Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 7 maart 2019
Lid Geleijnse (50PLUS) heeft mij op 7 februari via de vaste commissie voor Volksgezondheid,
Welzijn en Sport verzocht om een reactie te geven op het artikel in Elsevier weekblad
«Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen». Met deze brief reageer ik
op dit verzoek.
Berichten zoals het artikel in Elsevier weekblad laten zien dat aandacht voor informatieveiligheid
in de zorgsector steeds belangrijker wordt. Informatiebeveiliging valt in eerste instantie
onder de verantwoordelijkheid van de ziekenhuizen zelf en de regels zijn streng en
duidelijk. Ziekenhuizen moeten passende maatrelen nemen om te voorkomen dat ze worden
aangevallen. Daarnaast moeten ziekenhuizen zich onder meer houden aan een aantal Nederlandse
normen voor informatieveiligheid in de zorg (NEN-normen, zoals de NEN7510) en de voorschriften
van de Algemene Verordening Persoonsgegevens (AVG). Hackaanvallen of andere ICT-incidenten
moeten worden gemeld bij de Autoriteit Persoonsgegevens (AP).
Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in
toenemende mate. Zoals ik in mijn Kamerbrief over «Elektronische gegevensuitwisseling
in de zorg» van 20 december 2018 jl. (Kamerstuk 27 529, nr. 166) heb aangekondigd, wil ik toewerken naar wettelijke verplichting om onder andere
veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken.
Daarnaast is met ondersteuning van VWS het Computer Emergency Response Team voor de
zorg (Z-CERT) opgezet en in januari 2018 officieel gestart. Deze organisatie helpt
aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT- incidenten.
VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling
ervan.
Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie
als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet1 zal ik in 2019 het verplichtstellen van de deelname van zorginstellingen aan Z-CERT
onderzoeken en tevens de publieke rol ten aanzien van informatieveiligheid in de zorg
herijken. Ik zal hier in de loop van het jaar op terug komen.
Verder hebben verschillende zorgkoepels en VWS een Actieplan Verhoging bewustzijn informatiebeveiliging patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatieveiligheid zelf
opgepakt. De uitvoering van het actieplan wordt geleid door Brancheorganisaties Zorg
(BoZ). Voor het zomerreces wordt uw Kamer geïnformeerd over de voortgang van het actieplan.
De Minister voor Medische Zorg,
B.J. Bruins