Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 juni 2019

In het plenair debat van 17 april jl. over een datalek in het jeugdveld (Handelingen II 2018/19, nr. 76, item 3), heb ik aangegeven uw Kamer voor de zomer nader te informeren over de ingezette acties. In de Commissiebrief van 13 juni jl.1 ben ik hierop al kort ingegaan. Met deze brief informeer ik u – mede namens de Minister voor Rechtsbescherming – uitgebreider over de stand van zaken. Dit ter voorbereiding van het VAO Jeugdhulp op 25 juni 2019 (Handelingen II 2018/19, nr. 97, VAO Jeugdhulp).

Datalekken zijn altijd onwenselijk en bijzonder vervelend voor alle betrokkenen. Informatieveiligheid van de hele zorg is daarom van groot belang. Incidenten zoals het datalek bij de Stichting Kwaliteitsregister Jeugd (SKJ) en Samen Veilig Midden Nederland (SVMN) tonen aan hoe belangrijk dit is. Informatieveiligheidsrisico’s zijn nooit helemaal te voorkomen, maar we moeten zorgen dat in de zorg de bewustwording groeit, de bewaking en beveiliging worden versterkt en voldoende capaciteit bestaat om te «blussen» als het nodig is. Het is in eerste instantie aan organisaties zelf om te zorgen dat ze hun bedrijfsvoering op orde hebben. Dat geldt ook voor informatieveiligheid. Gegevensverwerking bij jeugdhulpaanbieders, VT-organisaties en gecertificeerde instellingen dient te voldoen aan de vereisten van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.

Met deze brief zal ik uw Kamer eerst informeren over aandacht voor informatieveiligheid in het jeugdveld, het thematisch onderzoek informatieveiligheid in de jeugdsector dat de Inspectie Gezondheidszorg en Jeugd (hierna: inspectie) uitvoert en toelichten hoe ik uitvoering geef aan de motie Hijink/Ramaekers2. Ten slotte zal ik kort ingaan op de datalekken bij de SKJ en SVMN.

Aandacht voor dataveiligheid in de jeugdhulp

Naar aanleiding van het datalek bij SVMN in april jl. heb ik Jeugdzorg Nederland – mede namens de Minister voor Rechtsbescherming en de VNG – gevraagd dringend het belang van goede informatiebeveiliging onder de aandacht te brengen van hun leden en hen te adviseren om hun eigen informatiebeveiliging te evalueren, risico’s in kaart te brengen en – op basis van geconstateerde risico’s – aanvullende maatregelen te nemen. Jeugdzorg Nederland onderzoekt op dit moment welke extra maatregelen nodig zijn om het informatiebeveiligingsniveau in de sector te verbeteren. Zij geven aan dat ze zich bewust zijn van het grote belang van goede informatiebeveiliging en hebben de brief met de oproep onder hun leden verspreid. Zij zullen mij in de zomer informeren over welke extra maatregelen hun leden zullen nemen om het informatiebeveiligingsniveau te verbeteren. Tevens laten zij mij weten welke rol Jeugdzorg Nederland als brancheorganisatie op zich kan nemen om ervoor te zorgen dat de maatregelen voortvarend worden opgepakt. Een zelfde oproep als aan Jeugdzorg Nederland heb ik gedaan aan de Branches Gespecialiseerde Zorg voor Jeugd (BGZJ), waarvan Jeugdzorg Nederland deel uit maakt. Hierover zullen zij mij in het najaar informeren.

Onderzoek informatieveiligheid in de jeugdsector

De inspectie voert dit jaar in het jeugddomein een onderzoek uit dat bestaat uit een quick scan als verkenning in de breedte naar de stand van zaken ICT, waaronder informatiebeveiliging, gevolgd door verdiepend toezicht bij enkele instellingen. Dat samen resulteert in een eerste beeld over risico’s op het gebied van ICT voor de kwaliteit van de jeugdhulp. Daarover zal de inspectie aan het eind van het jaar rapporteren en ik zal uw Kamer daarover informeren. De resultaten van het onderzoek van de inspectie zijn input voor een eventueel vervolgtraject; hoe dit traject eruit ziet, is afhankelijk van de resultaten die uit het onderzoek komen.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Het onderzoek naar dataveiligheid in de jeugdhulp staat niet als zelfstandig speerpunt genoemd in het toezichtskader van de AP. Het toezien op de verplichting door (jeugd)zorgaanbieders om adequate beveiligingsmaatregelen te treffen komt aan de orde in individuele kwesties naar aanleiding van klachten en signalen van burgers en gemelde datalekken afhankelijk van de ernst en omvang van de mogelijke overtreding.

Uitvoering motie Hijink/Ramaekers

Conform motie Hijink/Ramaekers (Kamerstuk 31 839, nr. 640) laat ik bij een aantal jeugdzorginstellingen penetratietesten uitvoeren om inzicht te krijgen in de risico’s en kwetsbaarheden van (netwerk)systemen en infrastructuren van instellingen om op basis van dit inzicht de informatiebeveiliging binnen de gehele jeugdzorg naar een hoger niveau te helpen tillen. De bevindingen van deze penetratietesten kunnen aanleiding zijn om te komen tot extra maatregelen, of een aanscherping van al getroffen (beleidsmatige)maatregelen op het gebied van informatieveiligheid en bescherming van persoonsgegevens bij de onderzochte jeugdzorginstellingen. De inspectie zal de uitkomsten van deze penetratietesten meenemen in haar hierboven genoemd thematisch toezicht.

Update casus Stichting Kwaliteitsregister Jeugd

Op 13 juni jl. heb ik uw Kamer geïnformeerd over het datalek bij SKJ (Kamerstuk 31 839, nr. 674). SKJ is bezig met de ontwikkeling van een kennisbank waarop alle beslissingen na een tuchtzaak geanonimiseerd vindbaar zullen zijn. De testwebsite die hiervoor wordt gebouwd is per abuis online gezet en op de testwebsite stonden niet geanonimiseerde beslissingen.

De testwebsite is offline gezet en de URL verwijderd, waardoor de testwebsite niet meer beschikbaar is. SKJ heeft melding gemaakt van het datalek bij de Autoriteiten Persoonsgegevens en is een onderzoek gestart naar het aantal niet geanonimiseerde beslissingen en het aantal malen dat de website is bezocht. Uit de onderzoeksresultaten concludeert SKJ dat 3 natuurlijke personen 6 niet geanonimiseerde beslissingen hebben bekeken. De betrokkenen van deze 6 beslissingen zijn geïnformeerd. Tot slot worden verbetervoorstellen opgepakt om een dergelijk fout in de toekomst te doen voorkomen.

Update casus Samen Veilig Midden Nederland

Op 15 april jl. heb ik uw Kamer geïnformeerd3 over informatieveilighied in de Jeugdsector naar aanleiding van het datalek bij SAVE Midden Nederland. SVMN heeft een extern bureau gevraagd de omvang en inhoud van het datalek te onderzoeken en heeft direct melding bij de Autoriteit Persoonsgegevens gemaakt.

Gemeente Utrecht laat namens de samenwerkende jeugdregio’s in de provincie Utrecht een onderzoek uitvoeren naar de organisatorische en beleidsmatige aspecten van de informatieveiligheid.

Aandacht voor informatiebeveiliging in de zorgsector, inclusief de jeugdsector, is essentieel. De Minister voor Medische Zorg en Sport zal daarom na de zomer een aparte brief over informatiebeveiliging in de gehele zorgsector aan uw Kamer sturen en daarin ook in gaan op informatiebeveiliging in de jeugdsector.

De Minister van Volksgezondheid, Welzijn en Sport, H.M. de Jonge