Vragen van het lid Raemakers (D66) aan de Minister van Volksgezondheid, Welzijn en Sport over het bericht «Opnieuw datalek in Utrechtse Jeugdzorg» (ingezonden 12 juni 2019).

Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 14 juni 2019)

Vraag 1

Bent u bekend met het bericht «Opnieuw datalek in Utrechtse Jeugdzorg»?1

Antwoord 1

Ja.

Vraag 2 en 3

Kunt u aangeven wat voor dossiers en hoeveel hiervan per abuis online zijn gezet?

Hoeveel bezoekers van de website hebben inzage gehad in de dossiers en in welke dossiers?

Antwoord 2 en 3

Stichting Kwaliteitsregister Jeugd (SKJ) is het beroepsregister voor professionals in de jeugdsector. Dit beroepsregister houdt zich bezig met (her)registratie, tuchtrecht en scholing.

SKJ heeft een kennisbank in ontwikkeling waarop alle geanonimiseerde beslissingen in SKJ tuchtzaken terug te lezen zijn en eenvoudig met zoekfuncties geselecteerd kunnen worden. De testwebsite die hiervoor wordt gebouwd, is per abuis online gezet. Op de testwebsite stonden niet geanonimiseerde beslissingen in SKJ tuchtzaken.

SKJ heeft onderzoek gedaan naar het aantal malen dat de testwebsite van de kennisbank is bezocht toen hij online stond en naar het aantal niet geanonimiseerde beslissingen dat op de testwebsite heeft gestaan. Op basis van dit onderzoek concludeert SKJ dat naar alle waarschijnlijkheid enkele bezoekers niet geanonimiseerde beslissingen hebben ingezien. In totaal waren volgens SKJ 34 niet geanonimiseerde beslissingen online toegankelijk.

Vraag 4

Deelt u de mening dat er een zeer slecht signaal richting jeugdzorgprofessionals en jeugdzorginstellingen uitgaat wanneer het Stichting Kwaliteitsregister Jeugdzorg (SKJ), die toe moet zien op kwaliteit, toetsing en scholing van jeugdprofessionals, zelf onvoldoende de cyberveiligheid waarborgt?

Antwoord 4

Van geanonimiseerde beslissingen in tuchtzaken kan de gehele beroepsgroep leren en daardoor zichzelf verbeteren. Dat niet geanonimiseerde beslissingen online toegankelijk waren is een onwenselijke situatie en een onwenselijk signaal richting jeugdprofessionals. Ik vind het erg vervelend voor de gedupeerde betrokkenen. SKJ heeft met alle gedupeerde betrokkenen telefonisch contact opgenomen.

Vraag 5

Welke acties heeft u sinds het debat over datalekken in de jeugdzorg genomen om meer datalekken te voorkomen?

Antwoord 5

Tijdens het debat over datalekken in de jeugdzorg heb ik uw Kamer toezeggingen gedaan om aandacht voor gegevensbescherming en dataveiligheid in het jeugdveld te vergroten.

Allereerst wil ik benadrukken dat zorgorganisaties zorgvuldig dienen om te gaan met persoonlijke gegevens. Zij zijn zelf verantwoordelijk voor het treffen van maatregelen om persoonsgegevens te beschermen. De organisaties moeten ook adequaat kunnen optreden en handelen wanneer zich een incident of storing voordoet. Gegevensverwerking bij jeugdhulpaanbieders en gecertificeerde instellingen dient te voldoen aan de vereisten van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.

Ik heb Jeugdzorg Nederland gevraagd – mede namens het Ministerie van JenV en de VNG – om dringend het belang van goede gegevensbescherming bij hun leden onder de aandacht te brengen en hen te adviseren om hun eigen gegevensbescherming te evalueren, risico’s in kaart te brengen – en op basis van geconstateerde risico’s – aanvullende maatregelen te nemen.

Jeugdzorg Nederland onderzoekt op dit moment welke extra maatregelen nodig zijn om het informatiebeveiligingsniveau in de sector te verbeteren. Zij zullen mij begin juli informeren over welke extra maatregelen hun leden nodig achten om het informatiebeveiligingsniveau te verbeteren en welke rol Jeugdzorg Nederland als brancheorganisatie op zich kan nemen om ervoor te zorgen dat de maatregelen voortvarend worden opgepakt.

Ten tweede voert de Inspectie Gezondheidszorg en Jeugd (hierna IGJ) dit jaar bij aanbieders in het jeugddomein een onderzoek uit dat bestaat uit een quick scan als verkenning in de breedte naar de stand van zaken ICT, waaronder informatiebeveiliging, gevolgd door verdiepend toezicht bij enkele instellingen. Dat samen resulteert in een eerste beeld op risico’s op het gebied van ICT voor de kwaliteit van jeugdhulp. Daarover zal de inspectie aan het eind van het jaar rapporteren. Ik zal uw Kamer over beide onderzoeken informeren.

Daarnaast laat ik pen-testen bij een aantal jeugdzorginstellingen uitvoeren (conform motie Hijink en Raemakers, 2019D16344) om inzicht te krijgen in de risico’s en kwetsbaarheden van de (netwerk)systemen en infrastructuren van de jeugdzorginstellingen om hiermee de informatiebeveiliging binnen de jeugdzorg naar hoger niveau te tillen. De bevindingen van de penetratietesten, kunnen aanleiding zijn om te komen tot extra maatregelen, of een aanscherping van al getroffen (beleidsmatige)maatregelen op het gebied van informatieveiligheid en bescherming van persoonsgegevens bij de onderzochte jeugdzorginstellingen.

De Minister voor Medische Zorg en Sport zal in september een aparte brief over informatiebeveiliging in de zorg aan uw Kamer sturen. Hierin zal hij onder andere de uitkomsten van de pen-testen meenemen en onder andere ook ingaan op doorontwikkeling van Z-Cert, inclusief aansluiting hierop van jeugdzorginstellingen.

Vraag 6

Deelt u de mening dat het niveau van cyberveiligheid in de gehele zorgsector, inclusief de jeugdzorg, op een hoger niveau gebracht moet worden?

Antwoord 6

Ik vind dat informatieveiligheid een essentiële voorwaarde is voor onze ambitie op verdergaande digitalisering in de gehele zorgsector en die moet daarmee op een hoger niveau worden gebracht. Terecht neemt de aandacht voor informatieveiligheid in de zorgsector steeds verder toe.

Vraag 7

Bent u alsnog bereid om in lijn met de motie-Raemakers een plan van aanpak op te stellen om de cyberveiligheid in de gehele zorgsector op een hoger niveau te brengen?2

Antwoord 7

Mijn voorganger heeft in samenwerking met verschillende zorgkoepels in 2017 een Actieplan Verhoging bewustzijn informatiebeveiliging patiëntengegevens opgesteld met een breed palet van maatregelen. Hiermee wordt ingezet op de verhoging van bewustwording van informatieveiligheid in de gehele zorgsector. De uitvoering van het Actieplan wordt geleid door Brancheorganisaties Zorg (BoZ).

Het is belangrijk dat informatiebeveiliging continu onderwerp van gesprek is binnen de zorgsector, inclusief de jeugdzorg. De Minister voor Medische Zorg en Sport gaat hier daarom na het zomerreces in een aparte brief over informatieveiligheid in de zorg uitgebreid op in.

Vraag 8

Bent u bereid deze vragen nog voor het algemeen overleg Jeugdhulp op 13 juni 2019 te beantwoorden?

Antwoord 8

Ja.

Naar boven