| Ingediend | 17 januari 2020 |
|---|---|
| Beantwoord | 21 februari 2020 (na 35 dagen) |
| Indiener | Hayke Veldman (VVD) |
| Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z00647.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20192020-1843.html |
Ja.
Zorgaanbieders zijn zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid. Zij worden hierin ondersteund door Z-CERT, het cybersecuritycentrum voor de zorg. Het NCSC en Z-CERT staan in nauw contact met elkaar om zo veel als mogelijk voor elkaar relevante informatie uit te wisselen. Z-CERT heeft vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. Het MCL heeft mij laten weten de tussentijdse mitigerende maatregelen van Citrix van medio december niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.
De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ICT-producten mogelijk maken. Kwetsbaarheden in producten zullen overigens aan het licht blijven komen. Daarom is het van belang dat zorgaanbieders blijvend aandacht besteden aan informatiebeveiliging.
Ik heb hier geen inzicht in. Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ICT en welke systemen en/of servers zij gebruiken.
Het is mij niet bekend in hoeverre het dataverkeer tussen overige ziekenhuizen is stilgelegd na ontdekking van de hackpoging bij het Medisch Centrum Leeuwarden (MCL).
Ik deel met mijn ambtsgenoot Minister Grapperhaus dat informatieveiligheid een prioriteit dient te zijn, zo ook op alle bestuurslagen van de zorgsector. Zoals reeds gemeld zijn zorginstellingen zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Zorginstellingen als het MCL worden hierin ondersteund door Z-CERT. Zorginstellingen moeten zich meer in het algemeen onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN-norm 7510). De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hierop toe. Verder werk ik momenteel aan een herbeoordeling om te bezien of bepaalde organisaties binnen de zorgsector als vitale aanbieders zouden moeten worden aangewezen.
De vragen van het Kamerlid Veldman (VVD) over het bericht «Hackpoging ziekenhuis Leeuwarden, NCSC vreest aanvallers in meer systemen» (2020Z00647) kunnen tot mijn spijt niet binnen de gebruikelijke termijn worden beantwoord. De reden van het uitstel is dat de afstemming ten behoeve van de beantwoording meer tijd vergt. Ik zal u zo spoedig mogelijk de antwoorden op de kamervragen doen toekomen.