Cybersecuritywet ziet ziekenhuizen niet als essentiële dienst
De Cybersecuritywet, die aanbieders van essentiële diensten zoals drinkwaterbedrijven, banken en energiebedrijven verplicht om aan beveiligingseisen te voldoen, ziet ziekenhuizen niet als essentiële dienst en minister Bruins van Medische Zorg heeft nu aan de Tweede Kamer laten weten waarom (pdf).
Niet alleen worden essentiële diensten door de Cybersecuritywet verplicht om aan beveiligingseisen te voldoen, ook moeten ernstige cyberincidenten worden gemeld bij de toezichthouders. Ziekenhuizen worden echter niet als essentiële dienst aangemerkt, wat voor vragen van de vaste commissie voor Volksgezondheid zorgde. In zijn uitleg waarom dit het geval is wijst Bruins naar de criteria die gelden voor het beoordelen van vitale processen.
Een proces in de samenleving wordt als vitaal beschouwd wanneer uitval leidt tot meer dan 5 miljard euro schade of een 1.0 procent daling van het reëel inkomen, meer dan 1.000 doden, ernstig gewonden of chronisch zieken, of wanneer meer dan 100.000 personen emotionele problemen of ernstig maatschappelijke overlevingsproblemen ondervinden.
"Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ict-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg", stelt Bruins. De minister merkt op dat de zorg en de zorginfrastructuur in Nederland niet centraal georganiseerd zijn, maar decentraal en de instellingen zelf verantwoordelijk zijn voor de veiligheid van informatievoorziening en gegevensuitwisseling.
Mocht een deel van de zorg uitvallen, dan kan deze zorg volgens de minister in veel gevallen worden overgenomen door andere zorgaanbieders. "Daarom heeft het ministerie van Volksgezondheid geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen aanbieders van essentiële diensten aangewezen", aldus Bruins. Hij merkt daarbij op dat de informatievoorziening en gegevensuitwisseling in de zorg van groot belang is voor de patiëntveiligheid en er daarom wordt ingezet op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals het opstellen van specifieke normen en het oprichten van een Computer Emergency Response Team voor de Zorg.
Soms zijn politici ook maar net mensen zeg.
De Wbni, die de Nederlandse implementatiewet is van de NIB richtlijn, hanteert echter andere criteria om te bepalen of organisaties essentieel zijn. Het gaat hierbij al om een aanzienlijk verstorend effect (zie artikel 6 van de NIB-richtlijn). Bovendien gaat het bij de Wbni niet alleen om beschikbaarheid van diensten, maar ook om integriteit, vertrouwelijkheid en authenticiteit.
Criteria voor Vitale Processen (nationaal) en Essentiële diensten (NIB-richtlijn/Cybersecuritywet) lijken door elkaar gehaald te zijn.
Uit een recent onderzoek van de Inspectie voor de Zorg (IGJ) blijkt dat de meeste ziekenhuizen hier niet aan voldoen (https://www.nu.nl/internet/5265071/gezondheidsdata-volgens-inspectie-slecht-beveiligd.html en https://www.igj.nl/actueel/nieuws/2018/05/14/meer-aandacht-nodig-voor-afspraken-en-informatiebeveiliging-bij-gebruik-e-health).
De vraag is dus of zo'n norm zonder handhaving voldoende is; zoals voorgeschreven in de NIB-richtlijn.
Kan ik ook. Tijd voor een overstap.
Dus bij het ministerie van Volksgezondheid gaan ze het wiel opnieuw uitvinden?
Want dat is efficienter en goedkoper dan op bestaande regelgeving mee te liften...
Wie hebben dit geadviseerd, en wie stellen nu de nieuwe maatregelen op?
Misschien dezelfde personen of bureautjes?
helemaal beter worden en volop kunnen meedraaien in de neoliberale draaimolen van het leven. Dus dat er aan die
groep minder prioriteit gegeven wordt dan aan de rest van de burgers dat is vrij logisch als je neoliberaal denkt.
Hoezo niet essentieel als een laboratorium (tegenwoordig centraliseerd - heel Zeeland is afhankelijk van één ziekenhuis laboratorium in Rotterdam) ransomware in de systemen krijgt?
Verder is de NIS Directive geenzins vrijblijvend, het zijn minimumeisen voor alle 28 EU landen; health sector zomaar uitsluiten kan niet als het een zorginstelling betreft die voor meer landen essentieel is (bijv. Maastricht-Aken), zeker als andere landen (Duitsland, België) andere criteria dan Nederland hanteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.