Zorgaanbieders opgelet: bereid je nú voor op het toezicht van de AP!

    - - / 29 December 2025

    De Autoriteit Persoonsgegevens (AP) zal de komende maanden steekproefsgewijs zorgaanbieders controleren op de beveiliging van hun data en de correcte omgang met gegevens. Deze controles sluiten aan bij een recente aankondiging van de minister van Volksgezondheid, Welzijn en Sport (VWS). Zorgaanbieders worden namelijk opgeroepen om de naleving van de wettelijke kaders op het gebied van databeveiliging te verbeteren en het beveiligingsbewustzijn onder medewerkers te versterken.

    Dit toezicht van de AP is niet vrijblijvend. De AP kan namelijk handhavend optreden zonder dat zich een concreet datalek of beveiligingsincident heeft voorgedaan, bijvoorbeeld wanneer informatiebeveiligingsmaatregelen onvoldoende zijn ingericht. Voor zorgaanbieders brengt dit met zich mee dat zij op dit moment kritisch moeten beoordelen hoe de informatiebeveiliging binnen hun organisatie feitelijk is ingericht en functioneert.

    Databeveiliging in de zorg schiet tekort

    Dat de AP haar aandacht richt op de zorgsector is niet verrassend. Zorgaanbieders verwerken op grote schaal gezondheidsgegevens. Deze worden onder de Algemene verordening gegevensbescherming (AVG) aangemerkt als bijzondere persoonsgegevens. Voor deze gegevens gelden stengere eisen, met name op het gebied van informatiebeveiliging. Zorgaanbieders moeten passende technische en organisatorische maatregelen treffen en ook kunnen aantonen dat deze maatregelen daadwerkelijk effectief zijn.

    Toch is de zorg al jarenlang koploper op het gebied van gemelde datalekken. Ook in 2024 was dit weer het geval. Dit blijkt uit de jaarlijkse rapportage over datalekken van de AP. Een belangrijke oorzaak hiervan is de toename van cyberdreigingen. Medische gegevens hebben een hoge waarde op het dark web en maken zorgaanbieders daarmee een aantrekkelijk doelwit voor ransomeware-aanvallen en identiteitsfraude. Een recent grootschalig datalek binnen de zorgsector, waarbij gegevens van honderdduizenden patiënten in handen van cybercriminelen vielen, laat zien hoe groot de risico’s in de praktijk kunnen zijn.

    Tegelijkertijd blijkt dat een aanzienlijk deel van de datalekken niet het gevolg zijn van externe aanvallen, maar van interne ‘dreigingen’. Medewerkers spelen een essentiële rol in de omgang met persoonsgegevens. In de praktijk zijn het ook vaak medewerkers die incidenten veroorzaken als gevolg van onbevoegde of onzorgvuldige handelingen. Een recent voorbeeld uit de zorgsector, waarbij medewerkers werden ontslagen nadat zij zonder geldige reden meer dan duizend patiëntendossiers hadden ingezien, toont dit opnieuw aan.

    Waar let de AP op?

    Hoewel de AP geen vaste toetsingscriteria heeft gepubliceerd, blijkt uit de AVG, eerdere onderzoeken en handhavingsbesluiten waar de nadruk op zal komen te liggen. Hieronder zetten wij per onderwerp uiteen wat het wettelijk kader is en wat zorgaanbieders concreet kunnen doen om aan deze eisen te voldoen.

    1. Toegangsbeheer tot patiëntgegevens

    Medewerkers mogen uitsluitend toegang hebben tot patiëntgegevens voor zover dit noodzakelijk is voor de uitvoering van hun functie (need-to-know). Te ruime autorisaties, het gebruik van generieke accounts en het ontbreken van periodieke herbeoordeling van toegangsrechten vormen hierbij een belangrijk risico.

    Wat kun je doen?

    • Stel een autorisatiematrix op of actualiseer deze.
    • Controleer periodiek wie toegang heeft tot patiëntendossiers.
    • Trek onnodige rechten in, met extra aandacht voor tijdelijke functies, functiewijzgingen en uitdiensttreding.
    1. Logging

    Zorgaanbieders zijn verplicht om uitgevoerde acties in het patiëntendossier bij te houden. Het moet namelijk inzichtelijk zijn welke medewerker wanneer welke patiëntgegevens heeft geraadpleegd of gewijzigd. Ook pogingen tot ongeautoriseerde toegang moeten worden vastgelegd. Onvolledige logging of het niet periodiek controleren van logbestanden vergroot het risico op onbevoegde inzage en onopgemerkt misbruik.

    Wat kun je doen:

    • Log alle acties met betrekking tot patiëntendossiers en bewaar deze tot minimaal 5 jaar vanaf de actie in het dossier.
    • Leg vast hoe en door wie logging structureel wordt gecontroleerd.
    • Neem in een sanctiebeleid op hoe wordt omgegaan met onrechtmatige acties in dossiers.
    1. Datalekken

    De AVG verplicht organisaties om datalekken te registreren in een datalekregister en, indien nodig tijdig te melden bij de AP en/of betrokkenen. Het niet tijdig signaleren, registreren en evalueren van datalekken leidt tot een gebrek aan inzicht in structurele kwetsbaarheden. Hierdoor bestaat het risico dat vergelijkbare incidenten zich blijven voordoen.

    Wat kun je doen?

    • Houd het datalekregister actueel en registreer daarin elk (vermoedelijk) incident, inclusief de feiten, gevolgen en de corrigerende maatregelen die naar aanleiding van het incident zijn genomen.
    • Leg vast wie datalekken beoordeelt, opvolgt en meldt (zowel aan de AP als betrokkenen).
    • Zorg dat medewerkers weten hoe zij een (mogelijk) datalek herkennen en weten waar zij dit moeten melden.
    1. Bewustwording en gedragsregels van medewerkers

    De effectiviteit van informatiebeveiliging hangt samen met hoe medewerkers hiermee omgaan. Medewerkers hebben dagelijks toegang tot patiëntgegevens en spelen daarmee een sleutelrol in het beschermen van deze gegevens. Het is daarom belangrijk dat zij risico’s op het gebied van databeveiliging tijdig herkennen, kennis hebben van regels en zich bewust zijn van hun eigen verantwoordelijkheid. Zie ook ons eerdere blog hierover.

    Wat kun je doen?

    • Zorg dat medewerkers bekend zijn met de basisprincipes van informatiebeveiliging en hun eigen rol daarin.
    • Bied periodieke voorlichtingen aan, zoals e-learnings of themabijeenkomsten.
    • Leg gedragsregels vast, zoals een clean desk policy en meldplicht bij incidenten.
    • Raadpleeg de Wegwijzer van het ministerie van VWS. Deze biedt praktische ondersteuning om informatieveilig gedrag in de organisatie te bevorderen.
    1. Naleving NEN-normen

    Zorgaanbieders zijn verplicht hun informatiebeveiliging in te richten volgens de geldende NEN-normen 7510, 7512 en 7513. Hieruit vloeien ook de bovenstaande verplichtingen voort. Deze normen vertalen verplichtingen naar concrete eisen voor risicobeheersing, veilige gegevensuitwisseling en logging van toegang tot patiëntdossiers. Door volgens deze normen te werken, tonen zorgorganisaties aan dat hun beveiligingsmaatregelen passend en controleerbaar zijn. De PDCA-cyclus (Plan-Do-Check-Act) helpt zorgaanbieders om de NEN-normen structureel na te leven. Deze wordt hieronder toegelicht.

    Wat kun je doen?

    • Plan: voer een nulmeting uit om de huidige stand van zaken te bepalen en stel op basis daarvan een informatiebeveiligingsbeleid op. Voer vervolgens een risicoanalyse uit en stel aan de hand daarvan passende beveiligingsmaatregelen vast, waarbij duidelijk wordt vastgelegd wie waarvoor verantwoordelijk is.
    • Do: implementeer de technische en organisatorische maatregelen en richt systemen en processen in volgens het opgestelde informatiebeveiligingsbeleid. Instrueer medewerkers over hun verantwoordelijkheid en zorg dat zij weten hoe zij veilig met de gegevens moeten omgaan.
    • Check: toets periodiek of de beveiligingsmaatregelen passend en effectief zijn, onder meer via een interne audit, incidentenregistraties en evaluaties.
    • Act: gebruik de uitkomst van de bovenstaande bevindingen om het beleid bij te stellen en te verbeteren.
    • Ben je NEN-gecertificeerd? Zorg dan voor een juiste en volledige documentatie van je certificering.

    Dawn Raid-beleid en risico’s

    Wil je goed voorbereid zijn op een mogelijke controle? Zorg dan dat je minimaal een helder Dawn Raid-beleid en bijbehorende procedure hebt klaarliggen, zodat je weet wat te doen als de toezichthouder onverwacht voor de deur staat. De Dawn Raid-procedure beschrijft namelijk hoe je als organisatie moet handelen bij een onverwacht bezoek van een toezichthouder, zoals wie geïnformeerd moet worden, wat wel en niet gedeeld mag worden, en hoe je het bezoek zorgvuldig documenteert.

    Deze voorbereiding is essentieel. Wanneer de AP namelijk een overtreding van de databeveiligingsvereisten vaststelt, kan zij handhavend optreden. Voor zorgaanbieders betekent dit een concreet risico op een bestuurlijke boete, een last onder dwangsom, verwerkingsverbod, berisping of een waarschuwing.

    Zorgaanbieders, aan de slag!

    Het aangescherpte toezicht van de AP laat het belang van goede databeveiliging in de zorg zien. Zorgaanbieders kunnen niet volstaan met enkel beleid op papier, de toepassing in de praktijk is net zo belangrijk. Gebruik dit moment om kritisch door je organisatie heen te lopen: zijn risico’s recent beoordeeld, zijn de beheersmaatregelen nog passend, en weten medewerkers wat er van hen wordt verwacht? Om goed voorbereid te zijn op toekomstige controles is het ook verstandig om een Dawn Raid-beleid te hebben. Door nu te handelen, verklein je de kans op incidenten en sancties.

    Wil je jouw organisatie voorbereiden op het aangekondigde toezicht van de AP? Schrijf je dan in voor ons webinar ''Privacy & Security in de zorg: is jouw zorginstelling voorbereid op toezicht van de AP?'' op 22 januari 2026.

    Inschrijven webinar
    Terug naar overzicht

    Bisma Ul Husan

    Legal Counsel
    Lees meer
    CTA - Zorg & ICT

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram