Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Beveiliging landelijke datasets/bestanden patiëntgegevens in de zorg
[0:00:00] Ik kom niet vaak voor dat de bel voor de plenaire zaal mooi is en gewoon loopt met die in de commissiezalen, maar op dit moment toch wel.
[0:00:06] Dus laat ik de bel ook aangrijpen om dit rondetafelgesprek te openen met het onderwerp de beveiliging van landelijke datasets en bestanden van patiëntgegevens in de zorg in aansluiting op de technische briefing die we vanochtend van het ministerie van VWS hebben gekregen.
[0:00:21] Ik heet onze gasten van harte welkom.
[0:00:24] Meneer Bomhoff namens TNO, mevrouw Flikweerd namens Health R.I.
[0:00:29] en meneer Hafkamp namens ZZ.
[0:00:32] De naam van ZZ is al langsgekomen.
[0:00:37] De lat ligt daar in ieder geval al hoog.
[0:00:40] En welkom aan de leden.
[0:00:42] We zijn met iets minder dan we normaal gewend zijn.
[0:00:45] Dus ik hoop dat er nog een of twee leden aanschuiven, maar ik vrees het eigenlijk van niet.
[0:00:49] Mevrouw de Korte namens Nieuw Sociaal Contract en mevrouw Slachtingman namens de GroenLinks PvdA-fractie.
[0:00:55] Ikzelf zit voor, maar ik ben ook woordvoerder namens de VVD.
[0:00:59] Dus ik vermoed dat mijn collega's aan de linkerzijde het oké vinden als ik ook nog wat vragen stel.
[0:01:05] We geven u de eerste gelegenheid om in een paar minuten boodschappen aan ons mee te geven.
[0:01:12] En vervolgens is het aan de leden om vragen te stellen.
[0:01:14] We hopen dat u daar antwoord op kan geven.
[0:01:16] Het is niet de bedoeling dat er een politiek debat ontstaat.
[0:01:19] Dat voeren we met de minister.
[0:01:20] Dat doen we op dit onderwerp waarschijnlijk op 10 april.
[0:01:24] Het is de bedoeling dat wij geïnformeerd raken en onze kennispositie kunnen versterken.
[0:01:29] Dat is het doel van vanmiddag.
[0:01:32] Laten we beginnen met de bijdrage van meneer Bommel.
[0:01:39] Ik ben ontzettend blij dat ik hier ben, vooral omdat ik afgelopen zondag op de huisartsenpost van een ziekenhuis in de buurt zat.
[0:01:49] Ik had een hele nare infectie en de antibiotica van de huisarts zelf wilde niet aanslaan en het werd erger en erger.
[0:01:57] Maar de antibiotica van de huisartsenpost deed het wel.
[0:02:00] En ik stond daarna bij de apotheek van het ziekenhuis voor mijn nieuwe pillen.
[0:02:04] En zeiden ze, meneer, geeft u toestemming om uw gegevens naar uw eigen apotheek door te sturen?
[0:02:09] Ik dacht, kijk.
[0:02:11] Zo zie je maar weer dat bijna bij alle zorgverlening ook data-uitwisseling aan de orde is.
[0:02:16] En in dit geval is het volledig logisch dat natuurlijk een apotheek...
[0:02:19] Helemaal niet zo super gevoelig, he, dat Freek Amokse Ciline gebruikt.
[0:02:23] Maar in principe is natuurlijk data uitwisselen iets wat heel veel gebeurt.
[0:02:28] Maar het lijkt wel eens alsof dat soms een doel op zich is.
[0:02:32] Het uitwisselen van data is niet het doel, he.
[0:02:34] We willen inzichten uit die data halen.
[0:02:36] Daar gaat het om.
[0:02:37] Eigenlijk zou je die uitwisseling helemaal niet willen.
[0:02:39] Je wilt dus de inzichten hebben.
[0:02:41] En dat klinkt natuurlijk paradoxaal.
[0:02:43] Hoe kunnen we inzichten uit data halen die overal liggen zonder dat je erin mag kijken?
[0:02:48] Maar die privacy enhancing technologies die vanochtend ook al even genoemd zijn, die stellen je wel in staat om dat te doen.
[0:02:54] Je hoeft dus niet in zichtbare vorm die data uit te delen... om er toch conclusies uit te kunnen trekken.
[0:03:02] En in heel veel situaties is dat dus ook gewoon een oplossing... om te voorkomen dat er dus informatielekkage ontstaat.
[0:03:08] Want als je data uitwisselt, dan ligt het eerst op één plaats... en je wisselt het eruit en daarna ligt het op twee plaatsen.
[0:03:12] Daarna misschien wel op drie.
[0:03:14] Dus een beetje cybercrimineel... heeft ook een drie keer zo'n grote kans om enge dingen te doen.
[0:03:19] Dus je zou kunnen zeggen, dat is een supermooie aanpak.
[0:03:23] Ze zijn ook al beschikbaar.
[0:03:25] Er zijn verschillende Nederlandse bedrijven die dat ook gewoon al aanbieden.
[0:03:30] Maar bijvoorbeeld AP, de autoriteit persoonsgegevens, die schreef een paar maanden terug in hun sectorbeeld overheid.
[0:03:36] Het is een mooie mogelijkheid die we nog helaas veel te weinig zien.
[0:03:40] En dat is inderdaad ook iets, en daarom zit ik nou ook hier, omdat ik denk dat nu echt het moment is om hierop door te pakken.
[0:03:49] De European Health Data Space komt eraan.
[0:03:52] Daarin wordt nog veel meer aan uitwisseling gedaan.
[0:03:55] Het is geen centrale opslagplaats.
[0:03:57] Dat woord Data Space impliceert dat een beetje.
[0:03:59] Het is geen centrale opslagplaats.
[0:04:01] Het gaat echt om uitwisseling.
[0:04:03] dan zou ik zeggen, waar het maar enigszins mogelijk is, hou die data dan ook echt bij de bron.
[0:04:08] Want tegenwoordig kan het dus ook gewoon met die privacy enhancing technologies.
[0:04:15] Het is ook heel goed om dat juist nu te doen, want...
[0:04:18] Je bouwt het ook later niet zo makkelijk in.
[0:04:19] Het is niet een laagje dat je even over een systeem heen smeert.
[0:04:22] Je moet het echt van het begin af aan meenemen in het ontwerp.
[0:04:25] Nou, dat gaan we dus ook nu doen met die uitvoeringswet van de EHDS.
[0:04:29] Dus dit is echt het ideale moment om onszelf niet tekort te doen.
[0:04:33] We kunnen gebruikmaken van de mogelijkheden die er al zijn, waar de Nederland ook best wel redelijk in voorop loopt met de bedrijven die we daarop hebben.
[0:04:41] Dus ik zou zeggen, ja, dit is de kans om er nu op een mooie manier mee om te gaan.
[0:04:48] Dank u wel.
[0:04:50] Dan geef ik het woord aan mevrouw Flikweerd.
[0:04:54] Dank u wel voor het podium en ook om vanochtend bij te zijn bij de technische briefing.
[0:04:59] Het is nu het momentum.
[0:05:05] Ik spreek namens HealthRy en de Nederlandse Vereniging van Ziekenhuizen.
[0:05:09] HealthRy is een private stichting opgericht om een geïntegreerde
[0:05:14] Het doel is het grote doel dat we de gezondheid van burgers en patiënten willen verbeteren.
[0:05:31] Daar hebben we uiteindelijk datahergebruik voor nodig.
[0:05:34] Dat moet veilig en verantwoord, maar daar hebben we maatregelen voor nodig.
[0:05:40] En niet alleen maar technische maatregelen.
[0:05:42] Die zijn heel belangrijk.
[0:05:43] MPC, daar werken wij ook samen mee.
[0:05:45] Maar daarmee heb je niet alles geregeld.
[0:05:47] Secondair gebruik is breed en die hebben we nodig om onze gezondheid te verbeteren.
[0:05:52] Het gaat over kwaliteitsregistraties en andere landelijke datasets.
