Gesprek plannen

Casestudy: Patiëntgegevens beveiligen met ISO 27001 in de gezondheidszorg

Datum

25 mei 2026

Auteur

door

Delen

Toen een regionaal ziekenhuis in België zijn cyberbeveiliging onder de loep nam, was de conclusie duidelijk: de systemen die de patiëntenzorg ondersteunen, waren veel kwetsbaarder dan ze zouden moeten zijn.

Met duizenden medewerkers, honderden aangesloten medische apparaten en gevoelige patiëntgegevens die continu door de systemen stromen, opereerde de organisatie in een risicovolle omgeving zonder de structuur die nodig was om deze effectief te beheren.

Tegelijkertijd nam de druk vanuit de regelgeving toe. Als essentiële entiteit onder de NIS2-richtlijn kreeg het ziekenhuis te maken met strenge cyberbeveiligingseisen en een duidelijke deadline om de CyFun Essential- .

Wat volgde was niet alleen een compliance project, maar een volledige transformatie van de manier waarop de organisatie beveiliging benaderde, en in deze casestudy gaan we onderzoeken hoe die transformatie tot stand is gekomen.

Waar het begon: complexiteit zonder controle

Net als veel andere zorginstellingen had het ziekenhuis zijn digitale infrastructuur in de loop der tijd uitgebreid. Elektronische patiëntendossiers, beeldvormingssystemen, medische apparatuur en administratieve platforms waren allemaal met elkaar verbonden, maar werden niet altijd op een consistente manier beheerd.

Bij nader inzien kwamen er kritieke problemen aan het licht:

  • Versnipperd beheer – De verantwoordelijkheden op het gebied van beveiliging waren verspreid over verschillende teams, zonder duidelijke eigenaar of een speciale functionaris voor informatiebeveiliging.
  • Schaduw-IT – Medewerkers gebruikten niet-goedgekeurde cloudtools, waardoor er ongecontroleerde stromen van gevoelige patiëntgegevens ontstonden.
  • Verouderde apparaten – Ongeveer 35% van de medische apparaten draaide op niet-ondersteunde systemen, die zonder segmentatie waren aangesloten op het hoofdnetwerk.
  • Zwakke incidentrespons – Er was geen formeel plan; een eerdere ransomware-poging werd handmatig afgehandeld zonder duidelijke procedures of escalatie.
  • Gebrek aan afstemming tussen de AVG en beveiliging – Privacy en informatiebeveiliging werden afzonderlijk beheerd, zonder geïntegreerde risicobenadering.

Deze hiaten konden niet langer worden genegeerd nadat een ransomware-aanval aan het licht bracht dat de organisatie vertrouwde op individuele inspanningen in plaats van gestructureerde processen.

Onze aanpak: van versnippering naar structuur

In plaats van problemen afzonderlijk aan te pakken, werd een gestructureerde en gefaseerde aanpak geïmplementeerd, waarbij ISO/IEC 27001 en CyberFundamentals (CyFun) Essential werden gecombineerd tot één afgestemde strategie.

Fase 1 Verkenning en gap-analyse (week 1–6)

Een volledige inventarisatie van de bedrijfsmiddelen bracht 47 voorheen niet-gedocumenteerde schaduw-IT-toepassingen aan het licht, gevolgd door een CyFun-zelfbeoordeling van alle kerncontroles. Een uniforme lacuneanalyse bracht ISO 27001, CyFun en de AVG samen in één routekaart, waaruit een basisvolwassenheid van 1,8/5 bleek, ruim onder de vereiste doelstelling van 3,5/5.

Fase 2 ISMS-ontwerp en risicobeheersing (week 7–18)

Er werd een formele governance structuur ingevoerd, samen met een uitgebreide risicobeoordeling waarbij 142 risico’s werden geïdentificeerd, waaronder 38 hoge of kritieke risico’s. Er werd een gestructureerd behandelingsplan ontwikkeld, dat de implementatie van 93 geprioriteerde controles stimuleerde, ondersteund door een complete set van beleidsregels en procedures.

Fase 3 Technische implementatie (week 12–28)

Er werden belangrijke beveiligingsmaatregelen geïmplementeerd, waaronder netwerksegmentatie, strengere toegangscontroles, monitoringmogelijkheden en veilige back-up- en gegevensbeschermingsmechanismen, waardoor de blootstelling van de organisatie aanzienlijk werd verminderd met wel 85%.

Fase 4 Training en cultuur, bewustwording en cultuurverandering (doorlopend)

Beveiliging werd in de dagelijkse bedrijfsvoering geïntegreerd door middel van training van 2.800 medewerkers, ondersteund door phishingsimulaties en een intern netwerk van security champions.

Fase 5 Interne audit, managementbeoordeling en certificering (week 29–40)

De aanpak werd gevalideerd door middel van interne audits, managementbeoordelingen en de voortgang in de richting van ISO 27001-certificering en CyFun-conformiteitsbeoordeling.

Vanaf het begin lag de focus niet alleen op het voldoen aan eisen, maar op het opzetten van een systeem dat werkt in de dagelijkse praktijk: gestructureerd, schaalbaar en afgestemd op reële risico’s.

