Penetratietest voor de Zorgsector.
EPD-portalen, patiëntenapplicaties en medewerkersportalen zijn gewilde doelwitten. Resync test handmatig op kwetsbaarheden — in NEN 7510-context, met respect voor patiëntdata en continuïteit van zorg.
Hoogste risico, hoogste impact.
De zorgsector heeft een uniek risicoprofiel: maximale waarde van data, minimale tolerantie voor downtime, en strikte wettelijke verplichtingen. Patiëntdossiers zijn op de zwarte markt 10× meer waard dan creditcardgegevens — ze worden gebruikt voor identiteitsfraude, verzekeringsfraude en chantage.
Tegelijkertijd is een ziekenhuis niet zomaar een paar uur offline te zetten "voor maintenance". Aanvallers weten dit, en gebruiken het. Ransomware-groepen kiezen zorginstellingen omdat ze sneller en hoger betalen dan andere sectoren.
In 2024 werden Nederlandse ziekenhuizen, GGZ-instellingen en huisartsenketens herhaaldelijk getroffen door cyberincidenten. Vaak via dezelfde kwetsbaarheidsklassen die met een handmatige pentest vooraf detecteerbaar waren geweest.
Pentest als toetsbaar bewijs.
NEN 7510 ("Informatiebeveiliging in de zorg") vereist dat zorginstellingen aantoonbaar maatregelen nemen om patiëntgegevens te beschermen. De norm vraagt niet expliciet om een pentest — maar wel om periodieke verificatie van technische beveiligingsmaatregelen. In de praktijk is een onafhankelijke penetratietest het standaardbewijs.
Wat een pentest dekt binnen NEN 7510
- A.12.6.1 — Beheer van technische kwetsbaarheden: aantoonbare identificatie en beoordeling
- A.14.2.8 — Beveiligingstests van systemen: vereist actieve verificatie
- A.18.2.3 — Beoordeling van technische naleving: pentest als objectief bewijs
- Risicobeheersing rond verwerkingen in AVG art. 32 — adequate technische maatregelen
Het rapport van Resync is opgebouwd om te dienen als bewijs richting NEN 7510-auditor, IGJ-toezicht, Autoriteit Persoonsgegevens en interne governance. Geen losse PDF — een gestructureerd document met management summary, technische bevindingen en hertest-verklaring.
Wat Resync test in zorginstellingen.
EPD-portalen & patiëntenportalen
Authenticatie, autorisatie, IDOR op patiëntidentifiers, koppelingen met DigiD/MijnOverheid, sessiebeheer.
Medewerkersportalen
Rollen en rechten, segregatie tussen disciplines, toegang tot dossiers buiten de behandelrelatie.
Online afsprakensystemen
Boekingsflows, herplanning, annuleringen — vaak met IDOR-risico's op afspraak-ID's en patiëntnummers.
Externe koppelingen
Integraties met labs, apotheken, verzekeraars en zorggroepen. API-tokens, mTLS, autorisatie per partij.
Netwerksegmentatie
Isolatie van medisch-technische apparatuur, OT-netwerken en kantoorautomatisering. Lateral movement-tests.
Web-publieke services
Externe websites, e-consult, intakeformulieren en chat-functies — vaak het eerste aanvalspad.
Veilig en zorgvuldig — zonder zorgverstoring.
Werken in een zorgomgeving vraagt om een aangepaste werkwijze. Resync hanteert standaard:
- Testen in acceptatie-omgeving waar dat kan, met synthetische data
- Voor productie-tests: vooraf vastgelegde "stop"-criteria en directe escalatielijn
- Geen exfiltratie van patiëntdata — bewijs via screenshots met geredacteerde data
- Geen denial-of-service-tests zonder expliciete schriftelijke toestemming
- Dagelijkse status-update tijdens de testperiode
- NDA én verwerkersovereenkomst (AVG art. 28) standaard
Bij een zorginstelling ontdekt Resync een IDOR-kwetsbaarheid in het patiëntenportaal waarmee dossiers van andere patiënten opvraagbaar waren door simpelweg het ID in de URL aan te passen. Aantoonbaar opgelost vóór productie-release — voorkomen datalek met potentieel tienduizenden betrokkenen.
Vragen vanuit de zorgsector.
Wat is een NEN 7510 penetratietest precies?
Werkt u in productie of in acceptatie?
Hoe verhoudt dit zich tot een externe IT-beheerder of leverancier?
Wordt er een verwerkersovereenkomst getekend?
Aantoonbare beveiliging voor uw zorginstelling.
Eén gesprek over scope, NEN 7510-context en planning. Vaste prijs offerte binnen één werkdag, gratis intake.
Plan gratis intake → Terug naar home