De zorgsector is wereldwijd een van de meest aangevallen sectoren. Medische gegevens zijn waardevol, gevoelig en niet terug te draaien als ze eenmaal in verkeerde handen zijn. In juni 2024 werden patiëntgegevens gestolen bij Synnovis, een laboratoriumleverancier voor NHS-ziekenhuizen in Londen, en later online gepubliceerd. In februari 2024 werd het Amerikaanse Change Healthcare gehackt via een Citrix-omgeving zonder multi-factor authenticatie, waardoor medische informatie van 100 miljoen mensen op straat kwam te liggen. In augustus 2025 trof een aanval op Clinical Diagnostics (voorheen Eurofins) bijna een miljoen deelnemers aan bevolkingsonderzoek in Nederland. En in april 2026 bevestigde ChipSoft, leverancier van het EPD HiX aan ruim 70 procent van de Nederlandse ziekenhuizen, dat patiëntgegevens waren buitgemaakt na een aanval van hackersgroep Embargo. 

Wat al deze incidenten gemeen hebben: zodra een partij waarvan zorginstellingen afhankelijk zijn wordt geraakt, trekken de gevolgen zich door het hele netwerk. Deze voorbeelden komen uit de bredere zorgsector, maar de vraag die ze oproepen is direct relevant voor klinisch onderzoek software en databescherming: hoe is jouw onderzoeksomgeving ingericht als een softwareleverancier uitvalt of aangevallen wordt? 

1. Welke eisen stel jij aan de leverancier waar jouw onderzoek op draait? 

In klinisch onderzoek lopen veel kritieke processen via software: studiemanagement, datacollectie, documentbeheer, toestemming van patiënten. Het is logisch om dat bij één partij onder te brengen, zodat alles samenhangt en data niet verspreid raakt over losse systemen. Maar dat maakt de keuze van die partij des te belangrijker. Als die leverancier uitvalt of gehackt wordt, heeft dat directe gevolgen voor de beschikbaarheid van data, de continuïteit van het onderzoek en de regulatory compliance. Stel jezelf de vraag: op welke gronden heb jij je softwareleverancier gekozen, en wanneer heb jij die keuze voor het laatst getoetst? 

2. Wat zegt de certificering van jouw leverancier? 

Certificeringen zoals ISO 27001, GDPR-compliance en NHS DSPT geven inzicht in hoe serieus een organisatie informatiebeveiliging neemt. ChipSoft beschikte over de nodige certificeringen en was de dominante leverancier in de Nederlandse ziekenhuiszorg. Toch kon een ransomware-aanval hen raken. Dat illustreert een belangrijk punt: certificering sluit het risico niet uit, maar het is wel een minimumstandaard die aantoont dat een leverancier extern getoetst wordt op zijn beveiligingsprocessen. Het is één van de dingen die je kunt controleren, naast het stellen van vragen over hoe een leverancier in de praktijk omgaat met incidenten. 

3. Weet jij waar jouw onderzoeksdata staan? 

Sponsors en onderzoekers die werken met een CTMS of EDC zijn verwerkingsverantwoordelijke voor de studiedata die daarin worden opgeslagen. Weet je waar jouw data staan en onder welk rechtsstelsel? Staat de server in Europa, en zo ja, bij welke hostingpartij? Wat staat er in de verwerkersovereenkomst over de locatie van de data? ResearchManager beschikt over eigen datacenters in Europa en biedt via Microsoft Azure ook opslag in regio’s wereldwijd. Welke regio van toepassing is, hangt af van de afspraken met jouw organisatie. De verantwoordelijkheid om dit te controleren en vast te leggen ligt bij jou als verwerkingsverantwoordelijke. 

4. Wat zegt jouw verwerkersovereenkomst over meldplicht? 

Een verwerkersovereenkomst met duidelijke afspraken over incidentmelding is geen formaliteit, maar een operationele waarborg. Bij het Clinical Diagnostics-incident moest ZCERT zelf ingrijpen om zorginstellingen te informeren, omdat de leverancier dat naliet. Conform de AVG geldt een meldplicht van 72 uur. Weet jij wat er in jouw verwerkersovereenkomst staat, en hoe snel jij geïnformeerd wordt bij een incident? 

Wanneer een softwareleverancier uitvalt, heeft dat direct gevolgen voor beschikbaarheid, datatoegang en vertrouwen. Juist daarom is beveiliging binnen ResearchManager ingericht als een samenhangend geheel van controles. 

Toegangsbeheersing 

Toegang tot studie- en patiëntdata wordt beheerd op basis van rollen en verantwoordelijkheden, zodat gebruikers alleen toegang hebben tot de informatie die zij nodig hebben. 

Audit logging en traceability 

Handelingen binnen het platform zijn herleidbaar via audit logging, waardoor wijzigingen, exports en gebruikersacties controleerbaar blijven. 

Risicomanagement en leveranciersbeoordeling 

Risico’s worden periodiek beoordeeld en leveranciers en hostingpartijen worden getoetst op security-eisen. 

Continuïteit en incidentrespons 

Processen zijn ingericht voor incidentmanagement, wijzigingsbeheer en business continuity, zodat de operationele impact bij een incident zo beperkt mogelijk blijft. 

Externe certificering en compliance: 

• ISO 27001 en NEN 7510 gecertificeerd: jaarlijkse externe audit 

• GDPR/AVG-compliant: verwerkersovereenkomsten, dataminimalisatie 

• NHS DSPT-gecertificeerd: vereist voor gebruik in UK-zorginstellingen 

• Dataopslag via eigen datacenters in Europa en Microsoft Azure: regio instelbaar per organisatie 

• Incidentresponsprotocol: conform AVG-meldplicht (72 uur) 

Stel jezelf en je leveranciers de volgende vragen: 

• Heeft mijn leverancier een actueel ISO 27001-certificaat? Wanneer was de laatste externe audit? 

• Is er een verwerkersovereenkomst met afspraken over incidentmelding binnen 72 uur? 

• Waar worden mijn onderzoeksdata opgeslagen, en onder welk rechtsstelsel? 

• Wat is de noodprocedure als de software uitvalt of aangevallen wordt? 

• Hoe snel word ik geïnformeerd bij een security-incident, en door wie? 

Wil je weten hoe ResearchManager deze vragen beantwoordt? Neem contact met ons op en we vertellen je graag hoe onze suite is ingericht om veilig, compliant en beschikbaar te blijven.