Structuur omzetten in actie

De transformatie begon met governance.

Er werd een speciale Information Security Officer aangesteld, die rechtstreeks rapporteerde aan het management. Er werd een Security and Privacy Committee opgericht, waarin belangrijke stakeholders uit verschillende afdelingen werden samengebracht.

Vanaf dat moment richtte de organisatie zich op het begrijpen en beheersen van haar omgeving:

  • Een volledige inventarisatie van bedrijfsmiddelen bracht voorheen onbekende systemen en tools aan het licht
  • Er werden 47 schaduw-IT-toepassingen geïdentificeerd en aangepakt
  • Een uitgebreide risicobeoordeling bracht 142 risico’s aan het licht, geprioriteerd op basis van impact

Tegelijkertijd werden beleidsregels en procedures geformaliseerd, waardoor duidelijkheid werd gecreëerd waar voorheen onduidelijkheid heerste.

Op technisch vlak werden cruciale verbeteringen doorgevoerd:

  • Medische apparatuur werd geïsoleerd door middel van netwerksegmentatie
  • Er werd meervoudige authenticatie geïmplementeerd voor gevoelige toegang
  • Er werden monitoring- en detectiemogelijkheden opgezet
  • Back-up- en herstelprocessen werden versterkt
  • Controles op gegevensbescherming verminderden het risico op informatielekken

Stap voor stap werd de beveiliging gestructureerd, zichtbaar en beheersbaar.

Beveiliging integreren in het dagelijkse werk

Een van de belangrijkste veranderingen was het aanpassen van de bedrijfscultuur.

Beveiliging werd niet langer gezien als een geïsoleerde IT-verantwoordelijkheid. In plaats daarvan werd het onderdeel van de bedrijfsvoering.

Medewerkers kregen rolgebonden training, waardoor ze niet alleen begrepen wat ze moesten doen, maar ook waarom het belangrijk was. Phishingsimulaties zorgden voor praktisch leren, terwijl interne beveiligingsambassadeurs binnen elke afdeling toegankelijke aanspreekpunten creëerden.

Deze verschuiving zorgde ervoor dat beveiliging niet alleen werd geïmplementeerd, maar ook in stand werd gehouden.

Het resultaat : meetbare verbetering en vroege certificering

De resultaten van de transformatie waren duidelijk en meetbaar:

  • De cyberbeveiligingsvolwassenheid steeg van 1,8 naar 3,8
  • De detectietijd van incidenten daalde van ongeveer 72 uur naar minder dan 4 uur
  • Shadow IT werd teruggebracht van 47 ongecontroleerde applicaties tot slechts 3 beheerde uitzonderingen
  • De deelname aan trainingen door medewerkers steeg van 12% naar 98%
  • De kwetsbaarheid voor phishing daalde van 34% naar 7%
  • Alle medische apparaten werden volledig gesegmenteerd binnen het netwerk

Het meest opvallend was dat het ziekenhuis 14 maanden voor de vereiste deadline de ISO 27001:2022-certificering behaalde, waardoor het zich sterk positioneerde voor naleving van CyFun Essential.

Wat het verschil maakte

Het succes van deze transformatie werd niet gedreven door één enkele oplossing, maar door een combinatie van belangrijke factoren:

  • Een uniforme aanpak van meerdere frameworks, waardoor de complexiteit werd verminderd
  • Sterke betrokkenheid van het management, waardoor verantwoordelijkheid wordt gewaarborgd
  • Nauwe afstemming tussen beveiligingsmaatregelen en klinische workflows
  • Praktische omgang met legacy-systemen door middel van compenserende controles

Deze elementen zorgden ervoor dat de beveiligingsverbeteringen zowel effectief als duurzaam waren.

Hoe Dadir uw organisatie kan ondersteunen

Veel organisaties worden geconfronteerd met vergelijkbare uitdagingen, complexe omgevingen, toenemende regelgevingsdruk en onduidelijkheid over waar ze moeten beginnen.

Dadir ondersteunt organisaties bij het opzetten van gestructureerde, praktische en schaalbare cyberbeveiligingsprogramma’s.

Wij helpen u:

  • Kaders zoals ISO 27001, CyFun, de AVG en NIS2 op één aanpak af te stemmen
  • Governance en risicobeheer op te zetten die in de praktijk werken
  • Uw meest kritieke risico’s te identificeren en te prioriteren
  • Effectieve technische en organisatorische controles te implementeren
  • Certificering te behalen en tegelijkertijd veerkracht op de lange termijn op te bouwen

Onze focus ligt niet alleen op compliance, maar op het creëren van beveiliging die de bedrijfsvoering en groei van uw organisatie ondersteunt.

Want in omgevingen waar data en vertrouwen cruciaal zijn, moet beveiliging meer zijn dan een vereiste.

Het moet deel uitmaken van de manier waarop u werkt.

 

 

 

WIE IS HET DADIR TEAM?

Lees ook onze andere blogs

Bekijk alle blogs