| Ingediend | 17 januari 2019 |
|---|---|
| Beantwoord | 13 februari 2019 (na 27 dagen) |
| Indiener | Maarten Hijink |
| Beantwoord door | Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | organisatie en beleid zorg en gezondheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z00651.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20182019-1547.html |
Laat ik vooropstellen dat toegankelijke en veilige informatie nodig is voor goede zorg. Ziekenhuizen zijn in eerste plaats zelf verantwoordelijk voor de ICT-voorzieningen en de toegankelijkheid van gegevens. Ze moeten passende maatregelen nemen om weerbaar te zijn tegen cyberaanvallen en om computerstoringen zoveel mogelijk te voorkomen. Ze moeten ook kunnen optreden en adequaat handelen wanneer een incident of storing zich voordoet.
Zorgaanbieders zijn verantwoordelijk voor het leveren van goede en veilige zorg. Een onderdeel daarvan is, dat zij risico’s in de zorg inventariseren en bijpassende maatregelen treffen om de risico’s te beheersen. Een voorbeeld van een risicobeheersmaatregel is een noodscenario om bij uitval van ICT-systemen tijdelijk een alternatieve voorziening te gebruiken, mits dit leidt tot goede en veilige zorg.
Zorginstellingen moeten zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN-norm 7510).
De getroffen Noordwest ziekenhuisgroep heeft op mijn vraag laten weten dat ze over een noodscenario als onderdeel van Integraal Crisisbeleid beschikken dat direct na de ICT-storing ook in werking is getreden. Het doel van dit noodscenario is het vastleggen van het handelen en het inzichtelijk maken van alternatieven, in geval van uitval van systemen.
Tot slot is het onderwerp zorgcontinuïteit één van de aandachtspunten bij inspecties van de Inspectie Gezondheidszorg en Jeugd (IGJ) op het gebied van
eHealth. Daarbij komt aan de orde welke voorzieningen en plannen aanwezig zijn om op storingen te kunnen reageren. Bij dergelijke maatregelen is wel altijd een zorgvuldige afweging nodig tussen risico’s, kosten en stand der techniek. Storingen kunnen daarom nooit volledig worden uitgesloten. Belangrijk is dan dat de zorgverlening op een verantwoorde wijze wordt voortgezet (met tijdelijke maatregelen op het gebied van bijvoorbeeld dossierinzage) dan wel op een gecontroleerde manier tijdelijk wordt gestaakt met minimale gevolgen voor patiënten.
Zie antwoord vraag 2.
Het is mij niet bekend welke ziekenhuizen wel of geen noodscenario’s hebben voor ICT-storingen. Zoals reeds gemeld bij het antwoord op vraag 2 en 3 zijn ziekenhuizen zelf verantwoordelijk voor het leveren van goede en veilige zorg onder alle omstandigheden. De IGJ ziet hier op toe.
Uit de informatie die ik ontving van de Onderzoeksraad voor Veiligheid (OVV) blijkt dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral wordt gekeken naar hoe ziekenhuizen storingen en misbruik van informatietechnologie proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen daarvan te beperken. Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht in kwartaal drie van dit jaar, bezie ik of/welke acties nodig zijn om risico’s op ICT-storingen in ziekenhuizen te mitigeren.
Zie antwoord vraag 4.