| Ingediend | 29 juni 2017 |
|---|---|
| Beantwoord | 14 juli 2017 (na 15 dagen) |
| Indiener | Karen Gerbrands (PVV) |
| Beantwoord door | Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD) |
| Onderwerpen | criminaliteit openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z09330.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-2342.html |
Ransomware aanvallen komen voor in alle sectoren. Ik vind het zorgelijk dat ook zorginstellingen worden getroffen door ransomware aanvallen. Patiënten moeten er op kunnen vertrouwen dat de bescherming van hun medische informatie is gewaarborgd.
Ik blijf me samen met de sector inspannen om aanvallen of andere manieren om de ICT systemen in de zorg te ontregelen te voorkomen, of als ze zich toch voordoen de schade zo veel mogelijk te beperken. (zie ook het antwoord op vraag 6).
Het Nationaal Cyber Security Centrum (NCSC) heeft mij laten weten dat zij sinds 1 januari 2014 vijf meldingen hebben geregistreerd van ransomware op infrastructuur van een ziekenhuis. Er is niet bekend of er losgeld is betaald. Evenmin is bekend of er bestanden onherstelbaar verloren zijn gegaan. Ook Z-CERT (Computer Emergency Response Team voor de zorg) heeft geen informatie over eventueel losgeld of verloren informatie. De Inspectie voor de Gezondheidszorg (IGZ) heeft geen meldingen ontvangen van situaties met ransomware.
Zie antwoord vraag 2.
Ziekenhuizen zijn in eerste plaats zelf verantwoordelijk voor de beveiliging van medische apparatuur. Ziekenhuizen moeten passende maatregelen nemen op het gebied van informatiebeveiliging, dit geldt ook voor apparaten die nog niet zijn afgeschreven met verouderde software. De eisen voor informatiebeveiliging van ziekenhuizen zijn te vinden in de NEN-normen. Ook moeten ziekenhuizen voldoen aan het convenant veilige toepassing van medische technologie in de medisch specialistische zorg.
Zie antwoord vraag 4.
Naar aanleiding van de wereldwijde ransomware aanval van 12 mei jl. heb ik 19 mei jl. een brief gestuurd naar de leden van het Informatieberaad Zorg waarin ik verzoek om adequate maatregelen te treffen en aandacht heb gevraagd voor informatiebeveiliging. Ik ga er vanuit dat zorginstellingen de noodzakelijke prioriteit geven aan dit onderwerp.
Samen met de sector heb ik de afgelopen periode diverse initiatieven genomen om de beveiliging van systemen te versterken:
Met brancheorganisaties in de medisch-specialistische zorg en geestelijke gezondheidszorg heb ik een «Actieplan (informatie)beveiliging patiëntgegevens» opgesteld dat 20 juni jl. naar de Tweede Kamer is verzonden2. In het Informatieberaad van 26 juni 2017 is aangekondigd dat ik dit actieplan wil uitbreiden tot het hele zorgveld. Activiteiten uit het plan moeten leiden tot een structurele verbeteringen in de dagelijkse werkpraktijk bij ziekenhuizen op het gebied van privacybescherming en informatiebeveiliging.
Om weerbaarder te zijn voor informatiebeveiligingsincidenten en de mogelijke gevolgen te beperken is begin dit jaar de sectorale CERT (Computer Emergency Response Team) voor de zorg opgericht, de stichting Z-CERT. De Z-CERT is een voorziening die bij cyberincidenten snel in actie te komt, om detectie te versnellen en kennisdeling over informatie-beveiligingsincidenten te vergroten. Hiermee wordt de impact van dergelijke incidenten beperkt. Ik ondersteun dit initiatief met een opstartsubsidie.
Daarnaast heeft het NCSC een samenwerkingsverband ontwikkeld in de vorm van een sector Information Sharing and Analysis Centre (ISAC). Een ISAC is een publiek-private sectoraal samenwerkingsverband, waarbinnen op tactisch niveau deelnemers van de zorgsector, waaronder ziekenhuizen om de sector als geheel weerbaarder te maken tegen cyber incidenten. Door het delen van (incident) informatie en het opbouwen van een netwerk kunnen ziekenhuizen hun eigen informatiebeveiliging verbeteren.