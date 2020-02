De aankomende wet elektronische gegevensuitwisseling van minister Bruins biedt allerlei bepalingen voor informatieveiligheid en privacy in de zorg, maar dat neemt niet weg dat zorgaanbieders zelf alert moeten blijven op informatiebeveiliging, zo laat de minister weten op Kamervragen van de VVD.

VVD-Kamerlid Veldman had vragen gesteld over de aanval op de Citrix-systemen van het Medisch Centrum Leeuwarden (MCL). Eerder hadden het CDA en SP al vragen over deze specifieke aanval gesteld en Bruins herhaalt dan ook dat het MCL de beschikbare mitigerende maatregelen van Citrix niet op tijd had doorgevoerd. Daarnaast heeft de minister geen zicht op het gebruik van Citrix in de zorg en of andere ziekenhuizen hun dataverkeer naar aanleiding van de aanval op het MCL hebben platgelegd.

Veldman wilde ook van de minister weten in hoeverre kwetsbaarheden in servers waar ziekenhuizen gebruik van maken worden meegenomen in de nieuwe wetgeving rondom gegevensuitwisseling in de zorg. Bruins wil ziekenhuizen verplichten om digitaal gegevens uit te wisselen. Om dit mogelijk te maken zal de minister dit jaar met een wetsvoorstel komen, alsmede 75 miljoen euro beschikbaar stellen.

"De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ict-producten mogelijk maken. Kwetsbaarheden in producten zullen overigens aan het licht blijven komen. Daarom is het van belang dat zorgaanbieders blijvend aandacht besteden aan informatiebeveiliging", antwoordt Bruins op de vraag van Veldman.

Afsluitend gaat de minister in op de uitspraak van minister Grapperhaus van Justitie en Veiligheid over het aanpakken van bedrijven die hun it-beveiliging niet op orde hebben. "Ik deel met mijn ambtsgenoot minister Grapperhaus dat informatieveiligheid een prioriteit dient te zijn, zo ook op alle bestuurslagen van de zorgsector. Zoals reeds gemeld zijn zorginstellingen zelf primair verantwoordelijk voor hun eigen ict en de informatieveiligheid onder alle omstandigheden", aldus Bruins, die toevoegt dat hij bezig is om te kijken of bepaalde organisaties binnen de zorgsector als vitale aanbieders zouden moeten worden aangewezen.