Het Maasstad Ziekenhuis oefent meerdere keren per jaar met realistische scenario’s voor grootschalige calamiteiten. In de oefening van december 2025 stonden de gevolgen van een cyberaanval centraal. Patrick Molendijk, adviseur crisisbeheersing & bhv bij het ziekenhuis, deelt de inzichten die zijn opgedaan.
Stel je voor: een cybercrimineel verstoort het waterdistributiesysteem van een waterbedrijf. Daardoor valt de waterdruk in een nabijgelegen ziekenhuis weg. Vervolgens komt er geen drinkwater meer uit de kraan. Bovendien dreigen de ICT-systemen oververhit te raken, waardoor allerlei essentiële systemen, zoals het Elektronisch Patiënten Dossier, uitvallen. Een dergelijke gebeurtenis heeft natuurlijk grote gevolgen voor de zorg in het ziekenhuis. Het is een realistisch scenario. Reden voor het Maasstad Ziekenhuis in Rotterdam om er een calamiteitenoefening voor te organiseren.
Oefenen volgens plan
In samenwerking met de Veiligheidsregio Zuid-Holland Zuid heeft de Stichting Samenwerkende Rijnmond Ziekenhuizen (SZR) in februari 2025 een gezamenlijk responsplan voor cyberweerbaarheid gemaakt. Het plan helpt de negen ziekenhuizen in de regio om bij cybergerelateerde incidenten gecoördineerd samen te werken en elkaar te ondersteunen.
“In onze calamiteitenoefening wilden we mensen van het Maasstad Ziekenhuis praktisch laten oefenen met het responsplan”, vertelt Patrick Molendijk, adviseur crisisbeheersing & bhv bij het Maasstad Ziekenhuis. Molendijk is ook informatiemanager bij de Veiligheidsregio Zuid-Holland Zuid. Bij grote incidenten zorgt de informatiemanager voor de input van gegevens over de situatie en voor de verslaglegging van acties en besluiten.
Voorbereidingen
De voorbereidingen op de crisisoefening over cyberweerbaarheid startten ruim vier maanden eerder. “Een belangrijke afweging om de oefening te laten plaatsvinden in december, was dat een aantal sleutelfunctionarissen de opleiding voor operationeel crisiscoördinator in de zorg dan zouden afronden. Tijdens de opleiding vinden al diverse oefeningen plaats. Maar deze grootschalige oefening geeft de mogelijkheid om een complex scenario te ervaren, dat gedurende ruim drie uur wordt uitgewerkt.”
Het Maasstad Ziekenhuis is een zogeheten topklinisch ziekenhuis in Rotterdam-Zuid. Ieder jaar bezoeken ruim 450.000 patiënten de poliklinieken, en het ziekenhuis beschikt over 600 bedden. Er werken zo’n 3500 mensen. Twee tot drie keer per jaar vindt er een grootschalige calamiteitenoefening plaats. Molendijk werkt daarbij samen met een extern trainingsbureau. “We kijken naar de actualiteit en interne plannen om de thematiek en insteek van de oefening te bepalen. We werken vervolgens een scenario uit dat aansprekend is voor de deelnemers.”
Bhv in de hulplijn
De oefening in december richtte zich vooral op de training van het crisisbeleidsteam, het crisiscommunicatieteam en het Computer Emergency Response Team (CERT) van het ziekenhuis. Daarnaast is er een zogenoemd operationeel team aangehaakt, met onder meer de zorgincidentmanager en het hoofd van de technische dienst. “Bij elk van de vier teams is een waarnemer van het trainingsbureau aanwezig, die het proces in het vizier houdt en zo nodig de mensen coachend begeleidt. Hoe gaan de deelnemers om met dilemma’s? Volgen ze de overlegstructuur? Is er een time-out nodig om te reflecteren op de aanpak?”
De vier teams zijn uitgedaagd door een responsteam. Het gaat om collega’s en netwerkpartners die – als onderdeel van het scenario – meldingen over de situatie doorgeven aan het crisisbeleidsteam. Zo signaleren de coördinator van de spoedeisende eerste hulp, het hoofd van de dialyse-afdeling en de voorzitter van de raad van bestuur van een nabijgelegen ziekenhuis dat er geen water meer uit de kraan komt. Molendijk: “Het crisisbeleidsteam kan ook hulplijnen inschakelen, bijvoorbeeld het Team Opvang Familie, de technische dienst en de bhv. Als er wordt gesproken over de mogelijkheid dat er afdelingen moeten worden ontruimd, dan is de bhv een logische partner. Bijvoorbeeld om de evacuatie en opvang voor te bereiden.”
