Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 maart 2019

Lid Geleijnse (50PLUS) heeft mij op 7 februari via de vaste commissie voor Volksgezondheid, Welzijn en Sport verzocht om een reactie te geven op het artikel in Elsevier weekblad «Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen». Met deze brief reageer ik op dit verzoek.

Berichten zoals het artikel in Elsevier weekblad laten zien dat aandacht voor informatieveiligheid in de zorgsector steeds belangrijker wordt. Informatiebeveiliging valt in eerste instantie onder de verantwoordelijkheid van de ziekenhuizen zelf en de regels zijn streng en duidelijk. Ziekenhuizen moeten passende maatrelen nemen om te voorkomen dat ze worden aangevallen. Daarnaast moeten ziekenhuizen zich onder meer houden aan een aantal Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen, zoals de NEN7510) en de voorschriften van de Algemene Verordening Persoonsgegevens (AVG). Hackaanvallen of andere ICT-incidenten moeten worden gemeld bij de Autoriteit Persoonsgegevens (AP).

Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in toenemende mate. Zoals ik in mijn Kamerbrief over «Elektronische gegevensuitwisseling in de zorg» van 20 december 2018 jl. (Kamerstuk 27 529, nr. 166) heb aangekondigd, wil ik toewerken naar wettelijke verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken. Daarnaast is met ondersteuning van VWS het Computer Emergency Response Team voor de zorg (Z-CERT) opgezet en in januari 2018 officieel gestart. Deze organisatie helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT- incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.

Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd op de aangenomen motie Ellemeet1 zal ik in 2019 het verplichtstellen van de deelname van zorginstellingen aan Z-CERT onderzoeken en tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Ik zal hier in de loop van het jaar op terug komen.

Verder hebben verschillende zorgkoepels en VWS een Actieplan Verhoging bewustzijn informatiebeveiliging patiëntengegevens opgesteld en hiermee de verhoging van bewustwording van informatieveiligheid zelf opgepakt. De uitvoering van het actieplan wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt uw Kamer geïnformeerd over de voortgang van het actieplan.

De Minister voor Medische Zorg, B.J. Bruins