Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Senate bevordert Healthcare Cybersecurity Act 2026: Belangrijkste bepalingen
Senate bevordert Healthcare Cybersecurity Act 2026: Belangrijkste bepalingen

Senate bevordert Healthcare Cybersecurity Act 2026: Belangrijkste bepalingen

by Danielle Barbour updated mei 19, 2026 HIPAA-naleving
Reading Time: 9 minutes

Belangrijkste punten

  1. Historische Bipartisane Stemming Brengt Wetsvoorstel Verder. De Senaatscommissie HELP stemde met 22-1 vóór de Health Care Cybersecurity and Resiliency Act, wat wijst op sterke wetgevende vooruitgang richting afdwingbare vereisten.
  2. Verplichte Cybersecuritymaatregelen Vereist. HIPAA-gereguleerde entiteiten moeten onder de nieuwe wetgeving MFA, encryptie van PHI, penetratietesten en NIST-frameworkafstemming implementeren.
  3. Safe Harbor Stimuleert Proactieve Naleving. Organisaties die gedurende 12 aaneengesloten maanden erkende beveiligingspraktijken aantonen voorafgaand aan een incident, komen in aanmerking voor lagere handhavingsboetes.
  4. Strengere Meldingsregels en Subsidies voor Plattelandsgebieden. Entiteiten moeten het aantal getroffen personen vermelden in patiëntmeldingen, wat het risico op rechtszaken vergroot, terwijl federale subsidies gericht zijn op zorgverleners met beperkte middelen.

Op 26 februari 2026 stemde de Senate Health, Education, Labor, and Pensions (HELP) Committee met 22-1 vóór het doorvoeren van de Health Care Cybersecurity and Resiliency Act. Het wetsvoorstel wordt gesponsord door HELP-voorzitter Bill Cassidy (R-LA), Mark Warner (D-VA), John Cornyn (R-TX) en Maggie Hassan (D-NH). Alleen senator Rand Paul (R-KY) stemde tegen.

Die stemverhouding is veelzeggend. In een Congres waar bipartijdige overeenstemming zeldzaam is, duidt een 22-1 stemming op echte wetgevende voortgang. Dit is geen symbolische boodschap — het is een wetsvoorstel met impact, gesteund door leden van beide partijen die de Change Healthcare-catastrofe zagen en besloten dat de huidige situatie onhoudbaar was.

Indien aangenomen, betekent dit de meest ingrijpende hervorming van cybersecurity in de zorg sinds de HITECH-wet van 2009. Dat is 17 jaar aan stapsgewijze richtlijnen en vrijwillige kaders die plaatsmaken voor afdwingbare vereisten.

Een Complete Checklist van HIPAA-naleving Vereisten

Lees nu

5 Belangrijkste punten

1. De Senaatscommissie HELP stemde met 22-1 vóór baanbrekende cybersecuritywetgeving voor de zorg.

De bipartisane Health Care Cybersecurity and Resiliency Act, gesponsord door senatoren Cassidy, Warner, Cornyn en Hassan, verplicht MFA, encryptie van beschermde gezondheidsinformatie, penetratietesten en NIST-frameworkafstemming voor alle HIPAA-gereguleerde entiteiten. Senator Rand Paul was de enige tegenstemmer.

2. Een geformaliseerde safe harbor creëert een direct financieel voordeel om nu te starten met naleving.

Het wetsvoorstel verlaagt handhavingsboetes voor entiteiten die gedurende 12 of meer aaneengesloten maanden erkende cybersecuritypraktijken aantonen voorafgaand aan een incident. De safe harbor-periode gaat in zodra de nalevingsdocumentatie start — waardoor directe investering strategisch verstandig is, ongeacht het tijdspad van de uiteindelijke goedkeuring.

3. Aangescherpte meldingsregels bij datalekken vergroten het risico op collectieve rechtszaken aanzienlijk.

HIPAA-gereguleerde entiteiten moeten nu het aantal getroffen personen opnemen in meldingen die direct aan patiënten worden gestuurd — niet alleen in rapporten aan HHS. Advocaten van eisers zullen deze aantallen gebruiken in collectieve rechtszaken. Organisaties dienen hun incident response-plannen nu te actualiseren om snelle bepaling van de omvang mogelijk te maken.

