Elke dag vertrouwen miljoenen Belgen op ziekenhuizen, zorginstellingen en universiteiten voor hun gezondheid, hun data en hun toekomst. Maar achter de schermen worstelen deze organisaties met een realiteit die weinig mensen kennen: ze zijn structureel kwetsbaar voor cyberaanvallen. De realiteit is duidelijk: de cybermaturiteit van Belgische zorginstellingen ligt vandaag nog te laag in verhouding tot de wettelijke norm die tegen 2027 behaald moet worden. Een kloof die dringend gedicht moet worden.

In deze nieuwe aflevering van de Jarviss Podcast gaat Dirk Buysse (Jarviss) in gesprek met Wim Bijnens, CEO van Shield vzw, over de uitdagingen waarmee de Belgische zorgsector en het hoger onderwijs te maken krijgen op het vlak van cybersecurity. En vooral: hoe ze daar samen iets aan doen.

Wil je liever verder lezen? Hieronder gaan we dieper in op de belangrijkste inzichten uit het gesprek.

Waar staan we écht? De cybermaturiteit van Belgische ziekenhuizen

België loopt in Europa voorop met het CyberFundamentals (CyFun®) framework van het Centrum voor Cybersecurity België (CCB), dat de Europese NIS2-wetgeving vertaalt naar de Belgische context. Binnen dat kader moeten organisaties voldoen aan 216 controles en een duidelijk hogere maturiteitsscore behalen tegen 2027. Vandaag blijft het sectorgemiddelde nog ruim onder die wettelijke norm, waardoor de kloof aanzienlijk is.

Maar die score verdient nuance. Op technisch vlak doen zorginstellingen het behoorlijk goed. Er is geïnvesteerd in firewalls, detectiesoftware en beveiligde infrastructuur. Het probleem zit elders: in governance, risicomanagement en het documenteren van processen en procedures. Dat zijn precies de onderdelen waar organisaties structureel achterlopen.

“Je kunt oneindig goed beveiligd zijn, maar als je de voordeur openzet, kan iedereen gewoon binnenwandelen.”

Wim Bijnens, CEO Shield vzw

Het goede nieuws? Bijna ieder Belgisch ziekenhuis is inmiddels lid van Shield en werkt actief aan het verhogen van de cybermaturiteit. De bewustwording is er. Nu moet de uitvoering volgen.

Cybersecurity is geen IT-probleem meer

Lange tijd werd cybersecurity gezien als een zaak van de IT-afdeling. Als er iets misliep, wees men naar de IT-directie. Maar met de komst van NIS2 is dat fundamenteel veranderd. Bestuurders en directieleden van zorginstellingen zijn nu hoofdelijk aansprakelijk als er een ernstig cyberincident plaatsvindt.

Die wettelijke aansprakelijkheid heeft het bewustzijn bij het management versneld. Cybersecurity is een bestuurskwestie geworden, niet langer enkel een technische aangelegenheid. Organisaties die dat vandaag niet inzien, lopen morgen achter de feiten aan.

De cyberkloof: groot versus klein

Niet elk ziekenhuis heeft dezelfde middelen. Academische en grote regionale ziekenhuizen beschikken over meer budget en personeel en scoren daardoor hoger op cybermaturiteit. Kleinere lokale en psychiatrische ziekenhuizen hebben die luxe niet.

Daar speelt de kracht van de Shield-community. Grote ziekenhuizen delen actief kennis, documentatie en best practices met kleinere instellingen. Zo krijgen die toegang tot informatie en oplossingen die voorheen onbereikbaar waren. Het resultaat: de hele sector groeit mee, niet alleen de koplopers.

Waarom ziekenhuizen en universiteiten zo moeilijk te beveiligen zijn

De meeste bedrijven kunnen hun digitale deuren sluiten en alleen geautoriseerde personen binnenlaten. Ziekenhuizen en universiteiten kunnen dat niet. Het zijn inherent open organisaties. Patiënten, bezoekers, studenten, artsen in opleiding en externe specialisten lopen dagelijks in en uit, elk met hun eigen apparatuur en beveiligingsniveau.

