Apotheken onder vuur: waarom cyberveiligheid nu echt dringend is
In de voorbije jaren zijn apotheken uitgegroeid tot een aantrekkelijk doelwit voor cybercriminelen. Ze combineren drie elementen die voor aanvallers bijzonder interessant zijn: een grote hoeveelheid gevoelige gezondheidsgegevens, bedrijfskritische IT‑systemen die dagelijks moeten blijven draaien én vaak een beperkt beveiligingsbudget. Met de komst van NIS2 en de Cyber Resilience Act (CRA) verandert dit speelveld fundamenteel: wat vroeger "best practice" was, wordt nu stap voor stap een wettelijke verplichting.
Apotheken verwerken elke dag gevoelige patiëntgegevens: voorschriften, medicatiehistoriek, mutualiteitsgegevens, facturatie ,e‑health‑koppelingen, .... Een geslaagde aanval betekent niet alleen reputatieschade, maar kan ook de continuïteit van de zorg ernstig verstoren: geen toegang tot het softwarepakket, geen e‑voorschriften, geen facturatie, vertraging aan de balie.
Daarbovenop is de zorgsector in het algemeen een groeimarkt voor cybercriminaliteit. Ransomwaregroepen mikken steeds vaker op ziekenhuizen, labo's en apotheken omdat de druk om snel te betalen groot is wanneer de zorgcontinuïteit in gevaar komt. De Europese en Belgische wetgever hebben dit intussen ook zo erkend: zorg en gezondheidszorg zijn expliciet opgenomen als kritieke sectoren onder NIS2. Alhoewel apotheken meestal niet stricu sensu onder NIS2 vallen zullen ze wellicht toch door hun connectie met grotere identiteiten verplicht worden strenger toe te zien op de cybersecurity politiek.
Wat de audits bij apotheken laten zien
Binnen verschillende projecten, onder meer met derdejaarsstudenten Cyber Security van Howest, werden de laatste 2 jaar een 60‑tal apotheken gratis doorgelicht Via CyberPharm. Die audits combineren een externe analyse (wat is vanaf het internet zichtbaar en kwetsbaar?) met een interne doorlichting van het netwerk, toestellen en procedures.
De bevindingen zijn opvallend, maar helaas herkenbaar: veel apotheken zijn historisch gegroeid met een mix van verouderde hardware, lokale back‑ups en privégebruikte toestellen, vaak allemaal op hetzelfde netwerk. In de praktijk zien auditors onder meer:
- Oude servers en besturingssystemen waarop voor sommige programma's / drivers al lang geen beveiligingsupdates meer zijn uitgevoerd of niet meer beschikbaar zijn.
- Camerasystemen en andere IoT‑toestellen die nog steeds met standaardlogins draaien.
- Geen of zeer beperkte netwerksegmentering: balie‑pc's, wifi, camera's en soms zelfs toestellen van gezinsleden hangen op hetzelfde netwerk. Er wordt quasi geen segmentatie toegepast.
Resultaat: het aanvalsoppervlak is veel groter dan nodig, en één fout (bv. een besmette laptop op de wifi) kan zich makkelijk verspreiden naar kritieke systemen.
Frictie met softwareleveranciers
Een opmerkelijke vaststelling uit deze audits is de terughoudendheid van sommige softwareleveranciers. Sommige partijen proberen beveiligingsaudits te ontmoedigen, of vragen expliciet om de apotheeksoftware contractueel uit te sluiten van de audit. De vrees is duidelijk dat kwetsbaarheden aan het licht komen die reputatieschade of contractuele discussies kunnen veroorzaken.
Toch is het beeld niet zwart‑wit. In meerdere gevallen reageerden leveranciers snel en constructief: ze kregen de bevindingen doorgestuurd, bevestigden de problemen en rolden relatief vlug patches of configuratiewijzigingen uit. Maar er zijn ook minder fraaie voorbeelden: een leverancier die eerst de resultaten betwistte, daarna moest toegeven dat de kwetsbaarheid wel degelijk bestond en vervolgens uit onvrede het contract met de apotheek opzegde. Dat soort situaties toont hoe belangrijk het is om cyberveiligheid expliciet in contracten en SLA's te verankeren.
NIS2: de nieuwe lat voor apotheken
Met de omzetting van NIS2 in Belgische wetgeving (in werking sinds oktober 2024) worden de regels voor cyberbeveiliging in kritieke sectoren aanzienlijk strenger. NIS2 legt verplichtingen op rond onder meer:
- Risicobeheer en beveiligingsbeleid (policies, procedures, governance).
- Incidentdetectie en ‑respons, inclusief meldingsplichten binnen strikte termijnen.
- Beveiliging van de toeleveringsketen: organisaties moeten kunnen aantonen hoe hun leveranciers met cyberrisico's omgaan.