4. Een federaal subsidieprogramma richt zich specifiek op zorgverleners in plattelandsgebieden en met beperkte middelen.

De wet voorziet in subsidies voor plattelandsziekenhuizen, klinieken, kankercentra, Indian Health Service-faciliteiten en academische gezondheidscentra — waarmee direct wordt ingespeeld op de kritiek op de kostenlast van de voorgestelde HIPAA Security Rule-update. Zorgverleners in plattelandsgebieden moeten nu brancheverenigingen benaderen en subsidieaanvragen voorbereiden.

5. Indien aangenomen, is dit de meest ingrijpende hervorming van cybersecurity in de zorg sinds de HITECH-wet van 2009.

De ransomware-aanval op Change Healthcare in 2024 — waarbij ongeveer 190 miljoen personen werden getroffen — werd herhaaldelijk genoemd als aanleiding voor de wetgeving. Na 17 jaar van stapsgewijze, vrijwillige richtlijnen komen er nu afdwingbare vereisten. De richting is duidelijk, ongeacht welk wetgevend traject als eerste wordt afgerond.

De Change Healthcare Wake-Up Call

Deze wetgeving is niet uit het niets ontstaan. De ransomware-aanval op Change Healthcare in februari 2024 was het grootste datalek in de zorg in de Amerikaanse geschiedenis en trof uiteindelijk circa 190 miljoen mensen. Dat is meer dan de helft van de Amerikaanse bevolking.

De aanval verstoorde apotheekprocessen, vertraagde de verwerking van verzekeringsclaims en dwong zorgverleners in het hele land wekenlang tot handmatige processen. De financiële schade liep in de miljarden. En de oorzaak was bekend: onvoldoende toegangsbeheer, ontbrekende multi-factor authenticatie en gebrekkige netwerksegmentatie.

Senatoren verwezen tijdens het commissietraject herhaaldelijk naar Change Healthcare. De boodschap was duidelijk: de huidige HIPAA Security Rule — grotendeels ongewijzigd sinds 2003 — is geschreven voor een ander tijdperk. Het dateert van vóór ransomware als verdienmodel, cloud-first zorginfrastructuur, grootschalige telezorg en AI-ondersteunde klinische tools.

Wat het wetsvoorstel daadwerkelijk vereist

De Health Care Cybersecurity and Resiliency Act introduceert diverse nieuwe vereisten voor HIPAA-gereguleerde entiteiten.

Verplichte minimale cybersecuritypraktijken. Het wetsvoorstel vereist dat HIPAA-gedekte entiteiten en zakenpartners MFA implementeren voor alle systemen die toegang hebben tot PHI, encryptie van PHI in rust en onderweg, regelmatige penetratietesten en afstemming met NIST-frameworks. Dit zijn geen vrijblijvende aanbevelingen meer, maar verplichtingen. Voor organisaties die deze maatregelen al hebben ingevoerd is dit een bevestiging. Voor het grote aantal dat dat niet heeft gedaan, is het een nalevingstermijn die onmiddellijke aandacht vereist.

Safe harbor voor proactieve beveiliging. Een van de belangrijkste strategische bepalingen in het wetsvoorstel is een geformaliseerde safe harbor die handhavingsboetes verlaagt voor entiteiten die gedurende minimaal 12 maanden erkende cybersecuritypraktijken aantonen voorafgaand aan een incident. Als uw organisatie een datalek ervaart maar continue naleving kan aantonen, krijgt u lagere boetes tijdens een HHS-onderzoek. Dat is een concreet financieel voordeel om nu te starten met naleving.

Uitgebreide meldingsvereisten bij datalekken. Het wetsvoorstel verplicht entiteiten om het aantal getroffen personen op te nemen in meldingen aan betrokkenen — niet alleen in rapporten aan HHS. 50.000 mensen laten weten dat ze deel uitmaken van een datalek van 50.000 mensen is heel anders dan melden dat ze zijn getroffen zonder het aantal te noemen. Advocaten van eisers zullen deze aantallen gebruiken in collectieve rechtszaken. Organisaties moeten rekening houden met meer risico op rechtszaken en hun incident response-plannen daarop aanpassen.