[0:05:56] Maar het gaat ook over wetenschappelijk onderzoek.
[0:05:58] Dat kunnen soms ook hele kleine datasets zijn.
[0:06:01] En we moeten beseffen dat een technologische maatregel daar een onderdeel van is.
[0:06:05] We hadden het vanochtend in de technische briefing al over helder hebben.
[0:06:08] Wie mag daarbij?
[0:06:10] En waarom?
[0:06:11] En daar moeten ook echt generieke voorzieningen voor komen.
[0:06:13] Maar ook, is de zeggenschap goed geregeld van data?
[0:06:16] Nou, dat komt voor een deel ook in de ERDS terug.
[0:06:19] Maar ook, we hebben al goed toetsing van welk onderzoek mag wanneer.
[0:06:23] En al dat soort afspraken moeten we echt goed met elkaar gaan regelen.
[0:06:27] En daar moeten we ook investeren.
[0:06:28] Dus niet alleen in het primair gebruik, maar ook in het secundair gebruik.
[0:06:31] En we zien ook echt dat daar centrale regie komt.
[0:06:34] Nu is het echt versnipperd.
[0:06:36] Ieder doet het voor zich.
[0:06:38] En ook dit soort maatregelen als NPC, dat kun je niet als huidarts doen.
[0:06:41] Het is echt nodig dat we vanuit de regie, vanuit de overheid, gelukkig samen met VWS, maar dat er ook echt een uitvoeringsinstantie moet gaan komen.
[0:06:51] Er ligt een rapport van ABD Topconsult, die geeft het ook aan.
[0:06:54] Op armlengte van VWS zou ook echt een uitvoeringsorganisatie moeten komen.
[0:07:00] En de EADS is daar een heel mooi kader voor.
[0:07:04] Gisteren van kracht geworden, maar het is superbelangrijk dat we de komende tijd die uitvoeringswet, daar zijn we natuurlijk met z'n allen nu eigenlijk aan zitten, om daar ook die details in te gaan regelen.
[0:07:14] Zowel op technologie, maar ook op
[0:07:16] organisatorische en juridische dingen.
[0:07:18] En dat moeten we ook echt samen met Europa doen.
[0:07:22] En dat doen we ook vanuit HealthSky en vanuit anderen, ook samen met het ministerie.
[0:07:26] Dus en die nationale visie en de ISA, maar ook het EADS moet echt in één kader gezien worden.
[0:07:32] En daar moeten we het moment nu van pakken, denk ik.
[0:07:37] Dank u wel.
[0:07:39] En dan tot slot het woord aan meneer Hafkamp van ZZ.
[0:07:43] Ja, ook vanuit mijn kant hartelijk dank voor de uitnodiging.
[0:07:47] Vanochtend is ZZ al langsgekomen, begreep ik.
[0:07:50] Ik zou toch nog graag iets meer context geven over wie we zijn en wat we doen.
[0:07:55] ZZ is een afkorting, staat voor Zorg Computer Emergency Response Team.
[0:08:00] We zijn in 2017 als stichting opgericht door drie zorgkoepels, de Vereniging van Ziekenhuizen en VZ.
[0:08:06] Federatie van Academie, Ziekenhuizen en FU in de Nederlandse GGZ.
[0:08:11] We zitten in Amersfoort.
[0:08:13] Op dit moment zijn ongeveer 400 zorginstellingen aan ons verbonden.
[0:08:17] En wij leveren elke dag informatie over nieuwe dreigingen, kwetsbaarheden aan die 400 instellingen.
[0:08:22] Later dit jaar gaan wij, na alle verwachting, een wettelijke taak krijgen in het kader van de Cyberbeveiligingswet.
[0:08:28] En gaan wij op den duur zo'n 1600 zorginstellingen bedienen.
[0:08:34] Ja.
[0:08:36] Cybersecurity, informatieveiligheid, gaat over drie kwaliteitskenmerken.
[0:08:40] Beschikbaarheid, integriteit en vertrouwelijkheid van data.
[0:08:43] En de technologie waar we het hier over hebben... en PC richt zich natuurlijk vooral op die vertrouwelijkheid... en met name het waarborgen van de privacy van gegevens.
[0:08:55] We vinden zelf dat het een veelbelovende technologie is... die zich in een aantal use cases al heeft bewezen.
[0:09:02] Ook buiten het zorgdomein.
[0:09:04] Het National Cyber Security Center werkt...
[0:09:06] met een applicatie, dat heet SecureNet, waar ook wij mee samenwerken.
[0:09:12] En de onderliggende technologie is MPC.
[0:09:17] Met name geschikt, denken wij, voor onderzoek op secondaire data.
[0:09:25] Daar is het uitstek geschikt voor, omdat juist daar de bedoeling is dat er geen herleibeid is naar identiteiten.
[0:09:33] Als er een vorm van herleidbaarheid nodig is, bijvoorbeeld je moet kunnen controleren of die gegevens correct zijn, dan ga je dat niet realiseren met MPC, want dat gaat je nooit lukken.
[0:09:46] Die technologie is echt robuust.
[0:09:49] Er zijn een paar maren wat ons betreft.
[0:09:53] Je moet dan wel een standaard gaan ontwikkelen waar alle leveranciers van die MPC-technologie zich aan gaan houden.
[0:10:00] Het moet dus niet leveranciers afhankelijk worden.
[0:10:04] Wij denken dat het ook goed is dat de leveranciers ook op de een of andere manier gecertificeerd worden, dus betrouwbaar zijn als ze deze dienst gaan leveren.
[0:10:13] En uiteindelijk moet het dus ook interoperabel gaan worden op Europees niveau, met name de komst van de European Health Data Space.
[0:10:23] Dus dat zijn wel een aantal randvoorwaarden die eerst ingevuld moeten worden.
[0:10:27] En ook bij de invoering hebben wij gezien bij SecureNet, wij waren een van de partijen die daarop zijn aangehaakt, dat was in het begin vrij veel handwerk.
[0:10:37] Dus als je dit wil gaan ontwikkelen op nationaal niveau, dan moet daar ook echt een robuuste architectuur onder liggen, zodat je niet als individuele organisatie iedere keer handmatig
[0:10:48] gegevens moet toevoegen aan die grote dataset waar MPC dan mee aan de slag gaat.
[0:10:55] En we zien nu nog wel een aantal use cases waar het nog relatief veel handwerk is.
[0:11:00] Dus dat hoort er wel bij, wat ons betreft.
[0:11:02] Maar op zichzelf een mooie en ook goede technologie voor dit soort, zeg maar, dienstverlening.
[0:11:15] Dank u wel voor uw inleiding.
[0:11:17] Dat roept in ieder geval vragen op.
[0:11:23] Dank u wel voor uw komst en uw toelichting.
[0:11:26] Het is jammer dat er niet meer mensen zijn, want het is best wel complexe materie.
[0:11:30] Dus ik hoop dat ze terugkijken.
[0:11:34] Want ook voor mij probeer ik die hele techniek te begrijpen.
[0:11:46] Ik kort het maar af, want het is een ingewikkelde afkorting.
[0:11:50] Maar zoals ik het begrijp gaat het dan om verschillende compartimenten waarin gegevens zitten.
[0:12:00] Misschien kan u daar zelf een toelichting aan geven hoe dat precies gaat.
[0:12:04] Want we hebben straks de wet kwaliteitsregistraties zorg.
[0:12:08] Dan moeten alle zorgorganisaties dus gegevens aanleveren aan verschillende
[0:12:14] Organisaties die de kwaliteit gaan meten of kijken of de ene behandeling beter is dan de andere.
[0:12:20] Dat gaat dan naar meer dan zestig organisaties.
[0:12:27] Maar we hebben net gehoord van het ministerie dat eigenlijk de NPC nog in ontwikkeling is.
[0:12:32] Ze gaan er over nadenken, over onderzoeken.
[0:12:36] Wat is nu nodig om dit echt binnen de kwaliteitsregistratiesorg te implementeren?
[0:12:43] En kunt u misschien toch nog iets meer vertellen wat dat nou precies is, hoe dit nu precies gaat met NPC?
[0:12:51] En aan wie stelt u die vraag, mevrouw de Korte?
[0:12:54] Misschien aan alle drie, maar meneer Hafkamp graag.
[0:13:00] Ja, het is niet zo makkelijk om het in een soort van Jeppe Janneke taal te beschrijven, maar waar het eigenlijk op neerkomt is dat de data gewoon blijft waar die is.
[0:13:09] Dat er toegang wordt verleend tot een deel van die data waar je toegang toe wilt verlenen en dat met behulp van cryptografische technieken dat stukje versleuteld wordt.
[0:13:18] Er wordt een uitgebreide sleuteluitwisseling, cryptografische sleutelaatwisseling doorgevoerd waarbij je als onderzoeker dus eigenlijk een hele grote
[0:13:27] virtuele dataset tot je beschikking hebt, zonder dat je weet waar die data staat, waar je onderzoeken op kunt loslaten en je krijgt alleen het resultaat te zien.
[0:13:36] Dat is eigenlijk in de kern min of meer wat MPC doet.
[0:13:41] En ja, doordat die cryptografische technieken zo sterk zijn, is het eigenlijk ook bijna niet te breken en te achterhalen waar dat stukje data precies staat.
[0:13:51] Dus je zorgt er dus ook voor dat de
[0:13:57] Je kunt dus de organisatie beschermen, maar je kunt ook de organisatie data beschikbaar laten stellen, maar onderdelen van die data blijven gewoon totaal onzichtbaar voor de onderzoeker.
[0:14:08] En dat kunnen bijvoorbeeld identiteitsgegevens zijn.
[0:14:12] En daarmee heeft dus een onderzoeker een behoorlijk groot databank tot zijn beschikking.
[0:14:20] Zonder dat hij exact weet welke data bij welke bron hoort.
[0:14:30] Ik geef je zo het woord.
[0:14:35] Daar zijn we nieuwsgierig naar.
[0:14:38] Die nummers verwijzen naar heel veel privacygegevens.
[0:14:44] Het zijn uiteindelijk gegevens waarvan niemand wil dat het op straat komt.
[0:14:49] Er wordt nu gesproken over het worden geanonimiseerd vanuit het ziekenhuis naar
[0:14:59] de onderzoeksorganisaties, de kwaliteitsregistraties.
[0:15:04] Dus waar zit het verschil in als we dit niet doen of wel doen met die BSN-gegevens?
[0:15:11] Waar blijven die precies?
[0:15:15] Ik weet niet precies de ins en outs hiervan.
[0:15:18] Wordt het geanonymiseerd of gepseudonymiseerd, dat is natuurlijk ook nog een behoorlijk verschil.
[0:15:22] Want met pseudonymen kan je uiteindelijk de daadwerkelijke identiteit wel weer terughalen.
[0:15:28] Want je hanteert pseudonymen.
[0:15:30] Dus de ins en outs, want u heeft het dan waarschijnlijk over.
[0:15:37] Nee, het gaat nu over kwaliteitsregistratiesorg, waarbij zorgorganisaties aan verschillende private of semi-publieke instellingen hun gegevens sturen voor kwaliteitsonderzoek.
[0:15:51] Ik ken daar de details niet van, dus misschien...
[0:15:57] Ik denk dat er wel een aantal dingen uit elkaar gehaald moeten worden.
[0:16:00] Het feit dat er kwaliteitsregistraties zijn, die zijn er al lang.
[0:16:05] Deze nieuwe wet gaat om een grondslag voor de kwaliteitsregistraties.
[0:16:10] Dat zijn vaak anonieme gegeven.
[0:16:12] Dat is belangrijk, om de kwaliteit te verbeteren van de zorg.
[0:16:15] Daarmee is NPC niet te vervangen.
[0:16:18] Het is niet zo dat we straks geen kwaliteitsregistraties meer nodig zouden hebben of landelijke datasets.
[0:16:24] Als je NPC gaat gebruiken.
[0:16:26] Ik kijk even naar mijn buurman.
[0:16:28] Dat is wel heel belangrijk, denk ik.
[0:16:29] Want uiteindelijk bijvoorbeeld de IKNL, waar de registratie van de populatie voor kanker is, die hebben we nodig om een kankeragenda te maken.
[0:16:41] Ook al zou je NPC hebben, dan blijf je nog steeds, wel anonieme gegevens, nodig en landelijke datasets.
[0:16:47] Dus op het moment dat je analyse doet bij meerdere partijen, wij spreken naast die kwaliteitsregistraties, dan zou je deze techniek heel goed kunnen gebruiken.
[0:16:56] Maar het is niet zozeer dat het alle registraties gaat vervangen.
[0:17:00] Dat is een keer wel heel belangrijk.
[0:17:03] Er zijn ook onderzoeken die niet met NPC gedaan kunnen worden.
[0:17:08] Soms heb je één dataset.
[0:17:11] Het gaat over dataminimalisatie, het gaat over pseudonymiseren.
[0:17:17] Er zijn ook andere maatregelen die belangrijk zijn om die veiligheid te waarborgen.
[0:17:22] Ik denk wel dat er een range van technieken, organisatoren en wettelijke kaders zijn.
[0:17:35] We kunnen met elkaar de transparantie voor de burger en de patiënt, maar ook voor de zorgverlener, maar ook voor de onderzoeker, echt gaan faciliteren.
[0:17:48] Het zijn soms hele kleine instellingen.
[0:17:49] Met elkaar daar goede afspraken over maken, dat is belangrijk, naast ook technologieën zoals de NPC.
[0:17:59] Misschien nog even een aanvulling op de toelichting op MPC.
[0:18:03] Ik heb een favoriet voorbeeld.
[0:18:05] Ik heb het al vaak gegeven, misschien een beetje afgekloven, maar stel dat wij in deze zaal ons gemiddelde salaris zouden willen berekenen.
[0:18:11] Stel dat we daarvan hebben vastgesteld dat dat een goed doel is, maar we gaan niet ons salaris zomaar aan elkaar vertellen.
[0:18:20] Van ons kunt u het allemaal vinden.
[0:18:23] Of onze leeftijd of wat dan ook.
[0:18:26] Dan zou ik bijvoorbeeld het zo kunnen doen.
[0:18:27] Ik pak mijn eigen salaris en daar tel ik een geheime getal bij op.
[0:18:30] Daarmee versleutel ik het als het ware.
[0:18:32] En dat geheime getal onthoud ik.
[0:18:33] Vertel ik aan niemand.
[0:18:34] En ik fluister de uitkomst door naar mijn buurvrouw.
[0:18:37] Die doet hetzelfde.
[0:18:38] Telt haar salaris daar weer op.
[0:18:39] En die fluistert het dan weer door.
[0:18:41] Zij kan dus niet afleiden hoeveel ik verdien.
[0:18:43] Niemand kan iets afleiden.
[0:18:45] En als we het rondje hebben gemaakt.
[0:18:47] Komt het totaalbedrag bij mij terug.
[0:18:49] Ik haal dat geheime getal er weer vanaf.
[0:18:52] En dan hebben we dus alle opgetelde salades bij elkaar.
[0:18:55] Dat deel ik door het aantal aanwezigen klaar.
[0:18:57] Dat is eigenlijk een heel eenvoudige manier om alleen dat ene dingetje te kunnen doen, namelijk je gemiddelde salades.
[0:19:04] Je kunt er niets anders mee.
[0:19:05] Dus dat is de doelbinding.
[0:19:07] Een feite die de AVG ook stelt.
[0:19:10] en waar je dus eigenlijk geen spel tussen kunt krijgen.
[0:19:12] Dus dat zijn, heel erg simpel uitgelegd, Jip en Janneke-niveau, hoe een NPC-protocol als het ware werkt.
[0:19:20] En dat kun je dus ook gewoon ingewikkelder maken als je bijvoorbeeld wilt weten onder welke omstandigheden een bepaald type kanker voorkomt of dat afhankelijk is van iemands leefomgeving of wat dan ook.
[0:19:29] Dan kun je ook dat soort berekeningen doen.
[0:19:31] Je kunt op geen enkele meer achterhalen wat er in die berekening ingegaan is.
[0:19:36] Maar wat we hier dus van leren, je moet wel echt van tevoren zeggen... dit wil ik eruit halen, want dan kun je er ook niks anders uit halen.
[0:19:44] Dus voor kwaliteitsregistraties kun je het zo inrichten... dat je alleen de kwaliteit kunt vaststellen en ook helemaal niets anders.
[0:19:52] Dus die doelbinding is een heel belangrijke kenmerk van deze technologieën.
[0:19:56] En als je een ander doel hebt, je wilt er andere dingen mee... moet je dus ook weer een ander type MPC inrichten.
[0:20:05] Mevrouw Aslacht.
[0:20:06] Mijn vraag gaat over het gebruik en de zeggenschap van secundaire data.
[0:20:11] En de privacy van secundaire data.
[0:20:15] Want nu is het zo dat mensen te horen krijgen... Ik doe mee met lifelines of met generation R, even een paar grote te noemen.
[0:20:25] Die langlopend zijn.
[0:20:27] Dus mijn data kunnen gedeeld worden met dat en dat doel.
[0:20:31] Duidelijke transparantie zet een vinkje aan.
[0:20:33] Maar bij geaggregeerde data, die straks uit de systemen komen, krijgen de mensen niet meer de vraag, denk ik, maar dat wil ik graag even toetsen, of zij meedoen met een bepaald onderzoek.
[0:20:49] Wat nu natuurlijk ook al bij geaggregeerde data op nationaal niveau
[0:20:55] plaatsvindt, maar dan hebben ze wel toestemming gegeven dat die data voor nationale onderzoeken... Dus hoe gaat die zeggenschap van de patiënt, dat ze kunnen zeggen tegen dit doel wel en tegen dat doel niet.
[0:21:13] Hoe zit dat?
[0:21:17] Dan is het ook voor en na de EADS.
[0:21:20] De vraag ging nu over populaties, over lifeline of over een specifieke cohorte.
[0:21:27] Daar is nu gewoon toestemming voor nodig.
[0:21:28] Straks gaan we de EADS naar opt-out.
[0:21:31] En dan is de vraag, en daarom is die uitvoeringswet EADS zo belangrijk, of er uitzonderingen gemaakt worden voor die opt-out.
[0:21:37] Kijk, uiteindelijk heeft elke burger of patiënt straks een opt-out.
[0:21:43] Dus de data van hem of van haar.
[0:21:46] En dat betekent dat we ook na moeten denken, hoe ga je met registraties om?
[0:21:50] Maar als je bijvoorbeeld kijkt naar gewoon wetenschappelijk onderzoek, er is een onderzoeker die die data nodig heeft, dan blijven alle waarborgen, dus ook de zeggenschap, blijven gewoon aan de orde.
[0:22:01] Dus het betekent dat die onderzoeker maakt een onderzoeksvoorstel.
[0:22:04] Daar wordt ook ethisch en juristisch nog getoetst.
[0:22:06] Want het is ook niet zo dat iedereen bij die data mag komen.
[0:22:09] Er moet echt wel eerst van tevoren een doelbinding zijn.
[0:22:11] En dat is goed geregeld in Nederland.
[0:22:14] Dus de onderzoeker vraagt eerst of voor de WMO of voor de niet-WMO toetsing aan.
[0:22:18] Als daar een ja op komt, wordt ook gekeken naar de zeggenschap over die data.
[0:22:23] Dus ook al is het geaggregeerd, als het anoniem is, dan is het iets anders.
[0:22:27] Maar als het geaggregeerd is en het is niet anoniem, dan moeten we gewoon voldoen aan de zeggenschap.
[0:22:32] En de EHDS gaat straks zeggen, opt-out.
[0:22:38] Ja, maar dan geef je dus als persoon een opt-out voor het geheel?
[0:22:43] Of krijg je dan per onderzoek een opt-out?
[0:22:47] Dat is wat we moeten gaan regelen.
[0:22:49] En dat kan bijden.
[0:22:53] En nu is het echt zo dat een onderzoeker echt voor specifieke onderzoeken... Dat gaat nu nog over opt-in, over toestemming.
[0:23:00] Dus dan hebben ze gewoon toestemming nodig.
[0:23:03] En dit zijn dus de uitvoeringszaken die we moeten regelen.
[0:23:07] Hoe gaan we dat doen?
[0:23:08] Want er werd vanochtend gesproken over MITS.
[0:23:10] En we worden ook gekeken naar een gezeggenschapsregister.
[0:23:13] Want MITS is echt voor primair gebruik.
[0:23:15] Dat willen we ook graag voor secundair gebruik.
[0:23:17] Zodat je als burger en patiënt kan zien welke data die over jou gaan, worden in welke onderzoeken gebruikt.
[0:23:27] Sterker nog, de ERDS zegt ook dat de inzichten daarover...
[0:23:31] ook gepubliceerd moeten worden.
[0:23:33] Dat moeten we in Nederland regelen.
[0:23:34] Je kan als burgerpatiënt zien welke onderzoeken de gegevens die over jou gaan, gebruikt worden.
[0:23:45] Daarmee wordt het ook veel belangrijker en helderer voor een burgerpatiënt wat er met die gegevens gaat gebeuren.
[0:23:53] Maar het is een systeem dat nog wel ingeregd moet worden.
[0:23:57] Gisteren is de EADS ingegaan.
[0:24:00] Over binnen twee jaar moet de zogenoemde Health Data Access Body worden ingeregeld.
[0:24:03] Dat is de entiteit waar de EADS over heeft, het secundair gebruik.
[0:24:07] Die entiteit moet dit soort functionele zaken regelen.
[0:24:12] Dat betekent een zeggenschapsregister, maar bij wijze van spreken ook een catalogus waar de onderzoeker die datasetting kan vinden.
[0:24:18] En daar moet in de zogenoemde metadata ook staan of er dus een opt-out bijvoorbeeld is.
[0:24:25] Dus het kader is er, maar we moeten als Nederland dat nog wel in gaan regelen.
[0:24:30] En dat maakt het dus te ingewikkeld, omdat we eigenlijk van een op de innaan op de uitgaan.
[0:24:34] Dus er komen al die vragen die u terecht stelt, die komen aan de orde.
[0:24:37] En hoe ga je dat voor een cohort doen?
[0:24:40] Hoe ga je dat voor een kwaliteitsregistratie doen?
[0:24:42] En hoe ga je dat, wij spreken, voor een clinical trial doen?
[0:24:45] Of voor een gewoon wetenschappelijk onderzoek?
[0:24:51] Ik heb een vraag in aanleiding hiervan en dan nog een andere.
[0:24:55] U zegt dat er gegevens die over jou gaan, maar daar staat nooit mevrouw Thielen geboren dan en dan heeft een bloedrexisme zo en een tumor dit en dat.
[0:25:04] Dat is geanonymiseerd, dan wel gepseudonymiseerd.
[0:25:07] Dat hoeft niet zo te zijn.
[0:25:09] Het kan ook zijn dat je een onderzoek doet waarbij je een persoon moet volgen.
[0:25:13] Dan wil je weten wat het effect is van een bepaalde behandeling.
[0:25:17] Dan is het voor die onderzoeker niet te zien wie het is.
[0:25:21] Maar het gaat uiteindelijk wel.
[0:25:23] Dus dat is uiteindelijk geregeld dat die onderzoeker dat niet kan zien.
[0:25:27] Dat hij het ook in een beveiligde omgeving doet.
[0:25:29] Maar uiteindelijk staan uw gegevens, die moeten wel bekend zijn.
[0:25:33] Want anders kun je niet het ene datumveld van bijvoorbeeld van uw huisarts
[0:25:37] met een ziekenhuis en met nog een ander ziekenhuis vergelijken.
[0:25:41] Dus uiteindelijk kan die onderzoeker het niet zien, maar uiteindelijk is het wel herleidbaar, bijvoorbeeld naar een BSN-nummer.
