Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 april 2019

Conform uw verzoek bij regeling van werkzaamheden van 11 april 2019 informeer ik u bij deze – mede namens de Minister voor Rechtsbescherming – over berichtgeving in de media van 10 april 2019 over een datalek bij Samen Veilig Midden-Nederland (Handelingen II 2018/19, nr. 74, Regeling van werkzaamheden).

Zorgorganisaties dienen zorgvuldig om te gaan met persoonlijke gegevens. Zeker kwetsbare kinderen en hun ouders moeten hiervan op aan kunnen. Cliënten moeten er te allen tijde op kunnen vertrouwen dat hun gegevens veilig zijn en alleen beveiligd worden gedeeld. Gegevensverwerking bij jeugdhulpaanbieders en gecertificeerde instellingen dient te voldoen aan de vereisten van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.

Datalek Samen Veilig Midden-Nederland

Het datalek dat afgelopen week is ontdekt bij Samen Veilig Midden-Nederland is ontstaan door het gebruik van oude e-mailadressen met een oude domeinnaam. Deze domeinnaam was vanaf december 2017 niet meer bij Samen Veilig Midden-Nederland in beheer. Naar nu blijkt zijn de consequenties hiervan onvoldoende ingeschat en afgedekt. Samen Veilig Midden-Nederland (SVMN) heeft ons laten weten dat het lek inmiddels is gedicht en dat men een extern bureau heeft gevraagd de omvang en inhoud van het datalek te onderzoeken. Ook is er direct melding gemaakt bij de Autoriteit Persoonsgegevens. Betrokken gemeenten hebben het bestuur en de raad van toezicht van Samen Veilig Midden-Nederland ter verantwoording geroepen en gaan naast het onderzoek dat SVMN zelf uitvoert een eigen diepgravend onafhankelijk onderzoek laten doen naar hoe er met de persoonsgegevens en de privacy van de kinderen is omgegaan.

Gegevensuitwisseling en aansluiting bij Z-CERT

Toegankelijke en veilige informatie-uitwisseling dient een vast punt van aandacht te zijn in het beleid en op de bestuurstafels van zorginstellingen. Zorginstellingen zijn zelf verantwoordelijk voor het treffen van maatregelen om persoonsgegevens te beschermen. Ze moeten passende maatregelen nemen om weerbaar te zijn tegen cyberaanvallen, om computerstoringen zoveel mogelijk te voorkomen en om

te zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan. Daarbij past niet het via gewone mail versturen van gevoelige persoonsgegevens. Alle zorg -en jeugdhulpinstellingen zouden daarom tenminste gebruik moeten maken van beveiligde e-mail verbindingen, waarvoor ook een NEN1-norm beschikbaar komt. De organisaties moeten ook adequaat kunnen optreden en handelen wanneer zich een incident of storing voordoet.

Bij cyberincidenten kunnen aangesloten zorginstellingen rekenen op de hulp van Z-CERT (Zorg Computer Emergency Response Team). Deze organisatie helpt bij preventie en fungeert als «brandweer» bij ICT-incidenten in de zorg. Alle zorg- en jeugdhulpinstellingen zouden wat mij betreft aangesloten moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd in reactie op de motie Ellemeet zal ik in 2019 het verplichtstellen van de deelname van zorg- en jeugdhulpinstellingen aan Z-CERT onderzoeken en tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Vooruitlopend hierop vraag ik Samen Veilig Midden-Nederland en andere instellingen voor jeugdhulp en jeugdbescherming zich aan te sluiten bij Z-CERT. Desgevraagd heeft Z-CERT laten weten graag bereid te zijn de instelling te voorzien van advies en informatie over hoe dergelijke incidenten in de toekomst voorkomen kunnen worden.

Tot slot

Ik heb Jeugdzorg Nederland – mede namens de Minister voor Rechtsbescherming en de VNG – gevraagd dringend het belang van goede gegevensbescherming onder de aandacht te brengen van de leden en hen te adviseren om hun eigen gegevensbescherming te evalueren, risico’s in kaart te brengen en – op basis van geconstateerde risico’s – aanvullende maatregelen te nemen. Ik heb Jeugdzorg Nederland gevraagd mij rond de zomer te informeren over de uitkomsten.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge