De Nederlandse wetgever is bezig met het implementeren van de NIS2-richtlijn. Indien de NIS2-richtlijn van toepassing is op jouw organisatie, brengt dat een aantal verplichtingen met zich mee. De Rijksoverheid geeft het advies om nu al je beveiliging te verbeteren, omdat jouw organisatie dan niet alleen tegen bestaande risico’s beveiligd is, maar ook beter voorbereid is op de nieuwe wet- en regelgeving. Een goede voorbereiding is dus van belang!

Benieuwd naar de inhoud van de richtlijn? Lees dan onze eerdere blog over dit onderwerp!

Welke verplichtingen gelden voor mijn organisatie?

• Een organisatie moet zich allereerst registreren als zij onder de NIS2-richtlijn valt. Hoe deze registratie moet verlopen, zal duidelijk worden wanneer de wet zijn intrede doet. Wij kunnen hiermee helpen!
• De NIS2-richtlijn bevat een zorgplicht. Organisaties moeten zelf een verplichte risicobeoordeling uitvoeren om de digitale risico’s in kaart te brengen. Aan de hand daarvan kunnen passende maatregelen genomen worden, zodat netwerk- en informatiesystemen beschermd worden.
• Bij incidenten hebben organisaties een meldplicht. Op het moment dat een incident zich voordoet waarbij de verlening van de essentiële dienst van de organisatie aanzienlijk verstoord (kunnen) worden, moet de betreffende organisatie binnen 24 uur een melding doen bij de toezichthouder. Let op! Gaat het om een cyberincident, dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
• Organisaties komen onder toezicht te staan. Een onafhankelijke toezichthouder ziet toe op de naleving van de verplichtingen uit de NIS2-richtlijn. Op dit moment wordt bepaald welke sectoren onder welke toezichthouder zullen vallen. Hierbij is het van belang of jouw organisatie een essentiële entiteit of een belangrijke entiteit is. Voor essentiële entiteiten geldt een strenger bewind van toezicht. Voor meer informatie hierover, lees onze eerste blog over de NIS2-richtlijn.

Wat kun je als organisatie alvast doen om je voor te bereiden?

Controleer allereerst of je al voldoet aan de bestaande kaders voor netwerk- en informatiebeveiliging bij de overheid door het maken van een risicoanalyse en risicobeoordeling. Dit kan aan de hand van de volgende punten:

1. De digitale risico’s die relevant zijn vanwege de mogelijke verstoring van de organisatie
Denk bijvoorbeeld aan geautomatiseerde systemen waar jouw organisatie gebruik van maakt. Een potentieel risico zou dan een cyberaanval kunnen zijn.

2. De te beschermen belangen van de organisatie
Als jouw bedrijf een dienstverlenend bedrijf is dat met klantgegevens werkt, omvatten de te beschermen belangen bijvoorbeeld het handhaven van klantvertrouwen, het beschermen van klantgegevens en het voorkomen van onderbrekingen in de dienstverlening.

3. Welke maatregelen al genomen zijn om de belangen tegen de risico’s te beschermen
Dit kan bijvoorbeeld bestaan uit het regelmatig bijwerken van software en het implementeren van een sterke authenticatie voor klanten en medewerkers.

Neem zo nodig maatregelen om de organisatie beter te beschermen tegen deze risico’s. Zo ben je alvast goed op weg om de zorgplicht uit de NIS2-richtlijn te vervullen, de bestaande kaders zoals de basismaatregelen van het National Cyber Security Centrum (NCSC) en de basisprincipes van het Digital Trust Center zullen namelijk de basis hiervan zijn. Het is dus belangrijk om alvast aan de huidige verplichtingen te voldoen. Een paar voorbeelden van maatregelen zijn:

• Het opstellen van crisisbeheersingsprotocollen en bedrijfscontinuïteitplannen;
• Het vergroten van bewustwording van de risico’s en veiligheidsmaatregelen onder het personeel;
• Het identificeren van alternatieve toeleveranciers, zodat de continuïteit van de dienstverlening niet verstoord wordt bij het eventueel uitvallen van een toeleverancier.

Zorg er verder voor dat er in jouw organisatie procedures zijn waarmee incidenten gedetecteerd, gemonitord, opgelost en gemeld kunnen worden bij de Rijksinspectie Digitale Infrastructuur (RDI) en bij een Computer Security Incident Response Team (CSIRT).