[0:25:49] Maar dat kan ook niet anders, want je moet gegevens koppelen.
[0:25:52] Want anders moet de interventie eigenlijk wel gevolgd worden.
[0:25:57] En dat is wel belangrijk.
[0:25:58] Het zijn niet alleen maar anonieme gegevens, wel voor die onderzoeker.
[0:26:03] Precies, en dat laatste is denk ik best wel relevant in communicatie met de mensen in het land.
[0:26:14] Ik had een vraag over het risico.
[0:26:18] Als u bij mij opkomt, is mijn oude stadsfietsje dat ik in een stad waar heel veel fietsen gejat wordt met een kettingslok vastleg.
[0:26:27] Elke keer als ik naar de fietsenmaker ga, staan er enorme brommerversloten.
[0:26:32] U zei een paar keer robuust.
[0:26:37] Wat mij deed denken aan dat hele grote brommerslot.
[0:26:40] Ik kan me voorstellen dat ik dat in een stad waar heel vaak fietsen worden gejat, zeker die blauwe die ik heb, dat ik dat dan belangrijker vind dan als ik bij mijn ouders op het platteland op dat fietsje rijd.
[0:26:53] Maar mijn vraag is dan hoe groot... Hoe meten jullie het risico op datalekken?
[0:27:00] En hoe groot is dat risico, zeg maar, in de huidige omgeving... en in de omgeving zoals die wordt voorgesteld... met een aantal lopende wetten rondom Wegis en EHDA?
[0:27:13] Ja.
[0:27:15] Nou, wij brengen elk jaar als ZZ een monitor uit.
[0:27:18] Dat heet ons jaarlijks cyberdreigingsbeeld.
[0:27:22] We hebben recent die van 2024 aangeboden in Brussel.
[0:27:32] Aan Europarlementariër Bart Goothuizen dat hij zo heeft gestreden voor de NIS2.
[0:27:38] Wat wij allemaal een hele goeie zaak vinden.
[0:27:41] Wij categoriseren al die incidenten.
[0:27:43] En wij krijgen natuurlijk ook heel veel informatie over incidenten, omdat dat bij ons rechtstreeks gemeld wordt.
[0:27:51] Dan wel, we hebben contact met andere partijen, zoals politie, National Cyber Security Center.
[0:27:56] Dus we krijgen een redelijk beeld wat er gaande is in de zorgsector.
[0:28:01] Met stip bovenaan staat nog steeds het risico op ransomware, grijze software.
[0:28:06] En dat zal voorlopig ook nog wel eventjes zo blijven.
[0:28:10] Gelukkig kan je ook heel veel doen.
[0:28:12] Dus wij geven ook heel veel adviezen.
[0:28:14] En die zijn niet eens altijd heel kostbaar, maar vereisen wel de nodige hygiëne en uiteindelijk ook discipline om dat door te voeren.
[0:28:25] Dus een aantal basismaatregelen.
[0:28:29] Je moet goede security monitoring, je moet goede authenticatie, je moet
[0:28:33] Dus ook onderzoekers zorgen dat die goede phishing-resistente authenticatiemiddelen gebruiken.
[0:28:41] Tegenwoordig is het hype woord.
[0:28:43] Gebruik maar multifactor-authenticatie, dus een tweede token.
[0:28:46] Maar tegenwoordig weten de criminelen ook daar al die trucjes toe te passen... om die eenmalige codes te achterhalen.
[0:28:51] Dus het is een beetje een rat race.
[0:28:54] Dus je zult ook daarin bij moeten blijven.
[0:28:56] Maar er zijn best wel een aantal goede basismaatregelen... die je voor heel veel ellende... in ieder geval zorg dat die ellende voorkomen kan worden.
[0:29:08] Dus de NN5-10 is natuurlijk de basis in de zorg.
[0:29:14] Het is ook goed dat dat breed als standaard wordt ingevoerd en dat er ook op getoetsd wordt.
[0:29:25] We hebben gelukkig nog tijd.
[0:29:32] Ik probeer het nog wat preciezer te krijgen ten aanzien van de kwaliteitsregistratiezorg.
[0:29:41] Ziekenhuizen moeten bijvoorbeeld naar het Integraal Kankercentrum gegevens aanleveren.
[0:29:47] Daar zit een BSN-nummer aan.
[0:29:52] En komen nou die BSN-nummers in een bronbestand van het IKNL?
[0:29:59] Of blijven die bij het ziekenhuis?
[0:30:03] Want er zijn, naar mijn idee, stappen nodig van de pseudo-anonimisatie en de volledig-anonimisatie.
[0:30:13] Dus die twee stappen.
[0:30:15] En wat kan die MPB daarin betekenen om het nog veiliger te maken?
[0:30:25] Hoe het exact op dit moment bij IKNL geregeld is met de aangeleverde informatie, of er BSN's in zitten of niet, dat zou ik niet durven zeggen.
[0:30:40] Wat mij betreft wel zo is, is dat het niet nodig is dat er BSN's erin zitten.
[0:30:46] Sterker nog, je zou een kwaliteitsregistratie of een analyse moeten kunnen opstellen... op basis van informatie die gewoon bij de ziekenhuizen blijft... en die dus ook niet gekopieerd hoeft te worden naar IKNL... maar waar je dus wel de analyse overheen kunt doen.
[0:31:01] En dan heb je dus die BSN's in principe gewoon niet nodig.
[0:31:06] Het kan dus zijn dat er een heel specifiek onderzoek wordt gedaan bij een specifiek groep patiënten waarbij die data-uitwisseling noodzakelijk is.
[0:31:15] En dan moet je dus die herleidbaarheid hebben.
[0:31:16] En dan is de vraag of MPC de juiste technologie hiervoor is.
[0:31:22] Ja, klopt.
[0:31:23] En dan is het inderdaad ook precies.
[0:31:24] Er zijn dus situaties waarbij het dus gewoon absoluut niet nodig is.
[0:31:27] En er zijn ook situaties denkbaar waarbij je zegt, ja, je ontkomt er niet aan.
[0:31:31] En dan nog kun je je de vraag stellen of je een BSN-mail wilt sturen of alleen maar een unieke identificatie die niet terug te rekenen is naar het BSN zelf.
[0:31:42] Mevrouw Flikker.
[0:31:45] Ik denk dat het goed is om een aantal dingen uit elkaar te halen.
[0:31:47] BSN is een koppelsleutel.
[0:31:52] Het is belangrijk dat er een koppelsleutel is.
[0:31:54] Dat is het nu wel.
[0:31:57] Er is ook wetgeving in de maak om juist over dit onderwerp helderheid te krijgen.
[0:32:07] Dat is wel een koppelsleutel dat herleidbaar is, maar niet herleidbaar voor de onderzoeker naar het BSN.
[0:32:13] Bijvoorbeeld een IKNL, die heeft niet alleen maar kanker, maar ook een andere ziekte.
[0:32:19] Dan moet je dus herleidbaar hebben over welke patiënt het gaat.
[0:32:23] Dus het beeld dat als je...
[0:32:27] geen registraties nodig hebt.
[0:32:30] Dat is niet waar, maar wel hoe goed je dat kan doen.
[0:32:32] Ik denk wel dat er extra wetgeving nodig is om na te denken over hoe je die koppelsleutel in secundair gaat.
[0:32:38] Dat is belangrijk.
[0:32:39] Daar heeft u gelijk in, dat dat nu eigenlijk onvoldoende is.
[0:32:43] Maar het is wel belangrijk dat het herleidbaar moet kunnen zijn.
[0:32:47] In principe niet, dus anoniem maar het kan.
[0:32:49] Maar herleidbaar uiteindelijk maar niet voor die onderzoeker.
[0:32:52] En daar heb je ook allerlei andere maatregelen.
[0:32:54] Dat gaat niet alleen over technologie.
[0:32:55] Dat gaat ook over een soort party.
[0:32:58] We kunnen een aantal andere organisatorische maatregelen, waardoor iemand er niet bij kan komen.
[0:33:03] Bijvoorbeeld een beveiligingsverwerkingsomgeving waar je in kan komen.
