# Veilig e-mailen in de zorgsector

[[TOC]]

## Waarom e-mailbeveiliging extra belangrijk is in de zorg

Zorginstellingen zijn een populair doelwit voor cybercriminelen. Medische gegevens zijn op de zwarte markt meer waard dan creditcardgegevens, omdat ze permanent zijn en breed misbruikt kunnen worden voor identiteitsfraude, verzekeringsfraude en afpersing.

De meest voorkomende aanvalsvectoren in de zorg zijn:

- **Phishing:** valse e-mails die inloggegevens stelen, vaak gericht op medewerkers met toegang tot EPD-systemen.
- **Business Email Compromise (BEC):** aanvallers doen zich voor als directie of leverancier om betalingen of data te ontfutselen.
- **Ransomware via e-mailbijlagen:** besmette PDF's of Word-documenten die ransomware installeren.

:::warn title="E-mailbeveiliging is patiëntveiligheid"
Ransomware-aanvallen op ziekenhuizen hebben in meerdere gevallen direct de patiëntenzorg beïnvloed doordat systemen onbeschikbaar werden. E-mailbeveiliging is daarom geen IT-detail, maar een patiëntveiligheidskwestie.
:::

## Tweestapsverificatie afdwingen als verplichting

Ga in de Admin Console naar Beveiliging, Authenticatie, 2-stapsverificatie en stel het volgende in.

**Inschakeling:** zet de instelling op Verplicht voor alle gebruikers. Geef een aanloopperiode van twee weken zodat medewerkers hun methode kunnen instellen.

**Toegestane methoden:** voor maximale beveiliging in de zorg kies je de optie Alleen beveiligingssleutel. Deze optie accepteert sinds 2025 zowel fysieke FIDO2-beveiligingssleutels als passkeys, en biedt de sterkste bescherming tegen phishing. SMS is minder veilig vanwege SIM-swapping en kan worden uitgeschakeld voor gevoelige accounts.

**Uitzonderingen:** sommige gedeelde accounts (zoals een algemeen info@-adres) zijn lastig te combineren met tweestapsverificatie. Gebruik voor gedeelde mailboxen bij voorkeur een Google Groep met individuele accounts, zodat elke medewerker zijn eigen sterke authenticatie houdt.

:::tip title="Beheerders worden sinds 2025 verplicht"
Google dwingt tweestapsverificatie inmiddels af voor alle beheerdersaccounts. Super admins krijgen ongeveer 90 dagen vooraf bericht, overige beheerders circa 60 dagen. Stel het zelf in voordat de afdwinging actief wordt, zodat je niet wordt verrast.
:::

## Geavanceerde phishingbescherming in Gmail

Gmail biedt meerdere lagen bescherming die je bewust moet activeren.

**Enhanced Safe Browsing:** activeer dit voor alle gebruikers via de Admin Console onder Beveiliging. Hiermee worden links in e-mails gecontroleerd op kwaadaardige bestemmingen.

**Spoofingbescherming:** ga naar Apps, Gmail, Spam, phishing en malware. Schakel daar in:

- bescherming tegen domein-spoofing van werknemersnamen,
- bescherming tegen lookalike-domeinen,
- bescherming tegen onbevestigde afzenders die DMARC niet doorstaan.

**Bijlagescanning:** Gmail scant bijlagen automatisch op malware. Stel daarnaast in dat wachtwoordbeveiligde archieven worden geblokkeerd, behalve van vertrouwde afzenders.

:::howto title="Phishingbescherming maximaal instellen"
1. Ga naar Apps, Gmail, **Spam, phishing en malware**.
2. Activeer **Enhanced pre-delivery message scanning** voor extra controle vlak voor aflevering.
3. Schakel alle spoofingbescherming-opties in.
4. Activeer veiligheidswaarschuwingen voor ongebruikelijke activiteit.
5. Stel quarantaine in voor berichten die de spoof-detectie triggeren.
6. Maak een **Security Sandbox** aan (beschikbaar in de Enterprise-edities) om verdachte bijlagen in een geïsoleerde omgeving te laten detoneren.
:::

## SPF, DKIM en DMARC configureren

Als zorginstelling ben je zelf ook verantwoordelijk voor het voorkomen dat criminelen jouw domein misbruiken om phishingmails te versturen. Configureer de volgende drie records.

