Ingediend | 8 oktober 2020 |
---|---|
Beantwoord | 16 november 2020 (na 39 dagen) |
Indieners | Maarten Hijink , Martin Wörsdörfer (VVD), Rens Raemakers (D66) |
Beantwoord door | Paul Blokhuis (staatssecretaris volksgezondheid, welzijn en sport) (CU) |
Onderwerpen | economie ict jongeren zorg en gezondheid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z18284.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20202021-797.html |
Ja.
Het datalek bij Kenter is op een vergelijkbare wijze ontstaan als een eerder datalek in april 2019. Dat het weer mogelijk was om op vergelijkbare wijze toegang tot persoonsgegevens te krijgen is zorgelijk. Naar aanleiding van het datalek in 2019 bij SAVE Utrecht heeft Z-CERT een domein naam check gedaan en JZNL heeft jeugdhulpaanbieders opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020 en ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam kan eenvoudig worden voorkomen.
Naar aanleiding van de motie Raemakers en Hijink uit 2019 en 2020 zijn gesprekken gevoerd met Jeugdzorg Nederland en Z-CERT. In samenwerking met Jeugdzorg Nederland is Deloitte in staat gesteld penetratietesten uit te voeren. Daarnaast heeft Jeugdzorg Nederland zijn achterban geïnformeerd over het risico van niet goed afgesloten domeinnamen. De in de BGZJ verzamelde branches hebben dit in een breder kader gedaan. Naar aanleiding van de pentesten uit 2019 hebben de zes gepenteste aanbieders hun beleid aangepast. Op basis van de genomen maatregelen wordt een handreiking geschreven, met aandacht voor de implementatie van de wettelijk verplichte NEN 7510 norm, die in december 2020 wordt verwacht, waarna deze nog beter kan worden geïmplementeerd.
Datalekken hebben vaak een systeem- en een menselijke component. Voor de systeem component kan Z-CERT, als de ICT brandweer, ondersteuning bieden bij een crisis en informatie delen en ter voorkoming van cyber incidenten informatie delen over relevante dreigingen en kwetsbaarheden van gebruikte systemen inzake dataveiligheid. Z-CERT is dan ook binnen deze context in gesprek met Jeugdzorg Nederland over wat zij voor elkaar kunnen betekenen. Door de risico gestuurde aanpak van Z-CERT gaan we opnieuw de mogelijkheden voor aansluiting onderzoeken. De aansluiting van Jeugdhulpaanbieders op Z-Cert kan dan op zijn vroegst in Q1 van 2021 starten.
Het Ministerie van VWS draagt ketenverantwoordelijkheid voor de dataveiligheid in het jeugddomein. Jeugdhulpaanbieders dragen echter zelf de verantwoordelijkheid voor het op orde houden van hun eigen dataveiligheid, ook indien er sprake is van een fusie en/of naamswijziging. Zodoende vragen wij de branches Jeugdzorg Nederland, VGN en GGZ-Nederland een voortrekkersrol te spelen op het gebied van informatiebeveiliging. Voor dataveiligheid zijn door het Rijk als ketenverantwoordelijke regels gesteld, zoals de wettelijk verplichte NEN 7510 norm. Bovendien zijn er toezichthouders, zoals de AP en de IGJ. Alle jeugdhulporganisaties dienen aan deze wettelijke vereisten te voldoen.
In 2019 zijn er bij zes jeugdhulpaanbieders en Gecertificeerde Instellingen pentesten uitgevoerd en voor 2021 worden deze pentesten bij zes andere jeugdhulporganisaties uitgevoerd. De testen hebben plaatsgevonden bij grote jeugdhulporganisaties, omdat een datalek daar een impact zou kunnen hebben op een groot aantal cliënten.
Met het oog op het verminderen van kwetsbaarheden in ICT-systemen heeft het Nationaal Cyber Security Centrum (NCSC) een Leidraad Coordinated Vulnerability Disclosure (CVD) opgesteld.6 Veel grotere Nederlandse organisaties hebben een eigen CVD gedragscode opgesteld en gepubliceerd op hun website. De organisatie geeft hiermee aan dat het is toegestaan – onder bepaalde randvoorwaarden – om de beveiliging van de ICT systemen van de organisatie ongevraagd te onderzoeken op mogelijke beveiligingsissues zonder dat er aangifte wordt gedaan. Als een ethische hacker zich houdt aan de gedragscode, zoals het niet publiceren van ingeziene data, zal de organisatie geen aangifte doen van computervredebreuk. Het vinden van kwetsbaarheden kan niettemin gepaard gaan met het overtreden van de wet. Als er aangifte wordt gedaan, is in Nederland het bestaan en naleven van CVD-beleid een relevante omstandigheid die de officier van justitie zal meenemen in zijn beslissing om al dan niet een strafrechtelijk onderzoek in te laten stellen en/of te vervolgen.
Ja.