Het Nederlandse zorgplatform Mitz ligt onder een vergrootglas vanwege zorgen over de veiligheid. Tegelijk waarschuwen politie en het NCSC voor meer cybercrime in de feestdagen. Dit raakt patiƫnten, zorgaanbieders en overheden, die moeten voldoen aan de AVG en NIS2. Ook de Europese AI-verordening gevolgen overheid spelen mee bij digitale zorg en beveiliging.
Mitz mist basisbeveiliging
Mitz is de landelijke voorziening waarmee mensen hun toestemming voor het delen van medische gegevens regelen. Het platform wordt beheerd in de zorgketen door VZVZ, met betrokkenheid van het ministerie van Volksgezondheid, Welzijn en Sport. Het doel is Ć©Ć©n centrale plek voor toestemmingen, zodat uitwisseling tussen huisartsen, apotheken en ziekenhuizen eenvoudiger wordt. Dat maakt processen sneller, maar brengt ook nieuwe risicoās mee.
De kern van de kritiek is dat een fout in Mitz direct grote impact kan hebben. Onjuiste of misbruikte toestemmingen kunnen leiden tot ongewenste inzage in medische dossiers. Inloggen gaat via DigiD, maar vertegenwoordiging voor ouders of mantelzorgers vraagt extra controle. Daar zijn strikte procedures en logging voor nodig, anders ontstaat ruimte voor identiteitsfraude.
Voor dit type zorg-ICT geldt: beveiliging moet aantoonbaar op orde zijn. Denk aan NEN 7510 (zorginformatieveiligheid), ISO 27001 (informatiebeveiliging) en sterke authenticatie en autorisatie. Ook moet het platform dataminimalisatie toepassen: niet meer gegevens opslaan dan nodig is. Transparantie over beveiligingsmaatregelen en onafhankelijke tests verhoogt het vertrouwen bij patiƫnten.
Gaat er toch iets mis, dan zijn de gevolgen groot. Medische gegevens vallen onder bijzondere persoonsgegevens in de AVG en vragen extra bescherming. Burgers kunnen klagen bij de Autoriteit Persoonsgegevens en zorgaanbieders lopen juridische en reputatieschade op. Een duidelijke meld- en herstelprocedure is daarom essentieel.
Risicoās voor patiĆ«nten en artsen
Een centrale toestemmingsvoorziening verlaagt de regeldruk in de spreekkamer. Artsen hoeven minder te vragen en kunnen sneller gegevens uitwisselen. Maar centralisatie maakt Mitz ook een aantrekkelijk doelwit voor criminelen. Een enkele kwetsbaarheid kan veel gebruikers raken.
Vertegenwoordiging is een gevoelig punt, vooral voor kinderen en wilsonbekwame patiƫnten. De controle of iemand rechtmatig namens een ander toestemming geeft, moet waterdicht zijn. Dat vraagt extra identificatiestappen en actuele registraties. Zonder dit kan er ongezien namens iemand anders worden gehandeld.
Helder taalgebruik is net zo belangrijk als techniek. Keuzes over delen of niet-delen moeten in B1-taal staan en met concrete voorbeelden. Gebruikers hebben baat bij directe bevestigingen en notificaties bij elke wijziging. Zo houden patiƫnten grip en merken zij sneller misbruik.
Ook toepassingen met kunstmatige intelligentie in de zorg leunen op correcte toestemmingen. Een AI-model dat data gebruikt voor ondersteuning of triage moet een aantoonbare grondslag hebben. Een complete audittrail laat zien welke data, met welke toestemming, is verwerkt. Dat verkleint juridische risicoās en maakt toezicht makkelijker.
Feestdagen vergroten cyberdreiging
Rond de feestdagen neemt online criminaliteit toe. De politie en het Nationaal Cyber Security Centrum (NCSC) waarschuwen voor meer phishing, webshopscams en ransomware. Criminelen rekenen op drukte, minder bezetting en koopstress. Organisaties doen er goed aan extra monitoring en piketdiensten in te richten.
Criminelen gebruiken steeds vaker generatieve AI, een systeem dat zelf tekst, beeld of audio kan maken. Phishingmails ogen daardoor netter en persoonlijker, en deepfake-audio kan medewerkers misleiden. Ook meertalige fraude wordt eenvoudiger door automatische vertalingen. De drempel om aanvallen te plegen daalt hierdoor.
Voor consumenten blijft basisveiligheid cruciaal: controleer webadressen, gebruik tweeĀstapsverificatie en betaal alleen via vertrouwde methoden. Bedrijven moeten patchen, offline back-ups testen en toegang beperken volgens het āleast privilegeā-principe. Een simulatie van phishing helpt medewerkers alert te blijven. Snelle melding bij incidenten beperkt vervolgschade.
Europese instellingen als Europol en ENISA signaleren bovendien grensoverschrijdende campagnes. Aanvallen stoppen niet bij landsgrenzen en raken leveranciersketens. Onder NIS2 en de AVG geldt een meldplicht bij ernstige incidenten. Internationale samenwerking met sector-CERTās is daarom belangrijk.
Europese AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) is op het moment van schrijven van kracht en treedt stapsgewijs in werking. Overheden en zorginstellingen moeten hun systemen indelen op risico en extra eisen volgen bij hoog-risico-toepassingen. Mitz zelf is geen AI-systeem, maar raakt wel aan datagovernance waarop de regels ingrijpen. Denk aan documentatie, toezicht en transparantie over het gebruik van algoritmen.
Organisaties moeten passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen.
NIS2 brengt daarbovenop strengere eisen voor essentiĆ«le en belangrijke entiteiten, waaronder veel zorgaanbieders. Denk aan risicobeheer, leveranciersĀbeoordeling en incidentmelding binnen 24 uur (early warning). Nederland werkt aan implementatie via een herziening van de Wbni. Dit vraagt ook om duidelijke afspraken met IT- en cloudleveranciers.
De AVG blijft de ruggengraat voor medische data. Voor grootschalige zorgverwerking is een DPIA verplicht om risicoās vooraf te wegen. Verwerkersovereenkomsten, dataminimalisatie en versleuteling zijn geen keus maar randvoorwaarde. De Autoriteit Persoonsgegevens houdt toezicht en kan boetes opleggen.
Voor gemeenten en rijksoverheid spelen extra taken. Zij kopen zorg- en ICT-diensten in en moeten conformiteit eisen in contracten. Ook publieke communicatie over toestemming en rechten hoort daarbij. Dat vergroot het vertrouwen in digitale publieke diensten.
Aanpak voor snelle verbetering
Begin met een actuele risicoanalyse van alle Mitz-koppelingen. Voer penetratietesten en, waar passend, red-teaming uit en deel samenvattingen publiek. Controleer logging, bewaking en responstijden in SOC en SIEM. Werk met duidelijke runbooks voor het feestdagenseizoen.
Versterk basisbeveiliging: multiĀfactorĀauthenticatie, segmentatie en versleuteling van data in rust en in transport. Beperk rechten tot wat strikt nodig is en voer periodieke recertificatie uit. Test back-ups en herstelprocedures realistischer dan een kantooruren-scenario. Oefen met leveranciers de uitwijk bij storingen.
Maak keuzes voor burgers eenvoudig en controleerbaar. Bevestig iedere toestemmingswijziging per e-mail of app en toon een duidelijk overzicht van wie wat mag inzien. Voeg een snelle noodknop toe om alle deling tijdelijk te pauzeren. Bied hulp in begrijpelijke taal en via telefoon en balie.
Tot slot: leg vast hoe AI binnen zorgprocessen wordt ingezet, ook als het alleen gaat om ondersteunende functies. Houd een register bij van gebruikte modellen, datastromen en evaluaties. Laat onafhankelijke experts periodiek meekijken. Zo ontstaat aantoonbare regie, passend bij Europese regels en de verwachtingen van patiƫnten.