Die diversiteit maakt beveiliging bijzonder complex. Een student brengt een minder beveiligde laptop mee dan een IT-medewerker, maar beide moeten toegang krijgen tot het netwerk. Tegelijkertijd bevatten deze netwerken uiterst gevoelige data: patiëntendossiers, onderzoeksresultaten en intellectueel eigendom.

De uitdaging is niet om alles dicht te gooien, maar om iedereen binnen te laten en tegelijkertijd de kwaadwillenden eruit te filteren. Dat vereist slimme risicoanalyse, de juiste technologie en een doordachte manier van werken.

Het Shield-model: van beleid naar praktijk

Shield pakt de uitdaging aan op twee fronten. Enerzijds het governance-luik: processen, procedures en risicomanagement. Anderzijds het technische luik: validated designs die zorgen voor best practice implementaties.

Die validated designs zijn bijzonder waardevol. Grote ziekenhuizen ontwikkelen ze op basis van hun eigen ervaring. Shield vertaalt die kennis naar kant-en-klare blauwdrukken die kleinere instellingen direct kunnen toepassen. Geen wiel opnieuw uitvinden, maar profiteren van bewezen oplossingen.

Daarnaast faciliteert Shield kaderovereenkomsten via openbare aanbestedingen. Zo krijgen leden toegang tot de beste technologische oplossingen tegen een eerlijke prijs, van firewalls tot SOC-technologieën en monitoring-oplossingen.

Wat Shield uniek maakt, is het bottom-up model. In plaats van oplossingen te verkopen, vraagt Shield aan de leden wat hun problemen zijn. In werkgroepen zoeken gebruikers en leveranciers samen naar antwoorden. Pas daarna volgt een raamcontract. Het resultaat: oplossingen die écht aansluiten bij de praktijk.

AI en geopolitiek: de dreiging groeit sneller dan de verdediging

De dreigingen worden complexer en intenser. Geopolitieke spanningen vertalen zich steeds vaker naar cyberaanvallen op maatschappelijke doelwitten. Ziekenhuizen zijn bij uitstek interessant voor kwaadwillende staten: een platgelegd ziekenhuis raakt de burger direct en ondermijnt het vertrouwen in het systeem.

Daarbovenop versnelt AI de cyberwapenwedloop. Aanvallers omringen zich met AI-tools die hen in staat stellen sneller en op grotere schaal aan te vallen. De verdediging moet dat tempo bijhouden, maar de kenniskloof en de bijbehorende kosten maken dat tot een serieuze uitdaging.

Ook de waarde van medische data mag niet worden onderschat. Patiëntendossiers bevatten uiterst gevoelige informatie die kan worden doorverkocht of gebruikt voor chantage. Dat maakt de zorgsector tot een aantrekkelijk doelwit en datasoevereiniteit tot een topprioriteit.

Conclusie: samenwerking als fundament voor cyberweerbaarheid

De cybermaturiteit van Belgische zorginstellingen en onderwijsinstellingen staat onder druk. De dreigingen groeien, de middelen zijn beperkt en de complexiteit van deze open organisaties maakt beveiliging inherent moeilijk. Maar er is een weg vooruit.

Shield bewijst dat samenwerking werkt. Door kennis te delen, gezamenlijk oplossingen te ontwikkelen en de kloof tussen beleid en techniek te dichten, groeit de hele sector. Van grote academische ziekenhuizen tot kleine lokale instellingen.

Wie échte cyberweerbaarheid wil opbouwen, begint niet alleen. Het begint met inzicht, samenwerking en de juiste partners.

Wil je weten waar jouw organisatie staat op het vlak van cybermaturiteit? Jarviss helpt zorginstellingen en onderwijsorganisaties met het in kaart brengen van hun volledige digitale omgeving, van IT tot OT en IoT. Neem vandaag nog contact op voor een vrijblijvend gesprek en ontdek hoe wij jouw cyberweerbaarheid naar een hoger niveau tillen.

➡️ Contacteer ons via info@jarviss.be