**SPF (Sender Policy Framework):** voeg een SPF-record toe aan je DNS dat aangeeft welke servers e-mail mogen versturen namens jouw domein.

**DKIM (DomainKeys Identified Mail):** activeer DKIM-ondertekening in de Admin Console onder Apps, Gmail, Verificeer e-mail. Google genereert een sleutelpaar; voeg de publieke sleutel toe aan je DNS.

**DMARC (Domain-based Message Authentication):** begin met een beleid van `p=none` om te monitoren, ga daarna naar `p=quarantine` en uiteindelijk naar `p=reject`. Configureer een `rua`-adres om rapporten te ontvangen.

:::info title="Volgorde is belangrijk"
Zet SPF en DKIM eerst goed werkend voordat je DMARC op `quarantine` of `reject` zet. Anders kunnen legitieme berichten (bijvoorbeeld van een afsprakensysteem of nieuwsbrieftool) onterecht worden geblokkeerd. Monitor minimaal twee weken met `p=none` voordat je verscherpt.
:::

## Medewerkerstraining

Technische maatregelen zijn onvoldoende zonder bewustzijn bij medewerkers. Voer minimaal jaarlijks een phishing-simulatie uit en bied training aan op de volgende punten:

- het herkennen van verdachte afzenderadressen,
- nooit inloggegevens invullen via een e-maillink, maar altijd direct naar de website navigeren,
- verdachte bijlagen melden via een vast intern kanaal,
- urgentie herkennen als manipulatietechniek, want aanvallers creëren bewust kunstmatige tijdsdruk.

Maak gebruik van bewustwordingstraining of schakel een externe partij in die gespecialiseerd is in security voor de zorgsector.

## Verdachte activiteit signaleren

Stel meldingsregels in via de Admin Console onder Beveiliging, Waarschuwingscentrum, en via Rapporten:

- massale e-mailverzending door een gebruiker, wat kan duiden op compromittering,
- inlogpoging vanuit een onbekend land,
- verdachte e-mailactiviteit gemeld door het Waarschuwingscentrum,
- het uitschakelen van tweestapsverificatie door een gebruiker.

Stuur deze meldingen naar een beveiligingsfunctionaris of IT-afdeling die ook buiten kantooruren bereikbaar is voor urgente incidenten.

:::faq
### Een medewerker heeft op een phishing-link geklikt, wat nu?
Wijzig direct het wachtwoord van het account en trek alle actieve sessies in via de Admin Console onder Gebruikers. Controleer daarna de auditlogs op verdachte activiteit in de afgelopen uren en meld het incident bij de Functionaris Gegevensbescherming. Bij vermoeden van een datalek geldt mogelijk een meldplicht.

### Zijn hardware-beveiligingssleutels verplicht in de zorg?
Niet wettelijk verplicht, maar sterk aanbevolen voor accounts met toegang tot systemen die patiëntgegevens bevatten. Een FIDO2-sleutel kost eenmalig ongeveer 40 tot 60 euro per medewerker. Een passkey op een beheerde telefoon is een goed en gratis alternatief.

### Hoe voorkom ik dat medewerkers hun werk-e-mail gebruiken voor privé-aanmeldingen?
Stel DLP-regels in die waarschuwen als het werkadres wordt gebruikt bij bekende consumentenplatforms. Ondersteun dit met duidelijk beleid en periodieke training.

### Mag ik wachtwoorden opslaan in Chrome op een werkcomputer?
Op een beheerd apparaat met een gesynchroniseerd werkaccount is dit acceptabel. Voor gevoelige toepassingen is een enterprise wachtwoordbeheerder met beleidscontrole de betere keuze, gecombineerd met tweestapsverificatie op de accounts zelf.

### Wat is het verschil tussen quarantaine en blokkeren bij verdachte mail?
Bij quarantaine wordt het bericht apart gezet zodat een beheerder het kan beoordelen en eventueel alsnog vrijgeven. Bij blokkeren wordt het bericht direct geweigerd. Voor zorgomgevingen is quarantaine vaak veiliger, omdat een onterecht tegengehouden afspraakbevestiging zo niet definitief verloren gaat.
:::