Kosten van een datalek in de Nederlandse zorg

april 2026

De zorg is wereldwijd al meer dan een decennium de duurste sector als het gaat om datalekken. Volgens IBM liggen de gemiddelde kosten van een datalek in de gezondheidszorg verreweg het hoogst van alle sectoren — en dat is al zo sinds 2010. Recentelijk ging het om circa $9,77 miljoen per incident.1

In de Benelux bedragen de gemiddelde kosten van een datalek volgens het IBM Cost of a Data Breach Report 2025 zo’n €6 miljoen — een stijging ten opzichte van €5,45 miljoen het jaar daarvoor.2

Ter vergelijking: de Autoriteit Persoonsgegevens (AP) zag dat een cyberaanval een organisatie gemiddeld €103.976 kost — maar dat is het gemiddelde over álle sectoren inclusief kleinere incidenten.3 Bij grotere aanvallen zoals ransomware op ziekenhuizen of laboratoria loopt dit snel op naar miljoenen. Voor zorginstellingen ligt dat bedrag structureel hoger dan dit gemiddelde. Organisaties in de gezondheidszorg zijn het slechtst af; de kosten van een datalek liggen ongeveer 60% hoger dan voor bedrijven in andere sectoren.1

Hoe zijn die kosten opgebouwd?

De kosten vallen uiteen in twee grote categorieën:

Directe kosten (~34% van het totaal)

  • Forensisch onderzoek en detectie van het lek
  • IT-herstel en het dichten van kwetsbaarheden
  • Juridische bijstand en externe consultants
  • Verplichte melding aan de AP (binnen 72 uur) en aan gedupeerden
  • Eventueel losgeld bij ransomware

Indirecte kosten (~66% van het totaal — de grootste post)

De indirecte kosten vormen de grote meerderheid: verlies van omzet, daling van het aantal klanten/patiënten, merkschade en verloren tijd. De categorie “verlies van werk” — omzetverlies door downtime en verstoring van activiteiten — zorgt gemiddeld voor het grootste deel van de totale kosten.

Specifiek voor de zorg komen daar nog bij:

  • AVG-boetes: het HagaZiekenhuis kreeg eerder al €460.000 opgelegd voor onvoldoende beveiliging van patiëntendossiers (later door de rechter verlaagd naar €350.000).4
  • Reputatieschade en zorgmijding: onderzoekers waarschuwden dat zorgmijding een veelvoorkomende reactie is op privacyproblemen in de zorg, wat leidt tot structureel omzetverlies.
  • Phishing-naschade: na een hack op medische data worden gedupeerden vaak het doelwit van gerichte phishing, wat extra crisismanagement vereist.

Zorginstellingen in zwaar gereguleerde sectoren maken bovendien extra kosten bij een datalek, zoals boetes en straffen, naleving van wettelijke vereisten, en activiteiten als monitoring of het opnieuw verschaffen van accounts.

Waarom zijn die kosten in de zorg zo hoog?

De reden dat de zorgsector al zo lang een populair doelwit is voor hackers ligt onder meer in het feit dat niet alle technologieën bij zorginstellingen up-to-date zijn, terwijl deze organisaties extra kwetsbaar zijn voor verstoringen vanwege de veiligheid van patiënten.

Cybercriminelen gebruiken medische dossiers als drukmiddel en zetten daarmee extra druk op getroffen organisaties om losgeld te betalen.

Conclusie

Een serieus datalek in de Nederlandse zorg kost al snel meerdere miljoenen euro’s, waarbij de onzichtbare kosten (reputatie, zorgmijding, langdurige hersteltrajecten) de directe IT-kosten ruimschoots overtreffen.

  1. IBM, Cost of a data breach: The healthcare industry. https://www.ibm.com/think/insights/cost-of-a-data-breach-healthcare-industry ↩︎ ↩︎

  2. IBM, Cost of a Data Breach Report 2025 (Benelux-cijfers via Emerce). https://www.emerce.nl/wire/kosten-datalekken-benelux-gestegen-tot-gemiddeld-6-miljoen-ondanks-wereldwijde-daling-gemiddelde-kosten ↩︎

  3. Autoriteit Persoonsgegevens, Datadiefstal door cybercriminelen verdubbeld (Datalekkenrapportage 2024). https://www.autoriteitpersoonsgegevens.nl/actueel/ap-datadiefstal-door-cybercriminelen-verdubbeld ↩︎

  4. Autoriteit Persoonsgegevens, Boete HagaZiekenhuis. https://www.autoriteitpersoonsgegevens.nl/documenten/boete-hagaziekenhuis ↩︎