Federaal subsidieprogramma voor zorgverleners met beperkte middelen. De wet voorziet in subsidies die zich specifiek richten op ziekenhuizen, kankercentra, plattelandsklinieken, Indian Health Service-faciliteiten en academische gezondheidscentra. Het wetsvoorstel verplicht HHS ook om specifieke cybersecurityrichtlijnen uit te brengen voor plattelandsentiteiten, gericht op het voorkomen van datalekken, weerbaarheidsplanning en coördinatie met federale instanties.

ASPR als Sector Risk Management Agency. Het wetsvoorstel wijst de Administration for Strategic Preparedness and Response aan als Sector Risk Management Agency voor de zorg, en verplicht HHS om een incident response-plan voor cybersecurity te ontwikkelen in samenwerking met CISA. Dit zorgt voor duidelijkere federale verantwoordelijkheid voor cybersecurity in de zorg.

De Reguleringsconvergentie: Dit wetsvoorstel staat niet op zichzelf

De Health Care Cybersecurity and Resiliency Act loopt parallel aan de lopende herziening van de HIPAA Security Rule door HHS, voorgesteld in de laatste weken van de Biden-regering en naar verwachting afgerond in mei 2026. De voorgestelde update van de Security Rule maakt MFA, encryptie, 72-uurs meldplicht van datalekken aan HHS en jaarlijkse penetratietesten verplicht — vereisten die grotendeels overlappen met deze wetgeving.

Het wetsvoorstel heeft minder tegenstand gekregen vanuit de sector dan de Security Rule-update, omdat het een subsidieprogramma bevat en niet dezelfde kostenramingen met zich meebrengt. Als de Security Rule-update politiek vastloopt, kan deze wetgeving het belangrijkste voertuig worden voor cybersecurityhervorming in de zorg.

De strategische boodschap voor HIPAA-nalevingsteams: of de vereisten nu via wetgeving, regelgeving of beide komen, MFA, encryptie, penetratietesten en verbeterde meldingsplicht komen eraan. Alleen de tijdslijn is nog onzeker. Organisaties die nu een gap-analyse uitvoeren, zijn voorbereid, ongeacht welk traject als eerste wordt afgerond.

Wat HIPAA-gereguleerde entiteiten nu moeten doen

Het wetsvoorstel moet nog een volledige Senaatsstemming en goedkeuring door het Huis van Afgevaardigden doorlopen voordat het op het bureau van de president belandt. Maar de 22-1 commissie-stemming, gecombineerd met de parallelle Security Rule-regelgeving, maakt de richting overduidelijk.

Begin met MFA. Als uw organisatie nog geen multi-factor authenticatie heeft uitgerold voor alle systemen die toegang hebben tot PHI, is dat het belangrijkste startpunt. MFA is de maatregel die het vaakst wordt genoemd bij handhavingsacties en het meest direct is gekoppeld aan het voorkomen van aanvallen op basis van inloggegevens, zoals bij Change Healthcare. Het organisatiebreed uitrollen van MFA vereist planning, testen en verandermanagement — begin nu, niet pas na definitieve goedkeuring.

Documenteer alles voor de safe harbor. De safe harbor-bepaling beloont organisaties die 12 maanden erkende beveiligingspraktijken kunnen aantonen. Die klok moet nu al lopen. Als uw organisatie over 18 maanden wordt gecontroleerd of een incident ervaart, wilt u al 12 maanden aan gedocumenteerde naleving kunnen overleggen. Continue nalevingsdocumentatie verandert een datalek van een regelrechte ramp in een beheersbaar incident.

Werk meldingsprocessen bij voor datalekken. De verplichting om het aantal getroffen personen op te nemen in meldingen aan slachtoffers verandert het juridische risicoprofiel. Werk uw incident response-plan bij om snelle omvangsbepaling mogelijk te maken, stem af met juridisch advies over het risico op collectieve rechtszaken en zorg dat uw forensische mogelijkheden snel en accuraat het aantal getroffen personen kunnen vaststellen.

