Print 🖨 PDF 📄 eBook 📱

Zorgvisie

Zorgvisie eenzijdig over aansprakelijkheid zorgbestuurders bij hack

Op 20 april 2026 publiceerde het online magazine Zorgvisie een artikel geschreven door Sterre ten Houte de Lange. De titel luidde: “ChipSoft-hack legt verantwoordelijkheid zorgbestuurders bloot.”  Daarbij gaat zij in op het vorige week in de Tweede Kamer aangenomen wetsontwerp Cyberbeveiligingswet(Cbw). Dat wetsontwerp is de Nederlandse implementatie van de Europese NIS2-richtlijn met persoonlijke aansprakelijkheid voor bestuurders. Dit wetsontwerp, dat nog door de Eerste Kamer moet gaan, legt organisaties binnen en buiten de zorg allerlei verplichtingen op die raken aan de digitale veiligheid. Bestuurders en toezichthouders hebben in het kader van die wet verantwoordelijkheden in het naleven van hun zorgplicht bij een veiligheids- of cyberincident. Het artikel is in mijn ogen zeer eenzijdig. Het is opgehangen aan de ChipSoft-hack die op 7 april 2026 aan het licht kwam. De schrijfster gaat totaal niet in op de verantwoordelijkheden van zorgICT-leveranciers, met thans in het bijzonder ChipSoft.

Verplichtingen zorgbestuurders

De schrijfster somt uitgebreid op wat de zorgbestuurders moeten doen als er sprake is van bijvoorbeeld een hack. Dat zijn:

  • het informeren van de klanten(lees: patiënten) en de eigen instellingsmedewerkers.
  • Het melden van de hack aan de bevoegde instanties zoals de Autoriteit Persoonsgegevens, Z-CERT en NCSC.
  • het extern communiceren over het voorval, want ook als je niet weet wat er precies aan de hand is moet je dát communiceren. Zeggen dat je het niet weet is beter dan niets zeggen
  • als er gegevens gestolen/gecompromitteerd zijn, is het zo dat de bestuurders daar op papier verantwoordelijk voor zijn. Ze moeten de patiënten daarover informeren.
  • de bestuurders dienen zich bij inkoop te vergewissen of een zorgICT-bedrijf voldoet aan bestaande veiligheidsregels, zoals NEN-normen.
  • De bestuurder moet zich laten voorlichten of de zorgICT-leverancier de juiste beveiliging heeft, op de juiste manier backups maakt en welk beleid er is bij hacks.

Zorgplicht zorgICT-leverancier(1)

Met dit laatste punt in de vorige alinea kom je al op een zacht ijs want het hangt af van de openheid die het betreffende zorgICT-bedrijf geeft over  beveiliging, backups en hackbeleid.

Het gaat echter niet aan om in zorgICT-incidenten in het algemeen en in het bijzonder bij de ChipSoft-hack uitsluitend met de vinger richting zorgbestuurder te wijzen. De zorgICT-leverancier heeft namelijk evengoed een zorgplicht en daarenboven vaak ook een bijzondere zorgplicht. Op de website van het advocatenkantoor Dirkzwager, maar op dat van het advocatenkantoor Nysingh staan die twee plichten duidelijk vermeld. Ten aanzien van de gewone zorgplicht schrijft Sven Wakker van Dirkzwager dat we voor opdrachtnemers een wettelijke zorgplicht kennen. De opdrachtnemer zal bij de uitvoering van zijn werkzaamheden de zorg van een goed opdrachtnemer in acht moeten nemen (art. 7:401 BW).

Zorgplicht zorgICT-leverancier(21)

Sven Wakker vervolgt:

“Om te bepalen of een opdrachtnemer deze zorgplicht geschonden heeft, geldt als maatstaf hoe een redelijk bekwaam en redelijk handelend vakgenoot in de betreffende situatie te werk zou zijn gegaan. Wat dit concreet betekent, is afhankelijk van de omstandigheden van het geval.  In IT-contracten wordt deze wettelijke zorgplicht verder contractueel ingevuld. Daarin wordt bijvoorbeeld vastgelegd dat de IT-leverancier zijn dienstverlening op ‘zorgvuldige en professionele wijze zal uitvoeren, met de zorg die verwacht mag worden van een professionele IT-dienstverlener.” 

Bijzondere zorgplicht zorgICT-leverancier

Naast de zorgplicht die op grond van de wet of contract op een opdrachtnemer rust, heeft zich de afgelopen jaren in de jurisprudentie het leerstuk van de “bijzondere zorgplicht” ontwikkeld. Een bijzondere zorgplicht is een verzwaarde zorgplicht die op een partij komt te rusten die in bepaalde hoedanigheid een aanmerkelijke voorsprong in kennis, deskundigheid of expertise heeft ten opzichte van de andere partij. Het doel van deze bijzondere zorgplicht is dat het tussen partijen bestaande machtsevenwicht weer in balans komt. Die ongelijke betekent dat er op bijv. financiële adviseurs en hypotheekverstrekkers een bijzondere zorgplicht rust. Die bestaat uit diverse informatie-, onderzoeks-, en waarschuwingsplichten. In IT-geschillen speelt de deskundigheid van partijen een grote rol. Doorgaans is de leverancier meer deskundig dan de afnemer. Een afnemer schakelt meestal juist een expert in om IT-dienstverlening te verrichten aangezien zij daar zelf weinig kaas van heeft gegeten.

Eenzijdig

Het artikel in Zorgvisie komt op mij over als zeer eenzijdig. Aan de hand van een wetsontwerp dat nog niet de status van wet heeft (omdat het nog door de Eerste Kamer behandeld moet worden) schetst de schrijfster van het artikel een nogal somber beeld met verantwoordelijkheden van zorgbestuurders zonder ook maar één moment in te gaan op de verantwoordelijkheid van zorgICT-leveranciers en in het bijzonder op dit moment ziekenhuisinformatiesysteem-leverancier ChipSoft.

Dit klemt des te meer omdat ChipSoft zeer beperkt communiceert over de hack, de nadruk erop legt dat zij verwerker is en dat de instellingen als verwerkingsverantwoordelijke verder moeten acteren. ChipSoft houdt het graag klein. Het hanteert het druppelinfuus i.p.v. de bolustoediening,

W.J. Jongejan, 23 april 2026

Afbeelding van Haru Udu via Pixabay

Met dank aan Marion Frissen die op LinkedIn het sombere beeld aankaartte met de kop ”Wie gaat dit sombere beeld betalen?”

Voor het artikel is vanwege juiste formulering op enkele plekken gebruik gemaakt van tekst op de website van Dirkzwager

 

 

 

 

 

 

 

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.