De meeste apotheken zullen niet formeel als NIS2‑entiteit worden geclassificeerd, maar veel spelers in de keten – ziekenhuizen, zorggroepen, e‑health‑platformen, hosting‑ en softwareleveranciers – wél. In de praktijk betekent dit dat ook "kleine" apotheken zullen voelen dat de lat hoger ligt: zorggroepen en koepels zullen strengere eisen stellen aan hun IT‑partners, en leveranciers zullen hun beveiligingsniveau moeten optrekken om contracten te kunnen behouden.
Cyber Resilience Act: security‑by‑design voor (apotheek)-software
Naast NIS2 komt er nog een belangrijke Europese pijler bij: de Cyber Resilience Act (CRA). Deze regelgeving geldt voor alle "products with digital elements" – software, verbonden apparaten en clouddiensten – en legt vast dat die producten aantoonbaar veilig moeten zijn gedurende hun volledige levenscyclus.
Voor de farmaceutische en zorg‑IT‑sector betekent dit onder meer:
- Verplicht security‑by‑design en privacy‑by‑design in de ontwikkeling van apotheeksoftware en medische IT‑oplossingen.
- Een formeel proces voor kwetsbaarheidsbeheer: identificeren, prioriteren en tijdig patchen van securityproblemen.
- Meldingsplichten: ernstige kwetsbaarheden en incidenten moeten binnen korte termijnen gemeld worden aan bevoegde autoriteiten.
Met andere woorden: leveranciers kunnen zich steeds minder verschuilen achter vage beloftes; ze zullen moeten aantonen hoe hun product aan de CRA‑vereisten voldoet, inclusief documentatie en technische maatregelen. Voor apotheken is dat een belangrijke hefboom in gesprekken met leveranciers.
Organisatorische zwaktes: niet alleen een technisch probleem
Een terugkerend thema in de audits is dat problemen zelden uitsluitend technisch zijn. Ja, er zijn kwetsbare systemen en slecht geconfigureerde apparaten, maar daarachter zit vaak een organisatie zonder duidelijk cybersecuritybeleid.
Typische organisatorische pijnpunten zijn:
- Geen formeel paswoordbeleid: wachtwoorden worden hergebruikt, gedeeld of nergens veilig geregistreerd.
- Onvoldoende gestructureerde toegangsrechten: iedereen heeft "admin‑rechten" of brede toegang tot systemen zonder noodzaak.
- Weinig of niets op papier: geen duidelijke governance, geen formeel incidentplan, geen afspraken over wie wat doet bij een cyberaanval.
Net daar leggen zowel NIS2 als CRA de nadruk op: procedures, verantwoordelijkheid van de leiding en aantoonbaarheid van maatregelen zijn minstens even belangrijk als firewalls en antivirus.
Wat apothekers vandaag concreet kunnen doen
Apothekers hoeven niet te wachten tot er een incident gebeurt of tot er formeel een NIS2‑brief in de bus valt. Er zijn een aantal concrete stappen die je vandaag al kunt zetten:
- Laat
je infrastructuur onafhankelijk testen
Een externe cybersecurity‑audit (zoals het project via Cyberpharm/Howest) geeft een objectief beeld van je aanvalsoppervlak en zwakke plekken, zowel technisch als organisatorisch. - Segmenteer
je netwerk
Scheid kritieke systemen (apotheeksoftware, e‑health) van gastwifi, privétoestellen en camera's. Dat vermindert de impact van een incident drastisch. - Verbeter
paswoord- en toegangsbeheer
Werk met een uniek, sterk wachtwoordbeleid, gebruik waar mogelijk multi‑factor authenticatie en beperk admin‑rechten tot een minimum. Leg dit ook vast in een duidelijke policy. - Veranker
cyberveiligheid in je contracten
Vraag je leveranciers expliciet naar hun beveiligingsmaatregelen, certificeringen, pentest‑rapporten en incidentresponsplan. Leg in contracten vast wie verantwoordelijk is voor updates, hoe snel kwetsbaarheden worden opgelost en wat er gebeurt bij een datalek (meldingsplicht, ondersteuning, aansprakelijkheid). - Zorg
voor een eenvoudig incident‑ en back‑upplan
Beschrijf op één A4 wat je doet bij een aanval: wie wordt gebeld, welke systemen worden eerst hersteld, hoe snel je back‑ups terug kan zetten en hoe je communiceert met patiënten en partners.
Naar een volwassener cybercultuur in de apotheek
De rode draad door audits, wetgeving en praktijkvoorbeelden is duidelijk: cyberveiligheid in apotheken kan niet langer worden gezien als een louter technisch "IT‑probleem". Het is een strategisch thema dat de leiding (titularis van de apotheek), leveranciers en medewerkers samen moeten dragen. De combinatie van realistische audits, duidelijke contractuele afspraken en de druk van NIS2 en CRA biedt een unieke kans om die omslag nu te maken – voordat een incident je hiertoe dwingt op het slechtst mogelijke moment.