Onlangs heeft de Rijksoverheid de NIS2-Quickscan geïntroduceerd. Dit is een hulpmiddel voor organisaties om zich voor te bereiden op de komst van de NIS2-richtlijn. Door het beantwoorden van 40 vragen krijg je als organisatie meer inzicht in de status van je cyberveiligheid. Per thema krijg je een score te zien. Ook worden er per thema verschillende technische en organisatorische maatregelen geplaatst die je kan gebruiken. De Quickscan is te vinden op de website van het National Cyber Security Centrum.

Meer weten of hulp nodig?

Omdat het wetsvoorstel nog niet in werking is getreden, is nog niet alles van de NIS2-richtlijn duidelijk. Wij houden de ontwikkelingen omtrent de NIS2-richtlijn nauwlettend in de gaten en kunnen helpen bij het toepassen van de verplichtingen in jouw organisatie. Neem contact met ons op via info@privacycoaches.nl of neem een kijkje op onze website!

De EU heeft een nieuwe richtlijn op het gebied van cybersecurity ontworpen: de NIS2-richtlijn. De NIS2-richtlijn is de opvolger van de NIS1-richtlijn. NIS1 en NIS2 zijn Europese richtlijnen die als doel hebben eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging. Daarnaast proberen de richtlijnen de schadelijke gevolgen van cybercrime te beperken.

Nederland is sinds 2023 bezig om de richtlijn te implementeren in het Nederlandse rechtssysteem. Organisaties die onder de NIS2-richtlijn vallen, dienen zich te houden aan bepaalde veiligheidsnormen en meldingsvereisten voor incidenten.

De Nederlandse overheid heeft al laten weten dat ze de deadline voor het implementeren van de richtlijn niet gaat halen. Het is nog onduidelijk wanneer dit wel gaat lukken. Het is alsnog belangrijk om als organisatie alvast goed op de hoogte te zijn!

Wat is er anders?

Eén van de belangrijkste verschillen is dat er veel meer organisaties vallen onder de NIS2-richtlijn. De richtlijn richt zich niet alleen op grote essentiële organisaties die expliciet zijn aangewezen, zoals onder de NIS1-richtlijn. Organisaties vallen automatisch onder de NIS2-richtlijn als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als een ‘essentiële’ of ‘belangrijke’ entiteit. Er is dus een grotere kans dat jouw organisatie óók onder de NIS2-richtlijn valt. Ook is deze richtlijn relevant als je er zelf niet onder valt, maar jouw klanten wel. De eisen uit de richtlijn worden dan aan jou doorgelegd.

Welke sectoren en organisaties vallen onder de NIS2-richtlijn?

Allereerst moet jouw organisatie in Nederland gevestigd zijn en onder één van de volgende sectoren vallen:

Sectoren bijlage I

• Energie
• Transport
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Beheerders van ICT Diensten
• Bankwezen

Sectoren bijlage II

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging

Zoals hiervoor benoemd moet de organisatie ook gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiele entiteit

Hier vallen onder:

• Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn. Als jouw organisatie hieronder valt, dan ontvang je hier vanzelf bericht over vanuit de overheid. Hier hoef je zelf niets voor te doen.
• Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)

Een organisatie is groot op basis van de volgende criteria:

1. Minimaal 250 werknemers, of;
2. Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteit

Hier vallen onder:

• Middelgrote organisaties die actief zijn in een sector uit bijlage I.

Een organisatie is middelgroot op basis van de volgende criteria:

1. Minimaal 50 werknemers, of;
2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro

• Middelgrote én grote organisaties die actief zijn in een sector uit bijlage II.

Let op, jouw organisatie kan maar onder één van de twee type entiteiten vallen, essentieel óf belangrijk. Dit is van belang, omdat voor essentiële entiteiten andere verplichtingen gelden dan voor belangrijke entiteiten. Essentiële entiteiten krijgen een veel intensiever toezicht, waarbij het naleven van de verplichtingen voor- en achteraf wordt getoetst. Bij een belangrijke entiteit vindt het toezicht alleen achteraf plaats.

Uitsluitingsgronden

Het is belangrijk om te kijken of er uitsluitingen zijn voor jouw organisatie. Als dit het geval is, is de NIS2-richtlijn niet van toepassing voor jouw organisatie. Als er al sectorspecifieke cyberwetgeving van toepassing is op jouw organisatie en deze gelijkwaardig is aan de NIS2-richtlijn, gaat bijvoorbeeld de sectorspecifieke wetgeving voor.