[0:33:06] Dus het gaat er niet alleen over dat BSN, want u heeft helemaal gelijk, dat is natuurlijk super privacy gevoelig, maar je wil wel een koppelsleutel hebben die je kunt gebruiken in het onderzoek.
[0:33:16] maar uiteindelijk die niet herleidbaar is naar een persoon voor die onderzoeker of voor die mensen die bij die organisatie werken.
[0:33:22] En dat betekent dat we met elkaar daar goede afspraken over moeten gaan maken.
[0:33:28] Het wordt me inderdaad duidelijker.
[0:33:31] Die koppelsleutel is belangrijk.
[0:33:34] Mensen willen niet dat dit bij cybercriminelen terechtkomt.
[0:33:40] Mensen kunnen daar echt door beschadigd raken of onder druk gezet.
[0:33:49] Wie zou dan die koppelsleutel moeten regelen?
[0:33:54] Moeten we als overheid daar wetgeving in maken?
[0:33:58] Is dat al in de maak?
[0:33:59] Zit dat ergens in de wetgeving?
[0:34:03] Toen wij geld gekregen hebben vanuit een groeifonds, hebben wij een lijst gemaakt van obstakels voor wetenschappelijk onderzoek.
[0:34:11] Een van de obstakels was precies het onderwerp dat u noemde, dat je een goede koppelsleutel moet hebben.
[0:34:16] We hebben samen met Veld een goed verhaal richting VWS gedaan over hoe dat zou kunnen.
[0:34:22] Dat ligt nu bij Dicio, om daar wetgeving op te gaan maken.
[0:34:30] Om dat op een goede manier te regelen.
[0:34:32] Dat is secundair in brede zinnen.
[0:34:37] Je hebt wetenschappelijk onderzoek en beleidsmaatonderzoek.
[0:34:40] Dat is vaak wel anoniem.
[0:34:45] Het ligt bij VWS om daar wetgeving op te maken.
[0:34:49] Om dat op een goede manier te doen.
[0:34:52] ...die hele gevoelige informatie, zoals BSN, daar niet voor te gebruiken.
[0:34:56] Want als je kijkt wat er nu gebeurt, omdat er moet nu gekoppeld worden... ...en onderzoeken mag nu geen BSN gebruiken, dat staat nu ook in de wet... ...want het is eigenlijk gelimiteerd wie BSN mag gebruiken.
[0:35:06] Zorginstellingen, een aantal andere overheidsinstellingen, zorgbezekeraars.
[0:35:11] Maar doordat dat niet mag, gaat men op andere manieren toch gegevens koppelen.
[0:35:16] Bijvoorbeeld nadenken waar u woont.
[0:35:21] Dat zijn privacygevoelige gegevens.
[0:35:24] Dat is nodig om al die bestanden aan elkaar te koppelen.
[0:35:27] Het is veel beter als we een gepseudemiseerd BSN wijzen als koppelsleutel dan wat nu de praktijk is.
[0:35:35] Men moet nu wel koppelen.
[0:35:38] Dat is heel onvriendelijk wat we nu doen.
[0:35:43] Ik weet niet wat daar de tijdlijnen voor zijn.
[0:35:47] Maar ik weet wel dat het inmiddels bij VWS ligt.
[0:35:50] Met het veld vanuit de onderzoekers en zorginstellingen.
[0:35:53] En waar mensen meegekeken hebben vanuit privacyoverwegingen.
[0:36:00] Ik heb nog even een andere privacyvraag over zorginstellingen.
[0:36:06] Er wordt gebruik gemaakt van authenticatie, maar er zijn heel veel zorgopleidingen die hebben kortdurende stages en wisselende stagiaires die ook gegevens
[0:36:22] invullen is gewoon de praktijk.
[0:36:25] Dus ik vroeg me af hoe vriendelijk dit wordt gemaakt voor zorgopleidingen.
[0:36:32] En daarnaast heb ik ook in Zweden gewerkt.
[0:36:35] En als ik daar dingen intikte, kon het na acht uur niet meer veranderd worden.
[0:36:40] Daar zat een slot op.
[0:36:45] En hoe zit dat in Nederland?
[0:36:47] Hebben wij niet veranderbare sloten qua beveiliging?
[0:36:54] Dat zegt mij even niks.
[0:36:55] Niet veranderbaar sloot.
[0:36:56] Ik vind het een mooie term, trouwens.
[0:36:59] Maar wat je wel ziet, is dat er op verschillende manieren die vaststelling van de identiteit, die authenticatie, wordt ingericht.
[0:37:09] En dat ook in de ongebruikelijke uren de toegang wordt geweigerd of gelimiteerd.
[0:37:15] Dat is wel een bekende vorm van het beperken van het risico op ongeïdentificeerde toegang.
[0:37:25] Maar dat is zeker niet gestandardiseerd en dat verschilt per zorginstelling.
[0:37:32] Je ziet ook dat per zorginstelling verschillende vormen van monitoring worden toegepast.
[0:37:38] Soms zeven keer 24 uur, soms alleen tijdens de kantoortijden.
[0:37:43] Dus dat zijn allemaal verschillende implementaties van hoe hou je toegang tot de data veilig.
[0:37:55] En is daar al een soort van nationaal overkoepelende gedachte over, een beetje richtlijnen waar de verscheidenheid aan zorginstellingen zich aan vast kunnen houden?
[0:38:09] Dat is er wel, of begint er te komen.
[0:38:10] Dat zijn met name uitwerking van die eerdere norm die ik noemde, de NEN 7510.
[0:38:16] Dat zijn open standaarden, open normen.
[0:38:19] En die kan je op verschillende manieren implementeren en ook interpreteren.
[0:38:23] En je ziet dat er nu wel...
[0:38:25] zeker onder experts meer consensus is over wat dat dan precies betekent.
[0:38:31] Want ook een begrip als security monitoring kan je wel op honderd manieren uitleggen.
[0:38:35] Dus daar zie je wel dat er steeds meer richting wordt genomen.
[0:38:41] Dus daar ben ik wel blij om.
[0:38:43] Maar goed, je bent verplicht om je aan die norm te houden.
[0:38:48] Je bent nog niet verplicht om je aan die generieke...
[0:38:53] implementatieafspraken te houden.
[0:38:55] Dus dat is nog wel een dingetje.
[0:38:59] En dan de laatste vraag.
[0:39:03] Is er dan ook voor kortdurende stagiaires, bijvoorbeeld bij kleine zorginstellingen, er zijn echt hobbels te nemen.
[0:39:12] Hoe wordt daar over nagedacht?
[0:39:16] Ik ken deze specifieke situatie niet.
[0:39:18] Ik weet wel dat veel zorginstellingen aparte autorisatiestructuren handhaven... voor bijvoorbeeld externe die ingehuurd worden, tijdelijk ingehuurd worden.
[0:39:29] Dus daar zie je aparte autorisatiegroepen voor ingericht worden... met de bijbehorende maatregelen.
[0:39:36] Bijvoorbeeld alleen inloggen binnen een bepaald tijdsvak...
[0:39:43] met alleen toegang tot alleen dit stukje data.
[0:39:46] Dus dat zie je wel terug.
[0:39:48] Maar het specifieke voorbeeld zegt mij nu even niet.
[0:39:51] Ik weet niet precies of dat geharmoniseerd is in Nederland.
[0:39:58] Ja, daar zou ik nog wel aan toe kunnen voegen.
[0:39:59] We hadden het net over cybercriminelen... die inbreken op systemen om gegevens te achterhalen.
[0:40:04] Maar dit is natuurlijk wel iets waar vaker ook al eerder over is gesproken... dat er misschien ook wel mensen zijn die toegang hebben tot een zorgsysteem... en dan toch op de een of andere manier dingen doen die, nou ja, niet oké zijn.
[0:40:17] En dan is natuurlijk gewoon een goede toegangsverlening... en monitoring en beperken van inlogtijden, et cetera.
[0:40:23] Dat zijn inderdaad gewoon de juiste maatregelen om te nemen.
[0:40:26] Daar zou ik nog aan toe willen voegen.