Zorgverleners in plattelandsgebieden: neem deel aan het subsidieprogramma. Bent u een plattelandsziekenhuis, kliniek of IHS-faciliteit, neem dan nu contact op met brancheverenigingen die het subsidieprogramma volgen. Federale subsidies vereisen dat u klaar bent voor de aanvraag, en organisaties die vooruit plannen kunnen snel handelen zodra financiering beschikbaar komt.

Wat Kiteworks-klanten moeten weten

Elke kernvereiste in de Health Care Cybersecurity and Resiliency Act sluit direct aan op de mogelijkheden die het Kiteworks Private Data Network al biedt voor zorgorganisaties.

MFA en enterprise-authenticatie. Kiteworks biedt MFA via RADIUS, PIV/CAC, OTP en integratie met externe 2FA, met single sign-on via SAML, OAuth, LDAP en Azure AD — waarmee direct wordt voldaan aan de MFA-verplichting uit het wetsvoorstel.

Encryptie met FIPS-gevalideerde modules. PHI wordt beschermd met dubbele AES-256 encryptie op bestands- en schijfniveau met FIPS 140-2 gevalideerde modules. Encryptiesleutels onder beheer van de klant zorgen dat organisaties zeggenschap houden over hun data — en voldoen aan de encryptievereisten van het wetsvoorstel op het hoogste niveau.

NIST-frameworkafstemming en defense-in-depth. De hardened virtual appliance-architectuur — ingebouwde WAF, netwerkfirewall en inbraakdetectie — sluit aan bij de NIST-frameworkvereisten en biedt de zero trust-gegevensbescherming die de wetgeving voor ogen heeft.

Klaar voor meldingen van datalekken. De geconsolideerde audit log van Kiteworks registreert elke data-interactie in realtime zonder throttling, en levert het forensisch bewijs dat nodig is om de omvang van een datalek snel te bepalen en het aantal getroffen personen accuraat te rapporteren. Vooraf gebouwde HIPAA-nalevingsdashboards verkorten de voorbereiding van audits van weken naar uren.

Safe harbor-documentatie. De continue nalevingsdocumentatie van Kiteworks creëert het 12-maanden trackrecord van erkende beveiligingspraktijken dat het wetsvoorstel beloont. Eén beleidssysteem voor beveiligde e-mail, beveiligde bestandsoverdracht, SFTP, beheerde bestandsoverdracht en webformulieren zorgt voor consistente, verifieerbare controles.

De nalevingsklok tikt al

De Health Care Cybersecurity and Resiliency Act is het duidelijkste signaal tot nu toe dat cybersecurityregulering in de zorg verschuift van vrijwillige richtlijnen naar afdwingbare verplichtingen. De 22-1 stemming, de bipartisane steun en de wake-up call van Change Healthcare wijzen allemaal dezelfde kant op.

De vraag is niet of de vereisten voor cybersecurity in de zorg strenger worden. Dat gebeurt al. De vraag is of uw organisatie vooroploopt — naleving documenteert, de safe harbor verdient en risico’s verlaagt — of achteraf moet bijbenen als de regels ingaan. Organisaties die nu stappen zetten, vermijden niet alleen boetes. Ze beschikken ook over de beveiligingsarchitectuur die voorkomt dat het volgende Change Healthcare-incident bij hen plaatsvindt.

Wilt u meer weten over het beschermen van de PHI van uw patiënten volgens de Health Care Cybersecurity and Resiliency Act? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Het wetsvoorstel verplicht MFA, encryptie van PHI in rust en onderweg, penetratietesten en NIST-frameworkafstemming voor alle HIPAA-gereguleerde entiteiten. Dit worden verplichte minimumeisen — geen vrijblijvende aanbevelingen. Het wetsvoorstel verscherpt ook de meldingsplicht bij datalekken en stelt subsidies beschikbaar voor zorgverleners met beperkte middelen.

De safe harbor verlaagt handhavingsboetes voor organisaties die gedurende 12 aaneengesloten maanden erkende cybersecuritypraktijken aantonen voorafgaand aan een incident. Documenteer uw beveiligingsmaatregelen nu — de 12-maandenklok moet al lopen. De safe harbor beloont proactieve investering, niet reactieve HIPAA-naleving.