Hulp nodig?

Wij houden alle ontwikkelingen omtrent de NIS2-richtlijn in de gaten, zo volgt er binnenkort een blog met meer informatie over de verplichtingen van de richtlijn. Wil jij weten of jouw organisatie onder de NIS2-richtlijn valt of dat er een uitsluiting geldt voor jouw organisatie? Neem dan contact met ons op via info@privacycoaches.nl en wij helpen je graag!

Zorgaanbieders zijn verantwoordelijk voor het leveren van kwalitatieve en veilige zorg. Nu e-health steeds belangrijker wordt, is het goed om stil te staan bij de privacywetgeving bij het gebruik van e-health.

Wat is e-health?

E-health houdt het gebruik van informatie- en communicatietechnologie in de zorg in, ook wel ‘digitale zorg’ genoemd. Het doel van e-health is om de gezondheidszorg te ondersteunen en/of te verbeteren. Denk bijvoorbeeld aan gezondheidsapps voor patiënten (zoals een app die de conditie helpt te verbeteren), een online afspraak met een huisarts, digitale patiënten- en cliëntendossiers en telemonitoring van patiënten met chronische aandoeningen.

De Europese Unie stimuleert het gebruik van e-health. Het heeft namelijk meerdere voordelen zoals tijdsbesparing en minder administratieve lasten. E-health maakt ook online vormen van samenwerken mogelijk, bijvoorbeeld tussen zorgverlener en patiënt. Hierbij worden persoonlijke en gezondheidsgegevens uitgewisseld. Het is dus van groot belang dat de privacy van de gebruikers van de digitale gezondheidszorg beschermd blijft. De regels uit de AVG gelden daarom ook voor e-health.

Privacywetgeving & e-health

Zorgaanbieders moeten rekening houden met een aantal punten op het gebied van privacywetgeving wanneer zij gebruikmaken van e-health toepassingen. Denk bijvoorbeeld aan de volgende verplichtingen:

1. Zorgaanbieders hebben een informatieplicht. Dit houdt in dat patiënten goed geïnformeerd moeten worden over wat er met hun persoonsgegevens gebeurt.
2. Het beginsel van dataminimalisatie: zorgaanbieders mogen niet méér gegevens van patiënten verwerken dan strikt noodzakelijk is.
3. Zorgaanbieders moeten zorgen voor een goede beveiliging van de patiëntgegevens.
4. Gegevensuitwisseling tussen zorgaanbieders is alleen toegestaan wanneer de patiënt geïnformeerd wordt én toestemming geeft voor deze uitwisseling.

Let op: dit zijn slechts enkele voorbeelden.

Het is dus voor het integreren van e-health toepassingen cruciaal om grondig te onderzoeken hoe dit de privacy van patiënten beïnvloedt. Daarvoor is het belangrijk om een overzicht te maken van datastromen, doelen, verantwoordelijkheden, beveiligingsmaatregelen en potentiële toekomstige behoeften met betrekking tot het gebruik van de verzamelde data.

Toezicht op e-health

De IGJ (Inspectie Gezondheidszorg en Jeugd) houdt toezicht op de naleving van de regelgeving bij e-health. Hiervoor gebruikt de inspectie het toetsingskader ‘Inzet van e-health door zorgaanbieders’. Dit kader biedt handvatten voor zorgaanbieders die e-health toepassingen willen gebruiken. Er wordt getoetst op 5 thema’s:

1. goed bestuur en verantwoord innoveren;
2. invoering en gebruik van e-health producten en diensten;
3. patiëntparticipatie;
4. samenwerken in het netwerk en elektronisch vastleggen en uitwisselen van gegevens;
5. informatiebeveiliging en continuïteit.

Juridisch advies over e-health nodig?

De wetten rondom privacy en e-health zijn in volle ontwikkeling en voortdurend in beweging. Bij Privacycoaches houden wij al deze ontwikkelingen natuurlijk nauwlettend in de gaten.

Kun jij wel wat hulp gebruiken bij het toepassen van de privacywetgeving op jouw e-health product of dienst? Neem dan vooral contact met ons op via info@privacycoaches.nl; wij helpen je graag!