Toezichthouder IGJ voert dit jaar een onderzoek uit naar de stand van zaken van de ICT-infrastructuur in de jeugdzorg, met daarbij aandacht voor de informatiebeveiliging. Eind dit jaar zal daar een rapport uit voortkomen dat mogelijk aanleiding is voor verbetering van de informatiebeveiliging. Dat stelt minister Bruins (Medische Zorg) in een brief aan de Tweede Kamer, waar hij ingaat op de aanpak van twee recente datalekken in de jeugdzorg.
Afgelopen april waren er datalekken bij de Stichting Kwaliteitsregister Jeugd (SKJ) en Samen Veilig Midden Nederland (SVMN). Bij SKJ werd een testwebsite met niet geanonimiseerde uitspraken in tuchtzaken per ongeluk online gezet. Bij SVMN kwamen clientgegevens op straat te liggen als gevolg van onder meer een datalek in een crisistool van Veilig Thuis Utrecht.
Hoger niveau informatiebeveiliging
Daarop werd onder meer een motie van Kamerleden Heijink en Ramaekers aangenomen waarin Bruins werd opgeroepen om de informatiebeveiliging bij de jeugdzorg onder de loep te nemen. De bewindsman laat daarom bij een aantal instellingen voor jeugdzorg penetratietesten uitvoeren. Hij wil zo inzicht krijgen in de risico’s en kwetsbaarheden van (netwerk)systemen en infrastructuren van instellingen. Op basis van dit inzicht moet de informatiebeveiliging binnen de gehele jeugdzorg naar een hoger niveau getild worden.
De inspectie zal volgens Bruins de uitkomsten van deze penetratietesten meenemen in haar thematisch toezicht op de jeugdzorg: of er verantwoorde en veilige jeugdhulp wordt geboden. Het niet op orde hebben van de ICT-voorzieningen kan de kwaliteit van de jeugdzorg in gevaar brengen. De inspectie voert dit jaar in het jeugddomein het eerdergenoemde onderzoek uit, dat bestaat uit een quick scan als verkenning in de breedte naar de stand van zaken ICT, waaronder informatiebeveiliging. Dat wordt gevolgd door verdiepend toezicht bij enkele instellingen.
'Dat samen resulteert in een eerste beeld over risico’s op het gebied van ICT voor de kwaliteit van de jeugdhulp', schrijft de minister. 'De resultaten van het onderzoek van de inspectie zijn input voor een eventueel vervolgtraject; hoe dit traject eruit ziet, is afhankelijk van de resultaten die uit het onderzoek komen.'
Na zomer update
De minister belooft ten slotte dat hij gezien het belang van informatiebeveiliging in de zorgsector - na de zomer in een aparte brief aan de Tweede Kamer op de ontwikkelingen op dit gebied ingaat. Daarbij zal er ook aandacht zijn voor informatiebeveiliging in de jeugdzorg.
Volgens de Autoriteit Persoonsgegevens blijft het segment Zorg & Welzijn bovenaan staan als het gaat om datalekken - van verloren documenten en usb-sticks tot ongeoorloofde inzage in medische dossiers en ernstige hacks. Van de bijna 21.000 bij de AP gemelde datalekken in 2018 was 29 procent afkomstig uit Zorg & Welzijn. In 2017 ging het om 31 procent van ruim 10.000 gemelde lekken.