Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 8 februari 2019
Ik heb tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg op 30 januari
jl. – op vragen van de leden van de Partij voor de Dieren en de Socialistische Partij –
uw Kamer toegezegd om informatie te sturen over de beveiliging van gegevens die gedeeld
worden via het Landelijk Schakelpunt (LSP).
Zoals ik u heb gemeld tijdens het AO heb ik geen rol bij de organisatie van de gegevensuitwisseling
in de zorg. De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) beheert
het LSP. Daarom heb ik hen verzocht mij de informatie aan te leveren. Daaruit is het
volgende gebleken.
De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) geeft aan zeer hoge
eisen te stellen aan de beveiliging van de zorginfrastructuur. In de zorginfrastructuur
meldt een opvragende partij zich altijd vanaf een gecertificeerd goed beheerd zorgsysteem
(GBZ) bij VZVZ via een gecertificeerde, beveiligde verbinding, met een sterk identificatiemiddel
(de UZI-pas). De gegevens worden vervolgens opgevraagd door het verzoek versleuteld
door te zenden via een gecertificeerde, beveiligde verbinding. Indien er relevante
gegevens beschikbaar zijn in het brondossier, worden deze over diezelfde gecertificeerde
verbindingen in versleutelde vorm verzonden, met het schakelpunt als zwaar beveiligd
tussenstation.
Ten aanzien van uw vraag over hoe de versleuteling is geregeld geeft VZVZ het volgende
aan. De beveiliging is conform NEN-7512. Versleuteling is niet end-to-end, maar op
de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor. Er zijn meerdere
manieren om tot een sterke beveiliging te komen. De norm biedt die ruimte. De veiligheid
is nu gewaarborgd via alle benodigde aanvullende maatregelen.
VZVZ geeft aan te voldoen aan de wettelijke beveiligingsverplichtingen. Dit is bevestigd
in uitspraken van de Rechtbank in Utrecht, in hoger beroep bij het Gerechtshof in
Arnhem en in een arrest van de Hoge Raad1.
In het licht van het grote belang van informatieveiligheid in de digitalisering van
de zorg zal ik NEN vragen om te beoordelen of aanpassing van de normen hierover naar
aanleiding van de stand van de techniek wenselijk is.
De Minister voor Medische Zorg, B.J. Bruins