Vragen van de leden Verhoeven en PiaDijkstra (beiden D66) aan de Ministers van Volksgezondheid, Welzijn en Sport en van Veiligheid en Justitie over het bericht dat het Ministerie van VWS zorgverleners aanraadt om browsers niet te updaten (ingezonden 27 september 2016).

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) (ontvangen 26 oktober 2016). Zie ook Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 203.

Vraag 1

Kent u het e-mailbericht «Ministerie VWS raadt zorgverleners aan om browsers niet te updaten»?1

Antwoord 1

Ja.

Vraag 2

Kunt u toelichten wat de precieze inhoud van de in het artikel genoemde e-mailbericht is, en wat de reden is voor het advies om de browser niet te updaten?

Antwoord 2

Het installeren van een nieuwe browserversie kan mogelijk tot problemen bij gebruikte softwarepakketten leiden en het advies is om updates niet automatisch (en daarmee ongecontroleerd) door te voeren en/of andere webbrowsers te installeren. Zie voor het oorspronkelijke bericht de bijlage.

Vraag 3 en 4

Klopt het dat de reden voor het gegeven advies ligt in het feit dat ondersteuning voor de Java plugin voor browsers stopt? Zo ja, bent u op de hoogte van het feit dat het stoppen van de ondersteuning al sinds januari 2016 bekend is?

Waarom zijn er niet sneller stappen genomen om de huidige situatie te vermijden?

Antwoord 3 en 4

De reden voor het gegeven advies ligt in het feit dat de ondersteuning voor de Java plugin stopt en het gegeven dat mogelijk niet alle softwareleveranciers hier tijdig op hebben geacteerd.

Ik ben op de hoogte dat het stoppen van de ondersteuning al sinds januari 2016 bekend is. Het probleem speelt tussen de leveranciers van softwarepakketten en de afnemers van deze pakketten (zorgaanbieders). Omdat er signalen waren dat de softwareleveranciers dit probleem niet overal onderkend en opgelost zouden hebben, is besloten actie te ondernemen.

Vraag 5 en 6

Bent u zich ervan bewust dat u hiermee zorgverleners kwetsbaar maakt voor cyberaanvallen? Kunt u toelichten welke risico’s er zijn voor de veiligheid van patiëntengegevens doordat browsers niet ge-update worden? Heeft u dit meegenomen in uw besluit zorgverleners te adviseren de browser niet te updaten?

Is de inhoud van de brief gecoördineerd met het Nationaal Cyber Security Centrum (NCSC)? Zo nee, bent u bereid alsnog advies in te winnen bij het NCSC?

Antwoord 5 en 6

Zorgverleners hebben een eigen verantwoordelijk ten aanzien van beveiliging van de eigen ICT-omgeving. Het is belangrijk dat zorgverleners zelf de afweging maken tussen beveiliging en mogelijke beperking in functionaliteit. Om deze afweging te kunnen maken heeft het CIBG besloten via de betreffende de mail de zorgverleners te informeren. Ik ben mij bewust van het belang van beveiligingsupdates en zal in beginsel altijd adviseren beschikbare beveiligingsupdates van browsers en bijhorende plug-ins te installeren.

In de mail van 21 september jl. adviseert het CIBG om automatische updates niet meer te laten plaatsvinden. Dit betekent dat deze updates alleen kunnen plaatsvinden in een gecontroleerd proces waarbij ook getest wordt of het pakket waar de zorgaanbieder mee werkt, ook na de update blijft werken. Op basis van een eigen risico inventarisatie dient de aangeschreven zorgverlener te beoordelen op welke wijze hij het advies van het CIBG implementeert.

Bij de initiële e-mail is het NCSC niet betrokken geweest. Op dit moment is het NCSC betrokken bij het dossier.

Vraag 7

Kunt u aangeven op welke termijn er precies een oplossing voor de gecreëerde situatie geboden wordt?

Antwoord 7

Er wordt gewerkt aan een oplossing voor het einde van dit jaar.

Naar boven