Het nieuwste rapport van IO over de staat van informatiebeveiliging schetst een beeld van een zorgsector die onder aanhoudende druk staat. Organisaties zijn verantwoordelijk voor de bescherming van zeer gevoelige gegevens, het garanderen van continue beschikbaarheid van diensten en de coördinatie binnen complexe ecosystemen op klinisch, operationeel en leveranciersgebied. Wanneer beveiligingsmaatregelen falen, reiken de gevolgen verder dan financieel verlies en komen ze ook de patiëntveiligheid, de continuïteit van de dienstverlening en het publieke vertrouwen in gevaar.

De bevindingen uit het rapport van dit jaar laten zien dat leiders op het gebied van beveiliging in de gezondheidszorg worstelen met een evenwicht tussen toenemende regelgeving, aanhoudende personeels- en budgetbeperkingen en een groeiende afhankelijkheid van derden. Hoewel AI-gestuurde dreigingen duidelijk opduiken, suggereren de gegevens dat de belangrijkste uitdagingen voor de sector structureler van aard zijn: veerkracht, governance, personeelscapaciteit en de moeilijkheid om beveiliging en compliance op te schalen in complexe omgevingen.

Onze respondenten bestonden uit senior leiders op het gebied van cyber- en informatiebeveiliging binnen de Britse en Amerikaanse gezondheidszorgsector. Hun antwoorden onthullen waar risico's zich concentreren, hoe incidenten zich manifesteren en wat de prioriteiten voor het komende jaar bepaalt.

Hieronder bespreken we 11 belangrijke statistieken uit het rapport van dit jaar die elke zorgmanager zou moeten begrijpen.

 

Belangrijke statistieken over informatiebeveiliging in de gezondheidszorgsector

  1. 67% zegt dat de aard van de gezondheidszorgsector het bijzonder lastig maakt om effectieve informatiebeveiligingsmaatregelen te implementeren.
  2. 77% zegt dat de snelheid en omvang van de wetswijzigingen het steeds moeilijker maken om te voldoen aan de normen voor informatiebeveiliging.
  3. Budgetbeperkingen worden het meest genoemd als de grootste uitdaging en treffen 51% van de organisaties, op de voet gevolgd door een tekort aan expertise op het gebied van informatiebeveiliging (47%).
  4. 32% van de medewerkers binnen informatiebeveiligings- en compliance-teams meldt een burn-out, terwijl 32% ook te kampen heeft met personeelsverloop en het behoud van personeel.
  5. Slechts 8% zegt de afgelopen 12 maanden geen cyberbeveiligingsincidenten te hebben meegemaakt.
  6. 55% is het afgelopen jaar getroffen door een beveiligingsincident bij een derde partij of in de toeleveringsketen, waarvan 20% meerdere keren.
  7. Datalekken komen nog steeds veel voor: 37% meldt datalekken, waarbij werknemersgegevens (30%), partnergegevens (28%) en financiële gegevens (27%) het vaakst worden gecompromitteerd.
  8. 45% zegt dat het senior management informatiebeveiligingscompliance nog steeds als een bijzaak beschouwt, ondanks dat 83% een duidelijke beveiligingsstrategie rapporteert en 85% de verantwoordelijkheid op bestuursniveau ondersteunt.
  9. 40% noemt een gebrek aan bewustzijn bij werknemers als een belangrijke beveiligingsuitdaging, waarbij veelvoorkomende fouten onder meer het gebruik van openbare wifi (40%) en het klikken op verdachte links (35%) zijn.
  10. Tijdsbesparing door efficiëntere beveiligingsprocessen is de belangrijkste gerapporteerde ROI van compliance, volgens 47% van de organisaties.
  11. 95% heeft er vertrouwen in dat ze adequaat kunnen reageren op een groot cyberbeveiligingsincident, en 68% zegt dat dit vertrouwen het afgelopen jaar is toegenomen.

Afhankelijkheid van derden en risico's in de toeleveringsketen

De afhankelijkheid van de gezondheidszorg van derden is structureel. Klinische systemen, beheerde IT, clouddiensten, specialistische software, medische apparaten en uitbestede activiteiten vergroten allemaal het risico op aanvallen. Het is dan ook niet verwonderlijk dat de helft van de respondenten (50%) het ermee eens is dat de risico's in de toeleveringsketen nu "ontelbaar en onbeheersbaar" zijn, en de incidentgegevens ondersteunen deze zorg.

In de afgelopen twaalf maanden werd 55% van de zorgorganisaties getroffen door een incident met een derde partij, waarbij één op de vijf (20%) meerdere keren werd getroffen. Wat opvalt, is de aard van de gevolgen. Incidenten met leveranciers leiden niet alleen tot extra compliance-werk; ze verstoren ook de dienstverlening. Respondenten rapporteerden het vaakst vertragingen of verstoringen in de dienstverlening (36%), verlies van belangrijke partnerschappen of contracten (36%) en tijdelijke operationele verstoringen (33%). In bijna een derde van de gevallen beëindigden organisaties de samenwerking met de leverancier volledig (30%), wat aangeeft dat vertrouwen in leveranciers steeds meer afhankelijk is van voorwaarden.

De verwachtingen van leveranciers worden navenant strenger. Zorgorganisaties eisen nu van hun partners een combinatie van sectorspecifieke en algemene raamwerken, waaronder HIPAA (35%), Cyber ​​Essentials (37%), NIST (29%), naast ISO-normen zoals 27001, 27701 en 42001 (20% elk). Specialistische normen zoals HITRUST (23%) en ISO 13485 (20%) komen ook steeds vaker voor. Slechts 3% geeft aan helemaal geen normen nodig te hebben.

De trend is duidelijk: de controle door derden verschuift van due diligence naar operationele veerkrachtcontrole, met strengere eisen, frequentere validatie en een nauwere koppeling tussen de houding van de leverancier en de continuïteitsplanning.

Een omgeving voor aanhoudende incidenten

Een andere duidelijke conclusie uit het rapport is dat zorgorganisaties opereren in een omgeving met een hoge incidentfrequentie, in plaats van dat ze te maken hebben met geïsoleerde incidenten. Slechts 8% meldt dat ze de afgelopen 12 maanden helemaal geen cyberbeveiligingsincidenten hebben gehad. Datalekken troffen 37% van de organisaties, terwijl phishing of vishing (32%), malware-infecties (27%), cloudinbreuken (25%) en netwerkinbraken (22%) veel voorkomen.

De omvang van de gecompromitteerde gegevens weerspiegelt de complexe informatiestromen in de gezondheidszorg. Werknemersgegevens werden in 30% van de organisaties gecompromitteerd, gevolgd door partnergegevens (28%), financiële gegevens (27%), onderzoeksgegevens (27%) en productgegevens (23%). Persoonsgegevens werden minder vaak gecompromitteerd (20%), maar de impact ervan is onevenredig groot.

Waar inbreuken op persoonsgegevens plaatsvonden, leidden 75% tot juridische of wettelijke boetes of kosten, en de helft (50%) tot sluiting van een bedrijf of een strategische koerswijziging. Dit benadrukt de uitzonderlijk hoge risico's van datalekken in de gezondheidszorg, waar wettelijke, reputatie- en operationele gevolgen samenkomen.

Incidenten zijn met andere woorden geen uitzonderlijke mislukkingen meer. Het zijn terugkerende operationele risico's waarmee rekening moet worden gehouden, die moeten worden opgevangen en waarvan moet worden hersteld als onderdeel van de normale dienstverlening.

Personeelscapaciteit en operationele belasting

Achter de incidentgegevens schuilt een beeld van een sector die onder aanhoudende operationele druk staat. Budgetbeperkingen treffen 51% van de zorgorganisaties en vormen daarmee de meest genoemde uitdaging. Tegelijkertijd meldt 47% een tekort aan informatiebeveiligingsvaardigheden, terwijl 32% burn-out binnen informatiebeveiligings- en compliance-teams aangeeft en 32% worstelt met personeelsverloop en -behoud.

Deze druk wordt versterkt door de structurele complexiteit. 37% noemt de wildgroei aan IT en technologie als een uitdaging, en 33% heeft moeite om te bepalen welke beveiligingsprocessen veilig geautomatiseerd kunnen worden. Naarmate het aantal tools toeneemt en de verantwoordelijkheden zich uitbreiden, worden teams steeds vaker gedwongen om gefragmenteerde workflows, overlappende dashboards en inconsistente bewijsmaterialen te beheren.

Voor zorgorganisaties die onder constante druk staan ​​om diensten te verlenen, vertaalt dit gebrek aan samenhang zich direct in risico's: hiaten in het overzicht, vertraagde reacties en een grotere afhankelijkheid van individuele expertise. Op de lange termijn is dit geen houdbaar bedrijfsmodel.

Regelgevingsdruk en nalevingsuitvoering

De complexiteit van de regelgeving was ook een van de bepalende kenmerken van het beveiligingslandschap in de gezondheidszorg, zoals blijkt uit ons rapport. 77% geeft aan dat de snelheid en omvang van de wetswijzigingen het steeds moeilijker maken om aan de regels te blijven voldoen, terwijl 39% het naleven van wet- en regelgeving als een directe operationele uitdaging beschouwt.

De bekwaamheid is ongelijk verdeeld. Slechts 27% voelt zich volledig toegerust om overlappende regelgeving en kaders zoals te beheren. GDPR, NIS 2 en HIPAA, terwijl 33% af en toe externe hulp nodig heeft. De rest meldt tekorten aan tijd, specialistische vaardigheden of ondersteuning op bestuursniveau.