[0:40:28] Op het moment dat de toepassing van privacy-enhancing technology, zoals MPC, breed is ingezet, hoeft er dus ook gewoon minder data naar andere partijen te worden gekopieerd.
[0:40:40] En zal dus ook iemand die dan met minder goede bedoelingen toegang heeft gekregen tot een zorgsysteem, ook gewoon minder gegevens kunnen zien.
[0:40:49] Als je alle gegevens van alle patiënten bij elke zorgverlener als kopie beschikbaar hebt in heel Nederland,
[0:40:56] dan is dat natuurlijk een goudmijn voor iemand die een beetje nieuwsgierig is.
[0:40:59] Maar op het moment dat je het zo geregeld hebt dat dat niet hoeft, omdat je deze NPC-technologieën en alles kunt gebruiken, dan is het dus ook gewoon minder te halen.
[0:41:07] Dus dan heb je wat dat betreft ook wel een stuk risico echt verminderd.
[0:41:15] Ik zit ondertussen even het CERT-rapport te zoeken, maar ik heb het nog niet meteen gelezen in twee minuten.
[0:41:21] Daarom toch nog een aanvullende vraag.
[0:41:26] De risico's zijn er.
[0:41:32] Uiteindelijk zullen wij de weging moeten maken, ook vanuit wetgeving en beleidscontrole, hoe veilig ten opzichte van hoe groot het risico is.
[0:41:40] Toch maar even dat enorme brommerslot.
[0:41:46] U zegt al, ransomware staat met stip op één.
[0:41:51] Hoe groot en hoeveel gevallen zijn er nou inderdaad van al te nieuwsgierige mensen die echt specifiek, wellicht met chantage doeleinden of wat dan ook, gegevens van mensen opzoeken?
[0:42:09] Hoe moet ik dat inschatten, dat risico?
[0:42:10] Dat risico is zeker aanwezig.
[0:42:12] We hebben ook de afgelopen jaren en zeker ook vorig jaar verschillende ransomware situaties gezien in Europa bij zorginstellingen, grotere ziekenhuizen ook.
[0:42:23] In Nederland zijn we redelijk gevrijwaard geweest.
[0:42:27] Een paar gevallen, een paar pogingen.
[0:42:30] Wij proberen dat te duiden, van hoe komt het dat wij dan niet die grote gevallen hebben gehad.
[0:42:35] Ik denk dat we ons gelukkig mogen prijzen met die standaard, die N7510.
[0:42:39] Dat is toch echt afwijkend ten opzichte van de landen om ons heen.
[0:42:44] Dus in de basis hebben we een heel goede uitgangspositie.
[0:42:50] Maar het is ook belangrijk dat die maatregelen ook echt goed geïmplementeerd worden, maar ook getest worden.
[0:42:56] En daar denk ik valt nog wel wat winst te behalen.
[0:43:01] Wat in de...
[0:43:03] Bankensector gewone is, dat heet het TIBA-programma, dat je eens in de twee jaar zo'n verplichte, hele geavanceerde oefening moet doorlopen en de resultaten beschikbaar moet stellen aan de Nederlandse bank.
[0:43:14] Dat kennen we nog niet in het zorgland.
[0:43:16] En ik zal niet zeggen dat je het één op één moet kopiëren, maar je zou wel de lessons learned, hoe zou je zo'n stelsel kunnen inrichten, zou je wel kunnen toepassen binnen de zorg.
[0:43:25] Want het gaat op slot van rekening om hele gevoelige data en gevoelige processen.
[0:43:31] Ja, we zijn op de goede weg, maar we zijn er nog niet.
[0:43:33] Dat is wel kort de samenvatting.
[0:43:38] Even kijken of ik het goed begrijp.
[0:43:39] U zegt, ethische hackers of zo heet dat dan, geloof ik, hè?
[0:43:43] Dat is dus in de bankensector heel normaal dat je periodieke tests doet, echt met ethische hackers, om te kijken hoe diep en hoe ver je kan gaan.
[0:43:50] En u zegt, het zou een aanbeveling kunnen zijn om dat ook voor de zorgsector in een brede regel toe te passen.
[0:44:00] En onze oproep ook is, we zijn heel blij dat er steeds meer zorginstellingen
[0:44:05] toegaan naar die multifactor-authenticatie.
[0:44:07] Want daar zagen we heel veel incidenten een aantal jaren geleden, omdat er alleen userly wachtwoord werd gebruikt.
[0:44:12] Dus dat is mooi.
[0:44:13] Maar nu zien wij een nieuwe trend, dat ze die eenmalige codes proberen te achterhalen.
[0:44:19] Dat zagen we al heel lang in de financiële sector, bij internetbankierende klanten.
[0:44:24] En nu zien we dat ze verschuiven naar de zorgkant.
[0:44:28] Dus dan moet je ook
[0:44:31] die daar resistent tegen zijn.
[0:44:33] En die zijn er, maar die moet je dus wel nemen als zorginstelling.
[0:44:35] Ja.
[0:44:38] Mevrouw de Kort nog een vraag.
[0:44:40] Ja, dank u wel.
[0:44:42] We proberen het allemaal te begrijpen en heel fijn dat u daar uitleg over geeft.
[0:44:49] Net werd een vraag gesteld over chantage en dat dat meest voorkwam bij die ransom software.
[0:44:59] Dat is vooral op zorginstellingenniveau, als ik het goed begrijp.
[0:45:03] Of is dat ook op individueel niveau?
[0:45:05] Kent u ook voorbeelden dat mensen gechanteerd werden op individueel niveau?
[0:45:10] Want mensen hebben al niet zoveel vertrouwen in organisaties, in de overheid.
[0:45:16] en denken, ja, straks gebeurt er met mij iets ten aanzien van de montage.
[0:45:21] Het gebeurt wel, ook in Nederland, bij particulieren.
[0:45:25] Maar daar valt natuurlijk iets minder te behalen door de criminelen dan bij bedrijven.
[0:45:30] Dus we zien het ook veel in het NKB-domijn terug.
[0:45:34] Wij weten ook wel van individuele gevallen, niet specifiek omdat ze een patiënt zijn of een cliënt van een zorginstelling, maar puur omdat hun pc thuis kwetsbaar was.
[0:45:49] En ja, dan vraagt zo'n crimineel, betaal duizend euro en dan geef ik je de sleutel.
[0:45:53] Dus we zien het wel.
[0:45:55] Maar de grote cases zijn natuurlijk de bedrijven.
[0:45:59] En dat zien we wel pogingen in Nederland.
[0:46:02] En de afgelopen jaren hebben we er een aantal ook daadwerkelijk aan.
[0:46:06] Getroffen in de zorgsector.
[0:46:08] Zat met name aan de Ger-kant.
[0:46:10] Een paar gehandicapte zorgorganisaties, oudere zorgorganisaties.
[0:46:15] Gelukkig nog geen ziekenhuizen.
[0:46:17] Of andere eerste lijns zorg- of acute zorginstellingen.
[0:46:22] Maar het is dus wel opletter geblazen, want in de landen om ons heen zien we dat dus wel.
[0:46:28] Dat is eigenlijk de situatie.
[0:46:30] Kunt u dan uitleggen wat er dan precies gebeurt?
[0:46:33] Hoe worden ze geshanteerd?
[0:46:34] Gaat het dan om grote bedragen?
[0:46:37] Ja, dat is het verschil van geval tot geval, van acteur tot acteur.
[0:46:40] We noemen dat altijd actoren.
[0:46:42] Er zijn een aantal criminele bendes en soms ook aan staten gelieerde actoren die zich ook expliciet richten op de zorgsector, omdat ze weten dat die data zo belangrijk is en die afhankelijkheid van digitalisering zo belangrijk is.
[0:47:01] Dat hebben we vooral in Amerika heel veel gezien, dat daar ziekenhuizen getroffen werden door ransomware.
[0:47:07] Ja, ze komen op verschillende manieren binnen.