Kleine en grote oefeningen met de bhv
Bij het Maasstad Ziekenhuis zijn ongeveer 150 bhv’ers actief, die worden aangestuurd door tien bhv-ploegleiders. “Er zijn maandelijkse bhv-oefeningen, die doorgaans kleinschaliger zijn. Soms zijn hulpdiensten zoals de brandweer betrokken. Bijvoorbeeld als er wordt geoefend met een bijzondere afdeling, zoals pathologie, radiologie of andere plaatsen waar de brandweer niet vaak komt. Of als er een scenario ligt waarin gevaarlijke stoffen een rol spelen.”
De bhv-organisatie wordt ook ingezet bij grootschalige calamiteitenoefeningen. “Zo was er in mei een oefening over het Ziekenhuis Rampen Opvang Plan (ZIROP). Het scenario draaide om de opvang van een groot aantal slachtoffers. Zo’n oefening versterkt het bewustzijn over de inzetbaarheid en toegevoegde waarde van bhv’ers.”
Levensecht scenario
Een van de doelen van de oefening over cyberweerbaarheid was om na te gaan hoe de verschillende teams in een cybergerelateerde crisissituatie handelen. “Het scenario is ervaren als zeer actueel en herkenbaar”, zegt Molendijk in een terugblik. “Centraal staat een statelijke actor die via Telegram een persoon rekruteert om kwaadwillende acties uit te voeren bij een essentiële voorziening. De deelnemers vinden dat realistisch. Vooral voor het CERT is het scenario levensecht, omdat de ICT-implicaties van een cyberaanval in de oefening zijn vertaald naar de specifieke situatie in ons ziekenhuis. Verder is het fantastisch om te merken dat er veel commitment is voor een crisisoefening. Iedereen met een rol in het scenario heeft actief deelgenomen, en iedereen onderkent het belang van zo’n oefening.”
Evaluatie van de oefening
Aan het slot van de oefening is een eerste evaluatie gedaan. “De waarnemers die aanwezig waren bij de teams, hebben hun indrukken gedeeld met de deelnemers. De ervaringen van de vier teams zijn vervolgens plenair besproken. Het is mooi om te zien dat zelfs de nieuwe collega’s al heel goed functioneren. De teams hebben ook de vergaderstructuur voor crisisoverleg gebruikt.”
De vergaderstructuur is gebaseerd op de zogeheten BOBOC-methodiek, een gestructureerde aanpak voor crisismanagement en besluitvorming. BOBOC staat voor Beeldvorming, Oordeelsvorming, Besluitvorming, Opdracht en Controle. Elk overleg doorloopt deze vijf fasen, zodat alle aanwezigen in zeer korte tijd op de hoogte zijn van de knelpunten en actiepunten.
De volledige evaluatie vindt plaats na de verwerking van een schriftelijke vragenlijst, op basis waarvan het trainingsbureau een rapportage maakt. “Daarop vooruitlopend kunnen we al zeggen dat het recente responsplan van de SZR en de crisisplanvorming van ons ziekenhuis goed zijn toegepast. Er zijn natuurlijk altijd kleine, technische verbeterpunten. Maar het is duidelijk dat de fundamentele onderdelen van de aanpak tussen de oren zitten van de betrokkenen. Zo zijn netwerkpartners, waaronder de veiligheidsregio en de geneeskundige hulpverleningsorganisatie in de regio (GHOR), al in een vroeg stadium aangehaakt.”
Bhv’ers dragen bij aan weerbaarheid
“We gaan zeker vaker oefenen met een scenario voor een cyberdreiging. Er zijn zo veel ontwikkelingen in digitale risico’s waarop je voorbereid wilt zijn”, blikt Molendijk vooruit. “De bhv is daarbij een belangrijke interne partner. Er zit zoveel kracht in de bhv’ers die klaar staan in noodsituaties – zij dragen echt bij aan de weerbaarheid van de organisatie. Bij evacuaties en de begeleiding van slachtoffers zijn extra handen hard nodig. Ik zou elke organisatie aanraden om de bhv-organisatie te betrekken bij crisisoefeningen.”