Korte inhoud: AZ Monica wordt getroffen door cyberaanval met gijzelsoftware. Lees hier alles over het incident alsook de consequenties voor uw bestuur en/of organisatie.
De cyberaanval op AZ Monica op 13 januari 2026 confronteert velen met een ongemakkelijke realiteit: operationele zorgcontinuïteit kan in enkele uren onderuitgaan, en de bestuurlijke verantwoordelijkheid is concreter dan ooit.
Wat gebeurde – en waarom is dit bestuurlijk relevant?
De woordvoerder van het ziekenhuis bevestigde inmiddels dat op de campussen in Deurne en Antwerpen het ziekenhuis werd geconfronteerd met een cyberaanval met zogenaamde gijzelsoftware. Naar aanleiding hiervan werden servers preventief uitgeschakeld en niet-dringende operaties evenals consultaties uitgesteld. Het ziekenhuis kon immers niet aan de gegevens van patiënten in elektronische dossiers, waardoor verschillende zorgvormen, zoals bv. medische beeldvorming, in de praktijk onmogelijk werden. Reeds zeventig patiënten moesten naar huis terugkeren. Zeven patiënten werden doorverwezen naar andere ziekenhuizen om hun veiligheid te garanderen.
De spoeddienst bleef open maar “op een lager pitje”. De MUG en PIT van het ziekenhuis reden tijdelijk niet uit. Voor deze diensten werd in samenspraak met de provincie gerekend op de omliggende collega’s en werd het provinciaal rampenplan als basis gehanteerd.
De inzet van het provinciaal rampenplan illustreert dat een cyberincident meteen een multidisciplinaire crisis wordt: ICT, medische continuïteit, dispatching en communicatie schuiven onvermijdelijk in elkaar. Voor lokale besturen en mandatarissen met zorgbevoegdheden betekent dit dat de bestuurlijke paraatheid – beleid, budget, training en toezicht – niet optioneel is, maar een wettelijke plicht met meetbare verwachtingen.
Het parket en de federale computer crime unit onderzoeken, maar intussen staat één vraag centraal voor Vlaamse zorgbesturen en lokale beleidsmakers: zijn hun governance, risicobeheer en incidentrespons NIS2-conform én praktijkrijp op het moment dat het er echt toe doet?
NIS2-wet: van beleidsintentie naar afdwingbare bestuurdersverantwoordelijkheid
Sinds 18 oktober 2024 geldt immers in België de NIS2-wet (Wet van 26 april 2024) als nieuw kader voor cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang, met expliciete werking voor ziekenhuizen die als essentiële entiteit kwalificeren.
Ziekenhuizen moesten uiterlijk op 18 maart 2025 geregistreerd zijn bij het CCB en moeten passende en risicogedreven beveiligingsmaatregelen treffen evenals significante incidenten melden. Daarop volgen conformiteitsbeoordelingen en, zo nodig, afdwingende maatregelen en sancties. De wet legt bovendien een dubbele taak bij het bestuur: goedkeuren en toezien op cyberrisicobeheersmaatregelen én verplichte opleiding voor leden van bestuursorganen, in ruime zin opgevat door de wetgever. Voor lokale mandatarissen die zitting hebben in zorgbesturen of toezicht uitoefenen, verschuift dit de lat van “bewustzijn” naar “bewijsbaar en aantoonbaar bestuur”.
Van regels naar realiteit: incidentrespons, ketenverantwoordelijkheid en leveranciersrisico’s
De NIS2-wet verplicht tot maatregelen die evenredig zijn met risico’s, omvang en potentiële maatschappelijke impact, inclusief aandacht voor toeleveranciers en openbaarmaking van kwetsbaarheden richting stakeholders. Dat AZ Monica snel overschakelde naar noodprocedures en provinciale coördinatie toont het belang van geteste incidentrespons, duidelijke escalatielijnen en externe meldingskanalen in een omgeving waar elke minuut telt. Besturen doen er goed aan om penetratietesten, risicoanalyses en crisisoefeningen te institutionaliseren, met een recurrent budgettaire verankering die beantwoordt aan actuele best practices in de zorg.
De prijs van ontwrichting: waarom strategische investeringen zich uitbetalen
De financiële impact van cyberaanvallen in Belgische ziekenhuizen varieert van enkele honderdduizenden euro’s tot meer dan vijf miljoen voor heropstart, afhankelijk van duur, scope en herstelcomplexiteit. Beleidsmatig is het daarom rationeel om structureel middelen vrij te maken, waarbij sectorstemmen pleiten voor substantiële verhogingen ten opzichte van de huidige overheidsinspanningen.
Voor zorgbesturen is de les helder: zonder robuust, aantoonbaar beleid – inclusief dedicated budget, CISO-rol, training en ketencontrole – vergroot elk incident niet alleen het gezondheidsrisico, maar ook de juridische en financiële exposure.
Niet te vergeten: datalek vereist bijkomende handelingen
Bovendien niet onbelangrijk: indien een cyberaanval gepaard gaat met een datalek zullen er aanvullende stappen door het bestuur moeten gezet worden naast deze in NIS2. Denk aan de interne melding en verificatie door de DPO evenals de interne registratie in de incidentenregisters. Vervolgens zal nagegaan moeten worden of een inbreuk leidt tot een “risico” voor de rechten en vrijheden van de betrokkene(n) in de zin van de AVG. Is dit het geval, dan zal ook een melding door de verwerkingsverantwoordelijke dienen te gebeuren bij de bevoegde toezichthoudende autoriteit binnen de 72 uur nadat hij kennis kreeg/moest krijgen van de desbetreffende inbreuk. In zoverre er tot slot sprake is van een hoog risico voor de rechten en vrijheden van de betrokkene(n) zullen zij ook in kennis moeten worden gesteld behoudens enkele wettelijke uitzonderingen.
Bestuur met bewijs, paraatheid met precisie
De cyberaanval tegen AZ Monica toont hoe snel zorgcontinuïteit onder druk komt, maar ook hoe een goed geoliede responsketen schade kan beperken en publieke veiligheid kan vrijwaren. Onder NIS2 is cyberbeveiliging niet louter een IT-dossier maar een kernverantwoordelijkheid van het bestuur, toetsbaar door CCB en sanctioneerbaar bij nalatigheid.
Wie voorziet, regeert: praemonitus, praemunitus.
Bij GD&A Advocaten begrijpen we als geen ander het belang van deze materie. Ons team staat dan ook steeds klaar om uw bestuur met kennis van zaken bij te staan.
In die zin zetten wij ook graag onze aankomende seminaries in Lokeren op 22 januari 2026 en in Hechtel-Eksel op 27 januari 2026 in de schijnwerper waarin wij ingaan op een ander delicaat cybersecurity-onderwerp, met name de ANPR-camera’s.
Inschrijven kan via de navolgende links:
- Seminarie Lokeren op 22 januari as.: Seminarie te Lokeren: Gemeenten aan het stuur: ANPR voor lokale handhaving – camerawet, GDPR, lokale (verkeers-)reglementen en aanbesteding ontrafeld. – GD&A Advocaten
- Seminarie Hechtel-Eksel op 27 januari as.: Seminarie te Eksel: Gemeenten aan het stuur: ANPR voor lokale handhaving – camerawet, GDPR, lokale (verkeers-)reglementen en aanbesteding ontrafeld. – GD&A Advocaten