[0:47:09] Of dat je een kwetsbaar systeem aan het internet hebt ontsloten, of dat een medewerker een phishing mailtje heeft ontvangen en daar uiteindelijk het user die wachtwoord in vrijgeeft en ook zo'n eenmalig
[0:47:21] token vrijgeeft en dan zijn ze binnen en vervolgens gaan ze op zoek.
[0:47:25] Waar zit ik eigenlijk?
[0:47:26] Vaak weten ze niet eens dat ze bij een ziekenhuis of zorginstelling zijn.
[0:47:31] Daar komen ze aan achter en dan gaan ze kijken hoe groot was de omzet van deze instelling.
[0:47:35] Dan kijken ze in het jaarverslag van het jaar daarvoor.
[0:47:37] Nou, ik kan wel 10% of 5% van de jaaromzet vragen.
[0:47:42] Vervolgens worden de systemen versleuteld en vaak wordt daarvoor eerst nog wat data ontvutseld.
[0:47:51] van patiënten.
[0:47:52] En ja, dan kun je dus niet meer in je systeem komen als medewerker en moet je een Wensum-notus betalen.
[0:48:03] En om de druk op te voeren wordt vaak nog bijgezet, als je niet betaalt gaan we die gestolen gegevens op het darkweb verkopen.
[0:48:10] Dat is de gangbare werkwijze van veel criminelen tegenwoordig.
[0:48:20] Ik ben heel blij dat de risico's en welke eerste stap we kunnen nemen om risico's te verminderen al ter sprake is gebracht.
[0:48:31] Maar daar zie ik ook denk ik wel een opgave voor de Kamer.
[0:48:38] Hoe we daar een zetje in de rug kunnen geven.
[0:48:41] Maar is er nog iets wat we als Kamer nog meer kunnen doen?
[0:48:48] vanuit jullie expertise, want dit mocht geen politiek debat worden, maar vanuit jullie expertise waar wij als Kamerleden de beveiliging van zorginstellingen en zorgdata beter kunnen beveiligen.
[0:49:03] Wat zouden we kunnen doen volgens jullie expertise?
[0:49:09] En naar wie kijkt u mevrouw Slag?
[0:49:15] Meneer Bonhoff, heeft u daar een antwoord op?
[0:49:18] Ik geef het stokje erna gewoon door.
[0:49:24] Dan kom ik graag terug op het punt dat ik helemaal aan het begin maakte.
[0:49:27] We zijn nu begonnen aan de uitwerking van de EHDS.
[0:49:31] Ik denk dat het inbouwen van deze Privacy Enhanced Technologies mogelijkheid echt een enorme stap vooruit is.
[0:49:39] En dat we die kans ook echt niet moeten laten liggen.
[0:49:41] Vooral omdat het best moeilijk is om dat achteraf nog op een zinnige manier in te bouwen.
[0:49:47] Dus dat dit nu echt ook een heel goed moment is.
[0:49:50] Gelukkig is het bij de komende technologie ook gewoon beschikbaar en operationeel.
[0:49:56] Dus dat betekent dat we er nu ook echt in de praktijk iets mee kunnen gaan doen.
[0:50:01] En dat we dus ook nu onszelf niet tekort moeten doen en deze kans moeten pakken.
[0:50:06] Ook al kun je nog ontzettend veel onderzoek doen.
[0:50:08] Ik werk bij TNO, ik doe graag onderzoek.
[0:50:11] Ik roep vooral op tot onderzoek, maar dat is geen reden om nu te wachten met het omarmen van deze mogelijkheden.
[0:50:19] Dus ja, dat zou wat dat betreft mijn oproep zijn.
[0:50:28] Ik denk dat het ook gaat om het faciliteren van de zorgverleners.
[0:50:34] Dit gaat over ziekenhuizen, maar we hebben ook veel kleinere zorgverleners.
[0:50:37] Ik denk dat het belangrijk is dat we nationale afspraken maken, waarbij we ook al die andere kleine zorgverleners... We zijn natuurlijk een enorm versnipperd landschap, dus de lijn inzetten om veel meer
[0:50:48] regie te nemen vanuit de overheid, maar met name ook faciliterend over welke afspraken.
[0:50:53] Hier zijn al een aantal afspraken genoemd.
[0:50:55] En dat is echt wel belangrijk, want een huisartsenpraktijk is natuurlijk... Nou, je had zelf al een verloskundige.
[0:51:00] En het wordt heel vaak natuurlijk ook over de grote ziekenhuizen gegeven, maar het is echt natuurlijk een landschap van heel veel kleine instellingen.
[0:51:05] Wij moeten echt naar een soort nationale afspraak stellen, waarbij echt die, wat wij noemen die data houders gaan faciliteren.
[0:51:11] En dat is, dat zullen we sowieso moeten in het kader van de plichting van de EEDS, maar ook in het kader van de privacy waar we het over gehad hebben en ook de security.
[0:51:22] Ik sluit me natuurlijk aan bij de vorige sprekers.
[0:51:26] Er zijn een aantal sleutelwoorden.
[0:51:28] Faciliteren is al genoemd.
[0:51:29] Ik denk dat standaardiseren ook belangrijk is.
[0:51:31] Maar ook zorgen dat er voldoende middelen zijn.
[0:51:34] Ik heb het nog niet gehoord, maar toezicht is ook belangrijk.
[0:51:36] Straks komt die cyberbeveiligingswet er, gelukkig.
[0:51:40] gaat dus ook voor de zorgsector hopelijk het nodige betekenen.
[0:51:44] Maar het is ook belangrijk dat er goed toezicht op wordt gehouden op de implementatie daarvan.
[0:51:48] En ja, ik heb straks al een beetje gezegd, testen.
[0:51:50] Dat is toch ook wel een heel belangrijk begrip.
[0:51:57] We hadden het al eventjes over de versnippering.
[0:52:01] Er zijn zoveel mensen met zorg bezig.
[0:52:06] Hoe ze nu in koppeling aan ook bijvoorbeeld bedrijfsartsen en bedrijfsgeneeskundige diensten, wat natuurlijk eigenlijk een ander domein is, maar wel, kan ik me zo voorstellen, zeker ook in onderzoeken, wel verbonden wordt ook aan gezondheidsdata.
[0:52:27] Weet iemand van u dat, mevrouw Flippen?
[0:52:30] Ik weet niet helemaal van de casus, maar er gaat veel meer.
[0:52:35] Gezondheid is natuurlijk een hele... En daarom zijn dit soort afspraken ook over ministerisch heen.
[0:52:41] Dat is eigenlijk nu gewoon niet goed geregeld.
[0:52:45] En daarmee is het ook lastig voor de privacy.
[0:52:50] Het is dus niet alleen maar de secte gezondheidsinstelling,
[0:52:56] is best breed voor de patiëntenbrug.
[0:52:59] Dit is dan één voorbeeld, maar zo kunnen er nog veel meer.
[0:53:01] Dat is nu niet goed geregeld en dat moet ook echt meegenomen worden in dat stelsel.
[0:53:08] Nee, helemaal mee eens.
[0:53:09] We zagen het natuurlijk in de covid-periode ook.
[0:53:11] Tussen de GGD's en RIVM.
[0:53:14] Dat was ook toen heel hard nodig.
[0:53:18] Maar ik denk dat er talrijke van dat soort voorbeelden zijn... waarin data van de ene instelling naar de andere gaat.
[0:53:25] En het hoeft niet per se altijd zorginstellingen te zijn.
[0:53:28] Of zorgaanbieders te zijn.
[0:53:31] Dan moeten we even nadenken hoe dat moet.
[0:53:33] Hebben we nog vragen?
[0:53:37] We hebben weer heel veel gehoord om te processen, om maar een beetje in de terminologie te blijven.
[0:53:44] Hartelijk dank voor uw bijdrage en antwoorden op onze vragen.
[0:53:47] Hartelijk dank aan de mensen die geïnteresseerd hebben meegekeken hier op afstand.
[0:53:51] Hartelijk dank aan de Kamerleden.
[0:53:53] Wij gaan er het onze mee doen en zullen daar in debatten met de minister op terugkomen.
[0:53:58] Dank u wel.