Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 15 april 2019
Conform uw verzoek bij regeling van werkzaamheden van 11 april 2019 informeer ik u
bij deze – mede namens de Minister voor Rechtsbescherming – over berichtgeving in
de media van 10 april 2019 over een datalek bij Samen Veilig Midden-Nederland (Handelingen II
2018/19, nr. 74, Regeling van werkzaamheden).
Zorgorganisaties dienen zorgvuldig om te gaan met persoonlijke gegevens. Zeker kwetsbare
kinderen en hun ouders moeten hiervan op aan kunnen. Cliënten moeten er te allen tijde
op kunnen vertrouwen dat hun gegevens veilig zijn en alleen beveiligd worden gedeeld.
Gegevensverwerking bij jeugdhulpaanbieders en gecertificeerde instellingen dient te
voldoen aan de vereisten van de Algemene verordening gegevensbescherming (AVG) en
de Jeugdwet.
Datalek Samen Veilig Midden-Nederland
Het datalek dat afgelopen week is ontdekt bij Samen Veilig Midden-Nederland is ontstaan
door het gebruik van oude e-mailadressen met een oude domeinnaam. Deze domeinnaam
was vanaf december 2017 niet meer bij Samen Veilig Midden-Nederland in beheer. Naar
nu blijkt zijn de consequenties hiervan onvoldoende ingeschat en afgedekt. Samen Veilig
Midden-Nederland (SVMN) heeft ons laten weten dat het lek inmiddels is gedicht en
dat men een extern bureau heeft gevraagd de omvang en inhoud van het datalek te onderzoeken.
Ook is er direct melding gemaakt bij de Autoriteit Persoonsgegevens. Betrokken gemeenten
hebben het bestuur en de raad van toezicht van Samen Veilig Midden-Nederland ter verantwoording
geroepen en gaan naast het onderzoek dat SVMN zelf uitvoert een eigen diepgravend
onafhankelijk onderzoek laten doen naar hoe er met de persoonsgegevens en de privacy
van de kinderen is omgegaan.
Gegevensuitwisseling en aansluiting bij Z-CERT
Toegankelijke en veilige informatie-uitwisseling dient een vast punt van aandacht
te zijn in het beleid en op de bestuurstafels van zorginstellingen. Zorginstellingen
zijn zelf verantwoordelijk voor het treffen van maatregelen om persoonsgegevens te
beschermen. Ze moeten passende maatregelen nemen om weerbaar te zijn tegen cyberaanvallen,
om computerstoringen zoveel mogelijk te voorkomen en om
te zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan. Daarbij
past niet het via gewone mail versturen van gevoelige persoonsgegevens. Alle zorg
-en jeugdhulpinstellingen zouden daarom tenminste gebruik moeten maken van beveiligde
e-mail verbindingen, waarvoor ook een NEN1-norm beschikbaar komt. De organisaties moeten ook adequaat kunnen optreden en handelen
wanneer zich een incident of storing voordoet.
Bij cyberincidenten kunnen aangesloten zorginstellingen rekenen op de hulp van Z-CERT
(Zorg Computer Emergency Response Team). Deze organisatie helpt bij preventie en fungeert
als «brandweer» bij ICT-incidenten in de zorg. Alle zorg- en jeugdhulpinstellingen
zouden wat mij betreft aangesloten moeten zijn bij een organisatie als Z-CERT. Zoals
toegezegd in reactie op de motie Ellemeet zal ik in 2019 het verplichtstellen van
de deelname van zorg- en jeugdhulpinstellingen aan Z-CERT onderzoeken en tevens de
publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Vooruitlopend
hierop vraag ik Samen Veilig Midden-Nederland en andere instellingen voor jeugdhulp
en jeugdbescherming zich aan te sluiten bij Z-CERT. Desgevraagd heeft Z-CERT laten
weten graag bereid te zijn de instelling te voorzien van advies en informatie over
hoe dergelijke incidenten in de toekomst voorkomen kunnen worden.
Tot slot
Ik heb Jeugdzorg Nederland – mede namens de Minister voor Rechtsbescherming en de
VNG – gevraagd dringend het belang van goede gegevensbescherming onder de aandacht
te brengen van de leden en hen te adviseren om hun eigen gegevensbescherming te evalueren,
risico’s in kaart te brengen en – op basis van geconstateerde risico’s – aanvullende
maatregelen te nemen. Ik heb Jeugdzorg Nederland gevraagd mij rond de zomer te informeren
over de uitkomsten.
De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge