Minister Bruno Bruins onderzoekt de mogelijkheid om zorginstellingen te verplichten zich aan te sluiten bij Z-Cert. Dit is de instantie die de digitale veiligheid van zorgaanbieders moet verbeteren. Bruins stelt dit in reactie op Kamervragen van PVV’s Tweede Kamerlid Edgar Mulder. Hij had op 18 februari een aantal vragen gesteld over de rol van de overheid in het beperken van een datalek zoals bij het Amsterdamse OLVG.
Het Amsterdamse stadsziekenhuis kondigde half februari een reeks maatregelen aan om de privacy van patiënten beter te beschermen. Een deel van de maatregelen was al eerder getroffen, toen in 2018 bleek dat werkstudenten heel eenvoudig toegang hadden tot elektronische patiëntgegevens in het EPD van het ziekenhuis. Het ging om alle mogelijke medische informatie, ook over gevoelige zaken zoals de uitslagen van een SOA-test.
Meer regie overheid
Hoewel Bruins zoals bij eerdere Kamervragen over datalekken en ICT-storingen in ziekenhuizen erop wijst dat de verantwoordelijkheid vooral bij ziekenhuizen zelf ligt, geeft hij ook nu weer aan dat de overheid meer regie wil pakken. Zorgaanbieders moeten zich onder meer houden aan een aantal zorgbrede Nederlandse normen voor informatieveiligheid in de zorg (NEN-normen) en de voorschriften van de AVG, benadrukt de bewindsman. Datalekken of andere ICT-incidenten moeten worden gemeld bij de AP.
"Gezien het belang van informatieveiligheid ondersteunt VWS de zorgsector hierbij in toenemende mate. Zoals ik in mijn Kamerbrief over ‘Elektronische gegevensuitwisseling in de zorg’ van 20 december 2018 jl. heb aangekondigd, wil ik toewerken naar wettelijke verplichting om onder andere veiligheidsbelemmeringen in elektronische gegevensuitwisseling in de zorg aan te pakken.”
Rol voor Z-Cert
Verder ziet Bruins een belangrijke rol weggelegd voor Z-Cert, dat begin 2018 werd opgericht om zorginstellingen beter te beschermen tegen cybergevaren. Het Computer Emergency Response Team voor de zorgsector helpt aangesloten zorginstellingen bij monitoring, preventie en reparatie van ICT-incidenten. VWS ziet Z-CERT als het cybersecuritycentrum voor de zorg en draagt bij aan de doorontwikkeling ervan.
"Ik vind dat alle zorginstellingen aangesloten zouden moeten zijn bij een organisatie als Z-CERT”, schrijft Bruins. “Zoals toegezegd op de aangenomen motie Ellemeet onderzoek ik het verplicht stellen van de deelname van zorginstellingen aan ZCERT zal tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken."
Meer bewustwording
Tot slot wijst Bruins er op dat zorgkoepels en VWS samen een Actieplan Verhoging bewustzijn informatiebeveiliging Patiëntengegevens opgesteld hebben. Hiermee moet de verhoging van bewustwording van informatiebeveiliging opgepakt worden. Het Actieplan is uitgebreid en verbreed naar alle zorgbranches. Het wordt geleid door Brancheorganisaties Zorg (BoZ). Voor het zomerreces wordt de tweede Kamer geïnformeerd over de voortgang van het actieplan.