Minister Bruins informeert de Tweede Kamer over digitale gegevensuitwisseling en informatiebeveiliging in de zorg.

Geachte voorzitter,

In mijn brief van juli jl. heb ik u geïnformeerd over de stappen die ik zet in het nemen van regie op digitale gegevensuitwisseling en heb ik u een aparte brief toegezegd na de zomer over «Informatiebeveiliging in de zorg». Met deze brief, die ik mede namens de minister van VWS verstuur, voldoe ik aan die toezegging. Tevens geef ik de gevraagde reactie op de berichten dat medische scans van 25.000 personen onbeveiligd publiek te benaderen zijn, zoals gevraagd door het Kamerlid Van den Berg naar aanleiding van vragen van het Kamerlid Ploumen.

Kernboodschap en samenvatting

In deze brief meld ik u aan de hand van de voortgang op de acties die ik de afgelopen periode heb ontplooid, hoe ik in lijn met de regie op de elektronische gegevensuitwisseling, ook blijvende aandacht en regie heb genomen op het onderwerp informatieveiligheid. Het goed regelen van informatieveiligheid is onlosmakelijk verbonden met verdergaande digitalisering en verdient daarom aandacht, van mij, maar gezien de primaire verantwoordelijkheid voor informatieveiligheid bij de sector, ook van de sector zelf.
In de brief vermeld ik de ontwikkelingen met betrekking tot Z-CERT, het cybersecuritycentrum voor de zorg. Het aantal deelnemende zorginstellingen aan Z-CERT is sinds vorig jaar verdubbeld. Ik constateer dat Z-CERT tijdig betrokken was bij het datalek van de medische scans en snel en adequaat heeft gehandeld. In reactie op de motie van het Kamerlid Ellemeet Z-CERT om te verkennen of deelname aan Z-CERT verplicht kan worden, is nodig dat duidelijk wordt welke type instellingen en sectoren precies onder die eventuele verplichting zouden moeten vallen en welke typen instellingen en sectoren de meeste risico lopen. Sectoren en ketens die de meeste risico’s hebben, hebben immers het meeste baat bij een spoedige aansluiting. Ik wil samen met Z-CERT tot een dergelijke risicogestuurde aanpak komen, want of het nu een verplichting is of niet: een beheerst tempo van aansluiting is nodig om de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred te laten houden met het tempo van aansluiting.

Voor de aansluiting van de jeugdhulpsector bij Z-CERT heb ik naar aanleiding van de motie van Hijink en Raemakers Z-CERT gevraagd samen met de jeugdhulpsector een eerste verkenning uit te voeren. Daaruit blijkt dat de hulpvraag van de jeugdhulpinstellingen niet aansluit op de huidige dienstverlening van Z-CERT. Om inzicht te krijgen in wat dan wel nodig is en wat dat vraagt van de jeugdhulpsector zelf, laat ik op dit moment pentesten uitvoeren op ICT-systemen in de jeugdhulp. Het onderzoek naar de publieke rol van Z-CERT loopt. Ik verwacht daarvan in de eerste helft van 2020 de resultaten.

In deze brief ga ik verder kort in op de Nederlandse Technische Afspraak (NTA) 7516 voor veilige email die in mei van dit jaar beschikbaar is gekomen. Ik geef de actuele stand van zaken van het Actieplan Bewustwording dat door het zorgveld ontwikkeld is. Ik vermeld de belangrijkste resultaten van het onderzoek naar opslag van medische data in Google Cloud en ik ga kort in op het rijksbrede wetenschappelijk onderzoekstraject naar cybersecurity van de minister van OCW waar ik op aangesloten ben. Tenslotte licht ik toe dat vanwege het succes van de AVG Helpdesk ik in samenwerking met het Informatieberaad heb besloten die Helpdesk in ieder geval tot medio 2020 in stand te houden en de website tenminste tot eind 2020 in de lucht te laten blijven.

Deze versturen we 3-4x per jaar.