Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 8 oktober 2019

In mijn brief van juli jl. heb ik u geïnformeerd over de stappen die ik zet in het nemen van regie op digitale gegevensuitwisseling en heb ik u een aparte brief toegezegd na de zomer over «Informatiebeveiliging in de zorg».1 Met deze brief, die ik mede namens de Minister van VWS verstuur, voldoe ik aan die toezegging. Tevens geef ik de gevraagde reactie op de berichten dat medische scans van 25.000 personen onbeveiligd publiek te benaderen zijn, zoals gevraagd door het Kamerlid Van den Berg naar aanleiding van vragen van het Kamerlid Ploumen.2

Kernboodschap en samenvatting

Informatieveiligheid in de zorg

Voor het leveren van goede zorg is het belangrijk dat zorgprofessionals de beschikking hebben over de juiste informatie, op het juiste moment en op de juiste plek. Digitalisering van dossiervoering en gegevensuitwisseling is hiervoor nodig en moet worden versneld. Op verzoek van het zorgveld en uw Kamer heb ik hierop meer regie genomen en bereid ik de benodigde wetgeving voor.5 In april en juli van dit jaar heb ik u over de stappen die ik daarvoor neem geïnformeerd6. Ook met betrekking tot de inzet van data voor de gezondheid van ons allen ben ik bezig stappen te zetten. Ik heb u in november 20187 de actielijnen op dit terrein gepresenteerd en zal u aan het einde van dit jaar over de voortgang informeren. Informatieveiligheid is een belangrijke randvoorwaarde om bovenstaande ontwikkelingen waar te maken. Medische informatie is immers persoonlijke informatie en daar moet zorgvuldig mee omgegaan worden.

Van blussen naar een breed informatieveiligheidsbeleid

Z-CERT

Ik beschouw Z-CERT als het cybersecuritycentrum voor de zorg. In de eerste jaren na oprichting van Z-CERT is door deze organisatie met name invulling gegeven aan het «blussen» bij incidenten. Een goed voorbeeld daarvan is het recente optreden van Z-CERT bij het datalek waarin de medische scans van 25.000 personen waren in te zien. Het betrof drie systemen in Nederland en één op Curaçao. Voor publicatie van berichten in de pers hierover was Z-CERT hiervan al op de hoogte gebracht en een onderzoek gestart. Uit het onderzoek van Z-CERT bleek dat door de betrokken systeemeigenaren in Nederland al maatregelen waren getroffen zodat de scans al bij het onderzoek van Z-CERT niet meer in te zien waren. Voor het systeem in Curaçao heeft Z-CERT opgeschaald naar het National Cyber Security Center (NCSC), onderdeel van het Ministerie van Justitie en Veiligheid dat lands- en sectorbreed aan digitale veiligheid werkt. Het NCSC heeft het incident verder afgehandeld.

De komende periode zullen ook «bewust worden, beveiligen en bewaken» steeds meer verweven raken en onderdeel worden van de reguliere dienstverlening van Z-CERT. Z-CERT zal daarmee dienstverlening verzorgen op alle vier de lijnen die ik onderscheid in mijn beleid ten aanzien van informatieveiligheid in de zorg.

Dat Z-CERT aan belang blijft toenemen blijkt ook uit het aantal aangesloten zorginstellingen dat is verdubbeld ten opzichte van vorig jaar. Inmiddels zijn alle ziekenhuizen (academisch, topklinisch en algemeen) aangesloten. In totaal heeft Z-CERT heeft op dit moment circa 120 deelnemers. Dit waren vorig jaar nog circa 60 deelnemers.

In reactie op de motie van het Kamerlid Ellemeet Z-CERT8 om te verkennen of deelname aan Z-CERT verplicht kan worden, is nodig dat duidelijk wordt welke type instellingen en sectoren precies onder die eventuele verplichting zouden moeten vallen en welke typen instellingen en sectoren de meeste risico lopen. Sectoren en ketens die de meeste risico’s hebben, hebben immers het meeste baat bij een spoedige aansluiting. Voor ZZP’ers in de zorg is aansluiting bij Z-CERT wellicht minder opportuun. Ik wil samen met Z-CERT tot een dergelijke risicogestuurde aanpak komen, want of het nu een verplichting is of niet: een beheerst tempo van aansluiting is nodig om de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred te laten houden met het tempo van aansluiting.

Voor de aansluiting van de jeugdhulpsector heb ik naar aanleiding van de motie van de leden Hijink en Raemakers9 Z-CERT gevraagd samen met de jeugdhulpsector een eerste verkenning uit te voeren. Z-CERT heeft met Jeugdzorg Nederland en een aantal gecertificeerde instellingen gesproken om te bezien wat de wensen en behoeften zijn van de jeugdhulpsector voor het verbeteren van de informatieveiligheid. Daaruit blijkt dat de hulpvraag van de jeugdhulpinstellingen

niet aansluit op de huidige dienstverlening van Z-CERT. De dienstverlening van Z-CERT richt zich momenteel primair op de cure sector (ziekenhuizen, GGZ-instellingen en categorale instellingen) terwijl de behoefte van jeugdhulpinstellingen meer individueel van aard is. Jeugdhulpinstellingen hebben hun IT vaak uitbesteed aan externe ICT-leveranciers die zelf de informatiebeveiliging regelen. Binnen de jeugdhulpinstellingen zelf is weinig gespecialiseerde, technische informatieveiligheidskennis aanwezig. De dienstverlening van Z-CERT is technisch van aard, terwijl de behoefte van jeugdhulpinstellingen functioneel organisatorisch van aard is. Zo monitort Z-CERT operational alerts en kwetsbaarheden, controleert periodiek of domeinnamen op «zwarte lijsten staan» van virussen, wormen en botnets en adviseert over aanpak en oplossing van cyberincidenten. De behoefte van jeugdhulpinstellingen ligt met name op risicomanagement, het verhogen van cyberbewustwording van medewerkers, het ontwikkelen van concrete uitwerkingen op basis van de NEN-norm 7510 en het doorlichten van de IT-omgeving binnen de jeugdhulpsector.

Ik vind het belangrijk dat snel duidelijk wordt wat precies nodig is voor Z-CERT en van de jeugdhulpsector zelf, zodat vanuit het Ministerie van VWS waar nodig kan worden ondersteund. Ik laat daarom zoals door de leden Hijink en Raemakers in hun motie10 verzocht, pentesten uitvoeren op de ICT systemen in de jeugdhulpsector. Deze worden door een extern bureau uitgevoerd bij zes jeugdhulpaanbieders en gecertificeerde instellingen. De opdrachtnemer zal in samenwerking met Jeugdzorg Nederland, een rapport opstellen met een samenvatting, een schets met globale gevolgtrekkingen voor de sector en een advies over het verhogen van het informatiebeveiligingsniveau binnen de sector. De Minister van VWS zal u begin 2020 informeren over de leerpunten die uit deze testen voor de jeugdzorg en mogelijk het brede zorgveld zijn gekomen. Aan de hand van de pentest resultaten zal ik in de loop van 2020 nadere besluiten nemen over de wenselijkheid en tempo van aansluiting van jeugdhulpinstellingen bij Z-CERT.

Het onderzoek naar de publieke rol van Z-CERT loopt. Aan de hand van interviews en gesprekken met stakeholders wordt een grove schets van huidige en mogelijke toekomstige taken en scenario’s gegeven. Ik verwacht daarvan in de eerste helft van 2020 de resultaten.

Bewustwording

Actieplan bewustwording

Aanvankelijk had een aantal koepels11 het initiatief genomen voor een actieplan om de veiligheid van patiëntgegevens te verhogen. Sinds eind 2018 is de vereniging Brancheorganisaties Zorg (BOZ) actief op dit onderwerp. Door middel van e-learning en campagnes zal bijgedragen worden aan het verhogen van de bewustwording om veilig om te gaan met informatie. Ik zal dit initiatief vanuit de zorgsector van harte ondersteunen.

Beveiligen

Veilige mail

In mei van dit jaar is de Nederlandse Technische Afspraak (NTA) 7516 beschikbaar gekomen, dit is een veldnorm die kaders stelt voor veilig e-mailen van medische persoonsgegevens in de zorg. De NTA 7516 is in opdracht van het Informatieberaad Zorg door NEN opgesteld in nauwe samenwerking tussen mijn ministerie en groot aantal IT-leveranciers van veilige mail producten en organisaties in het veld. Daarmee zorgen we dat de leveranciers veilige en interoperable mailproducten leveren. Zorginstellingen ondersteunen we met communicatie bij het invoeren van de norm.

Opslag van medische data in Google Cloud

Bij het beveiligen van medische gegevens is door een aantal zorginstellingen gekozen voor het opslaan van medische data in de cloud. Naar aanleiding van de berichtgeving in het AD van 30 maart jl. over de opslag van medische data in de Google Cloud, heb ik een onafhankelijk advies gevraagd over de wenselijkheid van de opslag van medische data bij cloudproviders met vestigingslocaties in Nederland, de EU, de Verenigde Staten en overige landen. Dit advies vindt u in de bijlage12. De Autoriteit Persoonsgegevens (AP) liet mij weten een verkennend onderzoek te gaan doen naar eventuele overtredingen van de AVG door het betreffende bedrijf. Inmiddels is duidelijk dat de AP op basis van de gesprekken met en verstrekte informatie door het betreffende bedrijf, geen aanleiding ziet tot het instellen van een nader controlerend onderzoek.

Uit het onderzoek dat ik heb laten verrichten, is naar voren gekomen dat het wenselijk is om gebruik te maken van een cloudprovider met een vestiging, vertegenwoordiging of opslagcapaciteit binnen de Europese Unie. Op deze cloudproviders is immers de AVG van toepassing. Hiermee worden de data beschermd tegen onrechtmatig gebruik door de cloudprovider en kan naleving van de AVG effectief worden afgedwongen. Ik zal de zorginstellingen hierop wijzen en ga ervan uit dat zij voldoende maatregelen treffen in bijvoorbeeld de aanbesteding om de data alsnog goed te beschermen. Hiermee wil ik aanvullende wet- en regelgeving voor zorgaanbieders voorkomen.

De onderzoekers adviseren daarnaast om het versleutelen van de informatie vóór deze in de cloud geplaatst wordt, waardoor er sprake is van een dubbele versleuteling. Ik zal het veld hierop wijzen zodat zij afspraken kunnen maken over de toepassing van deze technische maatregelen.

Beveiligen en bewaken

Zorg als vitale sector

Met betrekking tot het aanwijzen van de zorg als vitale sector zoals bedoeld in de Wet beveiliging netwerk- en informatiesystemen (Wbni), verken ik op dit moment of het nodig is een herbeoordeling te doen op het besluit de zorg niet als vitale sector aan te merken.

Ongeacht de uitkomst hiervan vind ik het van belang dat de zorg aansluit bij het door de Minister van Justitie en Veiligheid in te richten Landelijk Dekkende Stelsel voor uitwisseling van informatie over digitale dreigingen binnen de vitale sectoren. In het kader van het versterken van dit stelsel zal door de Ministerie van Justitie en Veiligheid dit jaar worden beoordeeld of Z-CERT kan worden aangewezen als computercrisisteam.

Onderzoek en ondersteuning

Rijksbreed onderzoek

Hoewel de zorgsector haar eigen uitdagingen heeft, zijn veel vraagstukken niet uniek. Ik sluit daarom aan bij het grootschalige wetenschappelijk onderzoektraject dat door de Minister van Onderwijs, Cultuur en Wetenschap is ingezet naar Rijksbrede cybersecurity waar de zorg één van de sectoren is die wordt onderzocht.

AVG Helpdesk

Ik faciliteer zorginstellingen met informatie over het borgen van privacy en bij het interpreteren van de AVG. Daarom is door mij samen met meer dan 20 koepelorganisaties, in mei 2018 de AVG Helpdesk voor Zorg, Welzijn en Sport opgericht. Gehoord hebbende de blijvende behoefte van het veld, heb ik in samenwerking met het Informatieberaad besloten de AVG Helpdesk in ieder geval tot medio 2020 mede in stand te houden. De website zal tenminste tot eind 2020 in de lucht blijven.

Tot slot

Het naar een hoger plan tillen van informatieveiligheid binnen de zorgsector blijft de komende jaren één van mijn speerpunten. Op nationaal niveau zoek ik actief samenwerking met het NCSC en de andere departementen. Op Europees niveau draag ik mijn steentje bij aan gezamenlijke beleidsontwikkeling in de aanpak van cybersecurity, aangezien cyberdreigingen vrijwel per definitie een internationale component hebben. Het goed regelen van informatieveiligheid is onlosmakelijk verbonden met verdergaande digitalisering.

De Minister voor Medische Zorg, B.J. Bruins