Zorgaanbieders vallen vanaf een bepaalde omvang automatisch onder de Cyberbeveiligingswet (Cbw). De belangrijkste vraag is daarom: ben ik eigenlijk een zorgaanbieder? En is mijn organisatie groot genoeg om Cbw-plichtig te zijn?
Ben ik een zorgaanbieder?
Om deze vraag te beantwoorden moeten we meerdere wetten erbij pakken. De Cyberbeveiligingswet verwijst voor de definitie van zorgaanbieder naar de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Daarin is een zorgaanbieder omschreven als een instelling, dan wel een solistisch werkende zorgverlener. De instelling is gedefinieerd als een rechtspersoon die bedrijfsmatig zorg verleent of een groepje natuurlijke personen die bedrijfsmatig zorg verlenen. Maar een instelling kan ook een natuurlijke persoon zijn die bedrijfsmatig zorg verleent. De zorgverlener is volgens de wet een natuurlijke persoon die beroepsmatig zorg verleent.
Wat voor soort zorg
Het begrip zorg wordt in de Wkkgz opgesplitst in verschillende soorten zorg: Wlz-zorg, Zvw-zorg en andere zorg. De Wkkgz geldt niet voor instellingen die uitsluitend werken onder de Wet maatschappelijke ondersteuning (Wmo 2015) of de Jeugdwet. En de Cyberbeveiligingswet daardoor ook niet. Instellingen die zowel zorg uit de Wkkgz als Wmo of Jeugdwet aanbieden, zoals een revalidatiecentrum met thuiszorg, vallen wel onder de Cyberbeveiligingswet.
Vindt de Cyberbeveiligingswet mij groot genoeg?
Dat lijkt een makkelijker te beantwoorden vraag. Zorgaanbieders moeten aan de Cyberbeveiligingswet voldoen als zij minimaal 50 fte in dienst hebben. Als dit niet het geval is, moet de organisatie zowel een jaaromzet van meer dan 10 miljoen euro als een balanstotaal van meer dan 10 miljoen euro hebben om onder de wet te vallen. Voldoet uw organisatie niet aan deze criteria, dan hoeft u niet aan de Cbw te voldoen.
Er zijn allerlei complexe organisatievormen waarvoor bovenstaande nog niet voldoende duidelijkheid geeft. Het ministerie van VWS geeft op internet informatie over de Cyberbeveiligingswet, via datavoorgezondheid.nl/weerbaarheid. Deze site bevat een 'vraag en antwoord'-rubriek en de mogelijkheid om vragen te stellen.
Vragen voor Z-CERT kunt u stellen via [email protected].