Skip to main content

Kamerbrief informatieveiligheid en privacy in de zorg

Minister Bruins informeert de Tweede Kamer over digitale gegevensuitwisseling en informatiebeveiliging in de zorg.

Geachte voorzitter,

In mijn brief van juli jl. heb ik u geïnformeerd over de stappen die ik zet in het nemen van regie op digitale gegevensuitwisseling en heb ik u een aparte brief toegezegd na de zomer over «Informatiebeveiliging in de zorg». Met deze brief, die ik mede namens de minister van VWS verstuur, voldoe ik aan die toezegging. Tevens geef ik de gevraagde reactie op de berichten dat medische scans van 25.000 personen onbeveiligd publiek te benaderen zijn, zoals gevraagd door het Kamerlid Van den Berg naar aanleiding van vragen van het Kamerlid Ploumen.

Kernboodschap en samenvatting

In deze brief meld ik u aan de hand van de voortgang op de acties die ik de afgelopen periode heb ontplooid, hoe ik in lijn met de regie op de elektronische gegevensuitwisseling, ook blijvende aandacht en regie heb genomen op het onderwerp informatieveiligheid. Het goed regelen van informatieveiligheid is onlosmakelijk verbonden met verdergaande digitalisering en verdient daarom aandacht, van mij, maar gezien de primaire verantwoordelijkheid voor informatieveiligheid bij de sector, ook van de sector zelf.
In de brief vermeld ik de ontwikkelingen met betrekking tot Z-CERT, het cybersecuritycentrum voor de zorg. Het aantal deelnemende zorginstellingen aan Z-CERT is sinds vorig jaar verdubbeld. Ik constateer dat Z-CERT tijdig betrokken was bij het datalek van de medische scans en snel en adequaat heeft gehandeld. In reactie op de motie van het Kamerlid Ellemeet Z-CERT om te verkennen of deelname aan Z-CERT verplicht kan worden, is nodig dat duidelijk wordt welke type instellingen en sectoren precies onder die eventuele verplichting zouden moeten vallen en welke typen instellingen en sectoren de meeste risico lopen. Sectoren en ketens die de meeste risico’s hebben, hebben immers het meeste baat bij een spoedige aansluiting. Ik wil samen met Z-CERT tot een dergelijke risicogestuurde aanpak komen, want of het nu een verplichting is of niet: een beheerst tempo van aansluiting is nodig om de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred te laten houden met het tempo van aansluiting.

Voor de aansluiting van de jeugdhulpsector bij Z-CERT heb ik naar aanleiding van de motie van Hijink en Raemakers Z-CERT gevraagd samen met de jeugdhulpsector een eerste verkenning uit te voeren. Daaruit blijkt dat de hulpvraag van de jeugdhulpinstellingen niet aansluit op de huidige dienstverlening van Z-CERT. Om inzicht te krijgen in wat dan wel nodig is en wat dat vraagt van de jeugdhulpsector zelf, laat ik op dit moment pentesten uitvoeren op ICT-systemen in de jeugdhulp. Het onderzoek naar de publieke rol van Z-CERT loopt. Ik verwacht daarvan in de eerste helft van 2020 de resultaten.

In deze brief ga ik verder kort in op de Nederlandse Technische Afspraak (NTA) 7516 voor veilige email die in mei van dit jaar beschikbaar is gekomen. Ik geef de actuele stand van zaken van het Actieplan Bewustwording dat door het zorgveld ontwikkeld is. Ik vermeld de belangrijkste resultaten van het onderzoek naar opslag van medische data in Google Cloud en ik ga kort in op het rijksbrede wetenschappelijk onderzoekstraject naar cybersecurity van de minister van OCW waar ik op aangesloten ben. Tenslotte licht ik toe dat vanwege het succes van de AVG Helpdesk ik in samenwerking met het Informatieberaad heb besloten die Helpdesk in ieder geval tot medio 2020 in stand te houden en de website tenminste tot eind 2020 in de lucht te laten blijven.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen