image

Inspectie: Jeugdzorg heeft onvoldoende kennis van informatiebeveiliging

donderdag 18 juni 2020, 16:24 door Redactie, 11 reacties
Laatst bijgewerkt: 19-06-2020, 10:35

De Nederlandse Jeugdzorg heeft onvoldoende kennis van informatiebeveiliging, wat tot hoge risico's voor de beschikbaarheid, integriteit en vertrouwelijkheid van dossiers in de jeugdhulp kan leiden. Ook heeft de sector onvoldoende middelen voorhanden, zo stelt de Inspectie Gezondheidszorg en Jeugd op basis van eigen onderzoek.

De afgelopen jaren deden zich verschillende datalekken bij jeugdzorginstellingen voor. Zo kwamen begin vorig jaar door een lek bij Bureau Jeugdzorg Utrecht ruim 3200 dossiers van 2700 kwetsbare kinderen in handen van derden. En onlangs meldde het Centrum voor Jeugd en Gezin (CJG) Rijnmond nog een datalek nadat het slachtoffer was geworden van een phishingaanval.

Naar aanleiding van het datalek bij Bureau Jeugdzorg Utrecht werd er een onderzoek door de Inspectie ingesteld, waar 563 organisaties aan deelnamen. Informatiebeveiliging was een specifiek onderdeel van dit onderzoek. Daarnaast organiseerde de Inspectie een focusgroep om de resultaten van het onderzoek te bespreken. Verder zijn in opdracht van het ministerie van Volksgezondheid bij verschillende jeugdhulpaanbieders penetratietesten uitgevoerd.

Van de deelnemers aan het onderzoek heeft 88 procent beleid opgesteld voor informatiebeveiliging en de omgang met digitale privacy. Bij een derde van de organisaties is het beleid gebaseerd op de gangbare wettelijke normen (ISO 27001 en/of NEN7510). De Inspectie noemt het opvallend dat een deel van de sector niet bekend is met deze normen. Zo heeft 18 procent van de respondenten het beleid voor informatiebeveiliging gebaseerd op een niet gangbare norm en weet 26 procent de gehanteerde norm niet te noemen.

Bijna 80 procent van de respondenten heeft een verantwoordelijke voor informatiebeveiliging aangewezen. Bij de rest is deze functie niet aanwezig. Verder heeft 40 procent geen risicoanalyse laten uitvoeren. "Opvallend is dat bij 38 procent van de respondenten die aangaven wél de risico's op dit vlak te kennen en hierop voorbereid te zijn, geen risicoanalyse is gedaan", zo laat de Inspectie weten.

Op basis van het onderzoek, de resultaten van de penetratietesten en overleg met de focusgroep komt de Inspectie tot de conclusie dat erbij de Jeugdzorg onvoldoende kennis aanwezig is van en zicht op de risico's op het gebied van ict en informatiebeveiliging. De inspectie roept alle jeugdzorginstellingen dan ook op om de informatiebeveiliging op orde te brengen conform de hiervoor geldende normen, te weten de ISO27001 en/of de NEN7510.

Image

Reacties (11)
18-06-2020, 16:31 door karma4
Mijn dank voor het artikel.
18-06-2020, 16:40 door Anoniem
Dat plaatje... Hoe kan een beveiligingsbeleid gebaseerd zijn op een norm?!? Dan snap je niet wat een beleid inhoudt en wat een beveiligingsnorm is. We hebben nog een lange weg te gaan.
18-06-2020, 16:53 door Anoniem
@16:40, zou je kunnen uitleggen waarop, in jouw ogen, een beveiligingsbeleid dan wel op gebaseerd moet zijn?
18-06-2020, 17:25 door souplost
Logisch, want wie gaat er daar voor 15 euro per uur ict zitten doen behalve als het om je eigen kind gaat?
Is vast begonnen met een hulpverlener die het er bij doet.
18-06-2020, 17:28 door Anoniem
@16:53 Een beleid moet niet op een norm gebaseerd zijn. Normen zijn algemeen, een goed beleid is organisatie-specifiek. Het moet jouw doelstellingen voor informatiebeveiliging bevatten, wat jij eigenlijk in de term informatiebeveiliging ziet, hoe je de verantwoordelijkheden hebt ingericht om tot je doel te komen, etc. Een norm zoals 27001 en NEN 7510 beschrijft hoe je informatiebeveiliging (op basis van je beleid) zodanig inricht dat het blijvend, betrouwbaar en controleerbaar is. Het beschrijft een ISMS. Een ISMS is niet hetzelfde als een beleid.
19-06-2020, 02:38 door Anoniem
Zo kwamen begin vorig jaar door een lek bij Bureau Jeugdzorg Utrecht ruim 3200 dossiers van 2700 kwetsbare kinderen in handen van derden.
Het 'lek' bestond uit het opnieuw registreren van een oud domein, waar nog steeds mails naar toe werden gestuurd met (onversleutelde) dossiers.

IMHO is het probleem dat de overheid overal domeinen registreert, terwijl er domein-hiërachie mogelijk is middels sub-domeinen.

Waarom niet jeugdzorg.overheid.nl ?
19-06-2020, 08:41 door Anoniem
Door Anoniem: @16:53 Een beleid moet niet op een norm gebaseerd zijn. Normen zijn algemeen, een goed beleid is organisatie-specifiek. Het moet jouw doelstellingen voor informatiebeveiliging bevatten, wat jij eigenlijk in de term informatiebeveiliging ziet, hoe je de verantwoordelijkheden hebt ingericht om tot je doel te komen, etc. Een norm zoals 27001 en NEN 7510 beschrijft hoe je informatiebeveiliging (op basis van je beleid) zodanig inricht dat het blijvend, betrouwbaar en controleerbaar is. Het beschrijft een ISMS. Een ISMS is niet hetzelfde als een beleid.
Je lijkt "is gebaseerd op" gelijk te stellen aan "is hetzelfde als". Dat is zoiets als zeggen dat een huis hetzelfde is als elk van de heilpalen waarop het steunt. "Gebaseerd op" wil zeggen dat iets ergens op steunt, niet dat het hetzelfde is als waar het op steunt en dat het meteen het enige is waarop het steunt. Beleid kan gebaseerd zijn op meerdere normen, wetten en doelen. Een doel van een organisatie kan zijn om de informatiebeveiliging goed op orde te hebben en voldoen aan NEN7510 kan expliciet onderdeel zijn van het gevoerde beleid. Dat sluit helemaal niet uit dat het beleid als geheel specifiek is voor een organisatie.
19-06-2020, 08:52 door Bitje-scheef
Dit is duidelijk ook een politiek en beleidsprobleem. De overheid had dit nooit terug moeten schuiven naar gemeenten.
19-06-2020, 09:07 door Anoniem
Door Anoniem:
Zo kwamen begin vorig jaar door een lek bij Bureau Jeugdzorg Utrecht ruim 3200 dossiers van 2700 kwetsbare kinderen in handen van derden.
Het 'lek' bestond uit het opnieuw registreren van een oud domein, waar nog steeds mails naar toe werden gestuurd met (onversleutelde) dossiers.

IMHO is het probleem dat de overheid overal domeinen registreert, terwijl er domein-hiërachie mogelijk is middels sub-domeinen.

Waarom niet jeugdzorg.overheid.nl ?

In het kort:
Omdat het niet 1 organisatie is, maar 100-en. En het rijk is niet langer verantwoordelijk. (met dank aan de de politici in Den Haag). Er is dus geen regie van bovenaf. Tel uit je winst.

Verder;
1. Omdat de rijskoverheid ook niet weet wat het doet. Mn dat het haar eigen regels en interne instructie niet volgt. Kijk maar naar het geblunder met domeinen voor reizigers in het buitenland (icm corona).
2. Dat de politiek in Den Haag alles vwb jeugdzorg over de muren van de gemeenten gesmeten heeft (met minder geld). En die moesten daarna de rommel maar gaan opruimen (en financieel verzuipen). Dan krijg je 300+ oplossingen ipv 1. Daar is goed over nagedacht door Den Haag.
3. De jeugdzorg bestaat uit bedrijfjes (groot en klein) die ook elk hun eigen ding doen, met hun eigen werkwijzes en domeinen. Er ontstaan nu wat standaarden vwb uitwisseling van gegevens, maar er is niet 1 STUF oplossing.
19-06-2020, 11:31 door Anoniem
Door Anoniem:
Je lijkt "is gebaseerd op" gelijk te stellen aan "is hetzelfde als".
Dat bedoel ik in ieder geval niet. Je kan een beleid aanpassen zonder van norm te wisselen. Je kan ook van norm wisselen zonder je beleid aan te passen. Ze staan echt los van elkaar. Een beleid is dus niet gebaseerd op een norm. Je hebt geen norm nodig om een beleid op te stellen. Je hoeft niks uit een norm te halen op je beleid op te stellen. Geen idee hoe ik het anders moet verwoorden, maar ik hoop dat het hiermee wat duidelijker is.
21-06-2020, 19:10 door ict1984
Jeugdzorg is wel een grote verzamelnaam voor alles wat met Jeugdzorg te maken heeft. Je hebt natuurlijk te maken met zzp’ers die niet alles onder controle hebben, met middelgrote organisaties en grote organisaties. En ja, er is heel veel te verbeten, dat komt overal voor. Als ICT kan je heel veel in regelen, maar je bent ook afhankelijk van de medewerkers. Belangrijk is dat je beleidsstukken hebt, je een isms inricht en je conformeert aan een norm en je daar ook op laat auditen. Verder moet je aan bewustwording werken, zowel bij medewerkers, maar ook bij cliënten. Sommige vinden het lastig om een beveiligde mail te ontvangen... Trouwens als je voldoet aan een norm, moet je ook je medewerkers blijven motiveren, om te blijven werken, zoals je hebt afgesproken binnen de organisatie...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.