De ransomware-aanval op Change Healthcare in 2024 legde de gegevens van circa 190 miljoen mensen bloot en werd herhaaldelijk genoemd als aanleiding voor de wetgeving. De kern: het datalek bewees dat de bestaande HIPAA Security Rule — grotendeels ongewijzigd sinds 2003 — ontoereikend was tegen moderne dreigingen.

De nieuwe regels verplichten HIPAA-gereguleerde entiteiten om het aantal getroffen personen op te nemen in meldingen die direct aan patiënten worden gestuurd. Dit geeft advocaten van eisers concrete schaalgegevens voor collectieve rechtszaken, wat het risico op rechtszaken na een datalek aanzienlijk vergroot. Werk uw incident response-plan bij om snelle omvangsbepaling te prioriteren.

Het wetsvoorstel voorziet in een federaal subsidieprogramma gericht op plattelandsziekenhuizen, kankercentra, plattelandsklinieken, Indian Health Service-faciliteiten en academische gezondheidscentra. Subsidies financieren preventie van aanvallen, incident response en personeelstraining. Neem contact op met brancheverenigingen en bereid subsidieaanvragen nu voor.

Zowel het wetsvoorstel als de voorgestelde update van de HIPAA Security Rule verplichten MFA, encryptie en penetratietesten. Het wetsvoorstel bevat subsidies en stuit op minder tegenstand. Begin nu met de voorbereidingen op naleving — de vereisten komen samen, ongeacht welk traject als eerste wordt afgerond.

Voer een gap-analyse uit voor MFA op alle systemen met toegang tot PHI, encryptie in rust en onderweg, penetratietestcapaciteit en NIST-frameworkafstemming. Door nu beveiligingsmaatregelen te documenteren start u de 12-maanden safe harbor-klok en positioneert u de organisatie voor lagere boetes bij een incident.

Ja — het wetsvoorstel geldt voor zowel gedekte entiteiten als zakenpartners die PHI verwerken. Controleer of alle partners voldoen aan dezelfde MFA-, encryptie- en audit log-standaarden. Het Kiteworks Private Data Network zorgt voor consistente controles bij alle gegevensuitwisselingen met leveranciers.

Aanvullende bronnen

  • Blog Post
    5 Beste Oplossingen voor Beveiligde Bestandsoverdracht voor Enterprises
  • Blog Post
    Hoe Bestanden Veilig Delen
  • Video
    Kiteworks Snackable Bytes: Beveiligde Bestandsoverdracht
  • Blog Post
    12 Essentiële Softwarevereisten voor Beveiligde Bestandsoverdracht
  • Blog Post
    Meest Veilige Opties voor Bestandsoverdracht voor Enterprise & Naleving

Veelgestelde vragen

Het wetsvoorstel verplicht MFA voor alle systemen die toegang hebben tot PHI, encryptie van beschermde gezondheidsinformatie in rust en onderweg, regelmatige penetratietesten en afstemming met NIST-cybersecurityframeworks. Deze maatregelen verschuiven van vrijblijvende aanbevelingen naar afdwingbare verplichtingen voor gedekte entiteiten en zakenpartners.

Entiteiten die gedurende minimaal 12 aaneengesloten maanden erkende cybersecuritypraktijken aantonen voorafgaand aan een incident, komen in aanmerking voor lagere handhavingsboetes. Begin direct met het documenteren van naleving om de safe harbor-klok te starten en de positie van uw organisatie tijdens een toekomstig HHS-onderzoek te versterken.

De aanval legde de gegevens van circa 190 miljoen mensen bloot, verstoorde apotheek- en claimprocessen in het hele land en bracht kritieke gaten in de bestaande HIPAA Security Rule aan het licht. Wetgevers verwezen er herhaaldelijk naar als bewijs dat vrijwillige kaders niet langer volstaan tegen moderne ransomware-dreigingen.

Organisaties moeten gap-analyses uitvoeren voor MFA, encryptie en penetratietesten; starten met het documenteren van beveiligingsmaatregelen om de 12-maanden safe harbor-klok te activeren; incident response-plannen bijwerken voor snelle omvangsbepaling bij datalekken; en federale subsidieopties verkennen als ze plattelands- of zorgverleners met beperkte middelen zijn.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks