Hoewel informatiebeveiliging steeds belangrijker wordt in de zorgsector, blijft dit in eerste instantie de verantwoordelijkheid van ziekenhuizen zelf. Wel werkt de overheid zoals bekend toe naar een wettelijke verplichting om onder andere veiligheidsbelemmeringen bij gegevensuitwisseling in de zorg aan te pakken. Dat schrijft minister Bruno Bruins in een brief aan de Tweede Kamer.
De minister geeft in de brief antwoord op vragen van Tweede-Kamerlid Simon Geleijnse (50PLUS). Die had de bewindsman op 7 februari via de vaste commissie voor VWS verzocht om een reactie te geven op het artikel in Elsevier weekblad ‘Nederlandse ziekenhuizen kwetsbaar voor cyberaanvallen’. Bruins benadrukt dat dergelijke artikelen tonen dat aandacht voor informatieveiligheid in de zorgsector steeds belangrijker wordt.
Verantwoordelijkheid ziekenhuizen
‘Informatiebeveiliging valt in eerste instantie onder de verantwoordelijkheid van de ziekenhuizen zelf en de regels zijn streng en duidelijk’, schrijft Bruins. Hij had zich vorige maand in vergelijkbare bewoordingen uitgelaten over de rol van de overheid bij grote ICT-verstoringen in ziekenhuizen. Overigens gaf de minister toen aan wel te kijken of er acties nodig zijn om de gevolgen van grote ICT-storingen in ziekenhuizen te beperken.
Nu schrijft Bruins dat ziekenhuizen zelf passende maatrelen nemen om te voorkomen dat ze worden aangevallen en zich houden aan Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen, zoals de NEN7510) en de voorschriften van privacywet AVG. Hackaanvallen of andere ICT-incidenten moeten in dat kader worden gemeld bij de Autoriteit Persoonsgegevens (AP).
Wettelijke verplichting
Wel ondersteunt VWS de zorgsector in toenemende mate. Bruins refereert onder meer aan zijn voornemen om toe te werken naar wettelijke verplichting om onder meer veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken. In april moet er een eerste plan van aanpak liggen.
Daarnaast is met ondersteuning van VWS het Computer Emergency Response Team voor de zorg (Z-CERT) opgezet en in januari 2018 officieel gestart. De organisatie helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT- incidenten. VWS ziet volgens Bruins Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.
Aansluiting bij Z-Cert
Bruins vindt dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT. Hij zal dit jaar nog het verplichtstellen van de deelname van zorginstellingen aan Z-CERT bekijken en ook de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. ‘Ik zal hier in de loop van het jaar op terug komen.’
Bruins wijst er verder op dat diverse zorgkoepels en VWS een Actieplan Verhoging bewustzijn informatiebeveiliging patiëntengegevens hebben opgesteld en zo verhoging van bewustwording van informatieveiligheid hebben opgepakt. De uitvoering van het actieplan wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wil Bruins de Kamer informeren over de voortgang van het actieplan.