), art. 31/32 (governance/sancties). 
  • NIS2-wet België (Wet van 26 april 2024, BS 17/05/2024): identificatie/omvang, incidentmelding (24 u/72 u/1 mnd), toezicht, sancties, bestuurdersaansprakelijkheid
  • KB van 25 juni 2024 (CCB als bevoegde autoriteit; conformiteitsbeoordeling voor essentiële entiteiten). 
  • CCB/Safeonweb\@work – NIS2-portaal, FAQ, CyberFundamentals (CyFun) en toolbox.
  • Wet betreffende de rechten van de patiënt (22 aug. 2002) – privacy/dossier/kwaliteit van zorg.
  • GDPR art. 33 en EDPB-richtsnoeren – 72-uurs datalekmelding (parallel aan NIS2-pad).

Verdere documentatie

DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022

Adoption of the NIS2 Royal Decree (CCB Safeonweb)

CyberFundamentals Framework (CCB Safeonweb)

Wet van 22 augustus 2002 betreffende de rechten van de patiënt, gewijzigd door de wet van 6 februari (B.S.23-02-2024)

GDPR - REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016

Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023

NIS2 (CCB Safeonweb)

Popular posts from this blog

Het Budget Financiële Middelen (BFM) budgettair type A (Acuut)

Image
 Het Budget Financiële Middelen (BFM) vormt een belangrijk onderdeel van de financiering van de Belgische ziekenhuizen. De grafiek toont de evolutie van het Budget Financiële Middelen (BFM) voor de Belgische ziekenhuizen op 1 juli per onderdeel voor budgettair type A  (Acuut) (Bron FOD VVVL). Het BFM bestaat uit de volgende onderdelen: A: A1 : de investeringslasten A2 : de korte termijn kredietlasten A3 : investeringslasten van medisch-technische diensten. B: B1 : de kosten voor de gemeenschappelijke diensten; B2 : de kosten voor de klinische diensten B3 : de werkingskosten voor medisch-technische diensten; B4 : de kosten die gedekt worden door het bijzonder bedrag voorzien in artikel 99 van de wet op de ziekenhuizen evenals de kosten die op een forfaitaire wijze worden gedekt; B5 : kosten voor de werking van de ziekenhuisapotheek B6 : de kosten voortvloeiend uit de aanvullende voordelen, waarin voorzien wordt door de sociale akkoorden van 4 juli 1991, 22 november 1991, 1 maar...
Read more

Belgische S2-centra voor acute beroertezorg met invasieve procedures

Image
 Een beroerte (stroke) maakt deel uit van het  zogenaamde "First Hour Quintet" (FHQ) (severe trauma, respiratory failure, stroke, acute coronary syndrome, cardiac arrest) waarvan bekend is dat de evolutie en outcome sterk afhankelijk zijn van een tijdige medische interventie. Onder een tijdige interventie wordt begrepen een interventie binnen het uur na het optreden van de symptomen.  Jaarlijks worden ongeveer 25.000 Belgen door een beroerte getroffen. De kans op een goede uitkomst wordt in eerste instantie bepaald door de snelle toegang tot een acute (intraveneuze) beroertebehandeling (S1-centra). Sommige van deze patiënten dienen evenwel een mechanische verwijdering van een trombus te krijgen (trombectomie). Dat is een zeer gespecialiseerde invasieve behandeling die voortaan in gespecialiseerde centra wordt ondergebracht met erkenning voor het zorgprogramma voor acute beroertezorg met invasieve procedures (S2-centra). Het aantal patiënten met een beroerte dat voor een m...
Read more

Hervorming van de Belgische ziekenhuisfinanciering - struikelblokken & mogelijke hervormingsscenario's en hun voor- en nadelen

Inleiding De hervorming van de Belgische ziekenhuisfinanciering is al decennia onderwerp van debat. Hoewel de noodzaak tot hervorming breed wordt erkend -o.a. omwille van toenemende zorgkosten, vergrijzing en ongelijkheden - zijn er verschillende structurele en politieke obstakels die echte verandering bemoeilijken. De belangrijkste struikelblokken zijn: Complex institutioneel landschap België is een federale staat met bevoegdheden die onevenwichtig verspreid zijn over: Federale overheid (o.a. ziekenhuisfinanciering, RIZIV) Gemeenschappen en gewesten (o.a. preventie, infrastructuur) Deze versnippering leidt tot: Gebrekkige beleidscoördinatie (initiatieven, implementatie en organisatie) Trage besluitvorming Conflicten tussen bevoegdheidsniveaus (geen hiërarchie in bevoegdheden) Structurele versnippering: De financiering en bevoegdheden zijn verdeeld over het federale en regionale niveau (6e staatshervorming), wat hervormingen politiek complex maakt. Ziekenhuizen worden g...
Read more