De nieuwe Wet elektronische gegevensuitwisseling in de zorg zal bepalingen bevatten die het mogelijk maken om eisen te stellen aan, onder meer, informatieveiligheid en privacy. Ook worden bepalingen opgenomen die certificering van ICT-producten mogelijk maken. Dat stelt minister Bruins van Medische Zorg & Sport in reactie op Kamervragen naar aanleiding van de Citrix-problematiek afgelopen januari. Bruins benadrukt echter dat zorgaanbieders primair zelf verantwoordelijk blijven voor hun ICT en informatieveiligheid.
In januari kwam een groot beveiligingsprobleem in Citrix aan het licht. Die ontdekking en enkele daaraan gerelateerde hack’s leidde er toe dat het Nederlands Cyber Security Center bedrijven en instellingen dringend adviseerde hun Citrix omgevingen uit te schakelen. Dat had ook gevolgen voor een aantal ziekenhuizen en andere zorginstellingen. Het MCL in Leeuwarden schrapte na een hackpoging via de kwetsbaarheid in de gebruikte Citrix-toepassing zelfs tijdelijk alle vormen van gegevensuitwisseling met de buitenwereld.
Harder ingrijpen
Reden voor VVD-Tweede Kamerlid Hayke Veldman om vragen te stellen aan minister Bruins. Hij refereerde daarbij ook aan een uitspraak van minister Grapperhaus (Justitie en Veiligheid) van oktober 2019. Grapperhaus gaf destijds aan wetgeving te overwegen die harder ingrijpen mogelijk maakt bij bedrijven waar een gebrekkige ICT-omgeving zorgt voor problemen zoals een datalek.
Bruins stelt de opvatting van zijn ambtsgenoot te delen dat informatieveiligheid een prioriteit moet zijn, ook op alle bestuurslagen van de zorgsector. ‘Zoals reeds gemeld zijn zorginstellingen zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Zorginstellingen als het MCL worden hierin ondersteund door Z-CERT. Zorginstellingen moeten zich meer in het algemeen onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN-norm 7510). De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hierop toe.’
Wet elektronische gegevensuitwisseling
Bruins geeft aan dat hij werkt aan een herbeoordeling om te bezien of bepaalde organisaties binnen de zorgsector als vitale aanbieders moeten worden aangewezen. Verder wil de minister zo snel mogelijk de vorig jaar aangekondigde Wet elektronische gegevensuitwisseling door beide kamers van het Parlement krijgen, het liefst nog in 2020. De wet zal zorgaanbieders verplichten tot het doorvoeren van gestandaardiseerde digitale uitwisseling van gegevens.
Bruins geeft ook nog aan dat het NCSC en Z-CERT (cybersecuritycentrum voor de zorg) in nauw contact met elkaar staan om zo veel mogelijk relevante informatie uit te wisselen. Z-CERT heeft volgens de minister vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. ‘Het MCL heeft mij laten weten de tussentijdse mitigerende maatregelen van Citrix van medio december niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.’
Beter zicht op ICT-risico’s
De Onderzoeksraad voor Veiligheid (OVV) heeft eerder in februari het rapport ‘Patiëntveiligheid bij ICT-uitval in ziekenhuizen’ gepresenteerd. Daarin concludeert de raad dat de risico’s van ICT-afhankelijkheid beter in beeld gebracht moeten worden. Daarnaast doet zij een vijftal aanbevelingen om onveilige situaties, zoals het stellen van een onjuiste diagnose door onvolledige informatie, te voorkomen.
Aanleiding voor het rapport waren verschillende ICT-storingen die sinds 2018 in ziekenhuizen plaatsvonden en impact hadden op de zorg en patiëntveiligheid. Door de steeds verder voortschrijdende digitalisering van de zorg wordt het belang van goed werkende ICT-systemen uitermate belangrijk. Dat bleek recentelijk ook toen diverse ziekenhuizen te maken kregen met hack-pogingen naar aanleiding van een beveiligingslek in Citrix.