Deze kloof tussen verplichting en uitvoering wordt weerspiegeld in de resultaten. 70% van de organisaties heeft het afgelopen jaar minstens één boete voor gegevensbeschermingsovertredingen ontvangen, waarbij een aanzienlijk deel te maken kreeg met boetes van zes cijfers. De gegevens tonen echter ook aan dat structuur ertoe doet. Eén op de vijf organisaties meldt geen grote problemen te ondervinden bij het naleven van de wet- en regelgeving. ISO 27001, Dit suggereert dat wanneer controles, bewijsmateriaal en beoordelingsprocessen systematisch worden uitgevoerd, naleving voorspelbaarder en minder belastend wordt.

Wanneer compliance goed wordt uitgevoerd, levert dit tastbare voordelen op. 47% noemt tijdsbesparing door efficiëntere beveiligingsprocessen, 38% verbeterde besluitvorming en 37% lagere kosten als gevolg van incidenten. Dit versterkt het argument dat wanneer organisaties compliance niet langer als verplichting zien, maar als operationele discipline, de voordelen aanzienlijk zijn.

Menselijk gedrag en ingebed risico

Het gedrag van medewerkers blijft zorgorganisaties blootstellen aan vermijdbare risico's. 40% noemt een gebrek aan bewustzijn bij medewerkers als een actuele uitdaging, en het gerapporteerde gedrag weerspiegelt deze lacune. 40% meldt dat medewerkers openbare wifi gebruiken voor hun werk, 35% klikt op verdachte links en 32% maakt zich schuldig aan ongeoorloofd gebruik van AI-tools. Zwakke wachtwoorden en onbeveiligde persoonlijke apparaten treffen elk 28% van de organisaties.

Dit gedrag is zelden het gevolg van onverschilligheid. Het weerspiegelt omgevingen waar beveiligingsprocessen gefragmenteerd, inconsistent of moeilijk te volgen zijn. Wanneer beveiligingsmaatregelen wrijving veroorzaken of de uitvoering vertragen, kiezen medewerkers voor gemakzucht.

In de gezondheidszorg, waar medewerkers vaak toegang hebben tot patiëntendossiers en gevoelige gegevens, wordt het integreren van veilig gedrag in de dagelijkse werkprocessen net zo belangrijk als formele bewustmakingstrainingen.

AI als versterker, niet als de belangrijkste beperking.

AI speelt een prominente rol in het opkomende dreigingslandschap in de gezondheidszorg. 51% noemt door AI gegenereerde misinformatie en desinformatie als een van de grootste zorgen, terwijl 47% wijst op AI-gestuurde phishing. Intern maakt 33% zich zorgen over misbruik van generatieve AI-tools en 52% is het ermee eens dat ze AI te snel hebben ingevoerd en nu moeite hebben om het op een verantwoorde manier te beheren.

Tegelijkertijd zegt 45% dat AI- en machine learning-technologieën hun mogelijkheden op het gebied van informatiebeveiliging momenteel belemmeren, en 63% is van mening dat de vooruitgang in AI de traditionele beveiligingsrollen doet vervagen.

De gegevens suggereren echter dat AI bestaande zwakheden versterkt in plaats van geheel nieuwe te creëren. Gaten in de governance, personeelstekorten, afhankelijkheid van derden en complexe regelgeving blijven de belangrijkste knelpunten. AI verhoogt de snelheid en omvang van risico's, maar vervangt niet de behoefte aan gestructureerde controles, duidelijke verantwoording en geïntegreerd toezicht.

Vertrouwen, voorbereiding en de weg vooruit

Ondanks het hoge aantal incidenten en de toenemende druk blijft het vertrouwen in de gezondheidszorg opvallend hoog. 95% zegt vertrouwen te hebben in hun vermogen om te reageren op een groot cyberbeveiligingsincident, en 68% meldt dat hun vertrouwen het afgelopen jaar is toegenomen.

Dat vertrouwen is gebaseerd op concrete mogelijkheden. Bijna de helft voert regelmatig incidentresponstests uit (47%), 49% heeft duidelijk gedefinieerde rollen tijdens incidenten en 42% beschikt over gedocumenteerde responsplannen. Velen integreren respons met bedrijfscontinuïteit en rampenherstel (33%) en vertrouwen op externe ondersteuning zoals MSSP's of juridisch adviseurs (30%).

De resterende uitdaging is consistentie. Het vertrouwen is het grootst wanneer incidentrespons wordt geoefend, scenario's met leveranciers worden meegenomen en het management actief betrokken is vóór, tijdens en na incidenten.

Uit de bevindingen van dit jaar komt één thema steeds terug: handmatige, gefragmenteerde en persoonsgebonden benaderingen bereiken hun grenzen. Zorgorganisaties die geïntegreerde, herhaalbare systemen implementeren voor het beheer van beveiliging, risico's en compliance, zowel binnen interne teams als met externe partijen, zijn het best in staat om veerkracht te behouden zonder de toch al beperkte middelen verder te belasten.

Lees het volledige rapport over de stand van zaken op het gebied van informatiebeveiliging..