Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Dataveiligheid in de zorg
[0:00:00] Ik open de vergadering van de vaste commissie voor Volksgezondheid, Welzijn en Sport.
[0:00:06] Mijn naam is Harry Bevers, ik mag vanochtend uw voorzitter zijn.
[0:00:08] Aan de orde is de technische briefing over dataveiligheid in de zorg.
[0:00:18] Deze technische briefing is mede aangevraagd naar aanleiding van de
[0:00:23] grote datahek bij Clinical Diagnostics.
[0:00:27] De leden hebben via een e-mailprocedure gevraagd of er korte termijn, in ieder geval vandaag voor het twee minuten debat, digitale ontwikkelingen plaats kon vinden.
[0:00:34] Dus laat ik allereerst mijn grote dank uitspreken dat het gelukt is om op zo'n korte termijn deze briefing te organiseren.
[0:00:44] We hebben zo dadelijk van onze gasten, die ik zo zal voorstellen,
[0:00:48] Een presentatie die zal ongeveer 20 minuten tot een half uur duren en daarna gaan we gewoon volgens het vaste stram in proberen nog een aantal vragen te stellen, u te laten stellen aan de gasten.
[0:01:02] Ik maak daar één opmerking bij.
[0:01:04] Hoewel de aanleiding is clinical diagnostics, geef ik u mee dat
[0:01:09] Onze gasten natuurlijk op geen enkele wijze iets kunnen zeggen over de oorzaak van dat specifieke datalek, dus ik zou willen vragen om dat ook maar even te laten totdat de uitslag van dat onderzoek of de resultaten van het onderzoek bekend zijn.
[0:01:22] Dat twee minuten debat digitale ontwikkeling is vanmiddag... Ja, nou, dat is officieel vanmiddag om tien over twaalf.
[0:01:29] Dat gaat natuurlijk over de inhoud van dat debat, maar er was wel gevraagd of we deze briefing daarvoor afgaand konden hebben.
[0:01:37] Ik wijs u erop dat afgelopen dinsdag door collega Paulusma van D66 een plunair debat is aangevraagd.
[0:01:43] Het is breed gesteund.
[0:01:45] Daar weten we nog geen datum van, maar hopelijk komt dat snel en hopelijk hebben we dan ook enige rapportage over de oorzaak van deze specifieke situatie.
[0:01:55] Van de zijde van de Kamer zijn aanwezig mevrouw De Korte namens NSC, de heer Klaassen van de PVV, mevrouw Slachtingelman namens GroenLinks PvdA,
[0:02:06] en mevrouw Jozef namens het BBB.
[0:02:09] Onze gasten vandaag zijn Bianca Rouwehorst, directeur directie informatiebeleid, Marcel Floor, MT-lid van de directie informatiebeleid, beide van VWS en van het ministerie van Binnenlandse Zaken en Koninkrijkselatie, Lizzie van Wissem, MT-lid van de directie digitale overheid, en dan Aad Jochem, denk ik met de mooiste titels, Chief Information Security Officer Rijk.
[0:02:35] Nou, dat alleen al is indrukwekkend.
[0:02:38] We gaan van start met de presentatie en informatie van de zijde van onze gasten.
[0:02:45] En het woord is aan mevrouw Rauwenhorst.
[0:02:48] Dank u wel, voorzitter.
[0:02:49] En ook dank u wel dat u inderdaad ook al bij voorbaat aangeeft dat wij op dit moment natuurlijk inderdaad niet kunnen ingaan op de data die heb ik bij Clinical Diagnostics zelf gezien.
[0:03:03] verschillende en vele onderzoeken die daar nog op lopen op dit moment.
[0:03:07] Dank voor de uitnodiging en ook dank aan mijn collega's van Binnenlandse Zaken dat zij hierbij konden aanschuiven inderdaad.
[0:03:14] Deze technische briefing heeft als thema dataveiligheid in de zorg en ik heb de collega's van BZK zullen vooral ook wat meer zeggen over dataveiligheid in het algemeen en wij nemen u mee over hoe we dat in de zorg op dit moment
[0:03:30] de situatie is en wat het geldende beleid daarop is.
[0:03:36] Ik heb die en hij doet het.
[0:03:38] Ik neem u toch nog even mee in waarom en waarheen.
[0:03:44] We zijn ermee bezig vanuit VBS samen met het zorgveld in het kader van digitalisering en het kader van data beschikbaarheid en het gebruik van data.
[0:03:55] Daarom nog even naar de nationale visie en strategie kijkend het vertrouwen wat daarin zo van belang is.
[0:04:04] Dan even inzoemend op de verschillende wettelijke kaders die er op dit moment al zijn ten aanzien van alles rondom informatieveiligheid en dataveiligheid in de zorg en de technische mogelijkheden.
[0:04:18] Ik ben een paar maanden geleden bij u geweest voor een technische briefing waarin ik u heb uitgelegd over onze nationale visie en strategie waarin we
[0:04:28] via verschillende ontwikkelpaden, plateaus, naar databeschikbaarheid toewerken, samen met het zorgveld en alle partijen die daarin actief zijn, dus ook de stelselpartijen die daarbij horen.
[0:04:41] alles gericht op het feit dat we eigenlijk de druk in de zorg ten aanzien van de arbeidsmarkt, maar ook de betaalbaarheid en de kwaliteit, dat we die kunnen ondersteunen met het goed inzetten van data en gegevens en het goed kunnen laten gebruiken van data en gegevens door verschillende digitale toepassingen.
[0:05:04] Die gezondheidsdata zijn wat dat betreft ook daarvoor heel erg noodzakelijk en die databeschikbaarheid is afhankelijk van
[0:05:11] De datakwaliteit die daarvoor op een hoog niveau moet zijn en datakwaliteit zit hem op verschillende aspecten, maar ook op veiligheid rondom de data die daarmee speelt.
[0:05:25] De nationale visie brengt ons in drie plateaus daartoe.
[0:05:28] We zijn op dit moment druk bezig, samen met Zorgveld, en dat zult u mij heel vaak horen zeggen vandaag, om te werken om te kijken dat we in ieder geval integraal de interoperabiliteit georganiseerd krijgen voor de vijf verschillende weegjesuitwisselingen die er zijn.
[0:05:47] Dat zijn de grote uitwisselingen die als eerste geprioriteerd zijn
[0:05:52] daarin te kunnen zorgen dat zorgverleners op het juiste moment, op de juiste plek en alleen de juiste zorgverleners bij de data kunnen van de patiënten.
[0:06:02] Het volgende plateau is, daar zijn we ook al voorbereiding aan aan het treffen, is om te kijken of we dat ook in een netwerk georganiseerd kunnen doen om uiteindelijk het integraal georganiseerd te krijgen en het niet meer hebben over gegevensuitwisseling, maar daadwerkelijk databeschikbaarheid, waarbij de data aan de bron blijft en de data op het moment dat het noodzakelijk is voor een vraag
[0:06:21] getoond wordt en gebruikt kan worden, maar ook daarmee dus niet daadwerkelijk verplaatst wordt.
[0:06:30] Onder de nationale visie en strategie hebben wij eigenlijk drie fundamenten benoemd.
[0:06:35] Het eerste is, kom tot databeschikbaarheid om die beschikbaar, bereikbaar en bruikbaar te maken van gegevens en met waarborgen voor privacy en veiligheid.
[0:06:47] Het tweede fundament, en daarom hebben we hem ook geel gemaakt, is het fundament wat vertrouwen is.
[0:06:54] Het kunnen gebruiken van de data, dus u hoort mij zeggen de kwaliteit van data, is het up-to-date, is het de juiste data, is het goed vastgelegd, daarvoor is standaardisatie ook zoveel belang, maar ook in de integere omgang van data.
[0:07:10] Dus kunnen alleen de personen bij de data die daarbij mogen en kan alleen de data gebruikt worden voor het doeleinde waarvoor het is bestemd.
[0:07:21] En dat vertrouwen wordt ernstig geschaad door data hacks zoals die afgelopen begin juli plaats hebben gevonden bij clinical diagnostics.
[0:07:34] Dus alles rondom ook informatieveiligheid en privacy scharen wij onder vertrouwen en moet daar ook een bijdrage om het vertrouwen hoger te maken, zodat zowel burgers, patiënten,
[0:07:46] daar op mogen vertrouwen, maar ook zorgverleners.
[0:07:53] En regie, wat we hebben gezien, is dus dat in de afgelopen jaren er verschillende initiatieven zijn geweest, maar eigenlijk altijd of individuele initiatieven van zorgaanbieders zijn geweest, CQ een beetje op regionaal niveau.
[0:08:07] maar in ieder geval niet op landelijk niveau dezelfde stappen zijn ondernomen.
[0:08:10] Dus het is noodzakelijk om te komen tot regionale en landelijke beschikbaarheid van data, dat daar regie op wordt gevoerd en dat regie ook op alle fronten zometeen daadwerkelijk wordt ingevoerd, ook bijvoorbeeld als het gaat over data governance en dat soort aspecten.
[0:08:28] De nationale visie en strategie is gezamenlijk met het zorgveld opgesteld en wordt ook door het gehele zorgveld ondersteund.
[0:08:37] En ik moet ook eerlijk zeggen, is ook de basis voor de ISA-afspraken en de ASWA-afspraken die daar ook om gemaakt zijn.
[0:08:46] Als we dan kijken naar de huidige wettelijke kaders in kader van dataveiligheid, ziet u aan de linkerkant dat in de zorg de zorgaanbieders te maken krijgen met de AVG, de wet aanvullende bepalingen... Ik vind het altijd zo'n wap.
[0:09:08] Waar stond u precies voor?
[0:09:11] Ja, dat is hem.
[0:09:13] Ik voel me zo een deel op de rug.
[0:09:14] Ik heb hem uitgeschreven en gestaan, maar de WAPS is in principe... Het is heel erg dit.
[0:09:22] Die regelt de specifieke voorwaarden voor het verwerken van persoonsgegevens binnen de zorg.
[0:09:27] En is een aanvulling op de AVG.
[0:09:30] En daar staan bijvoorbeeld ook zaken in, zoals toegangsbeperkingen.
[0:09:36] De kwaliteit van zorg wordt in de WKKGZ geregeld.
[0:09:41] Daar hebben zorg- en medisch medisch mee te maken.
[0:09:42] De WGUBO, waarin de patiëntenrechten en geheimhouding is geregeld.
[0:09:48] Bijvoorbeeld het medisch dossier Alleen delen met toestemming van patiënten.
[0:09:52] Daar staat dus op dit moment de opt-in-situatie in geregeld.
[0:09:56] De Jeugdwet en de WMO, waarin ook weer specifieke kaders staan ten aanzien van bescherming van persoonsgegevens.
[0:10:03] Je moet bijvoorbeeld denken aan de beveiliging van dossiers van cliënten die in de jeugdhulp zitten.
[0:10:10] De NEN75-10, 12 en 13, en dat zijn de normen die er zijn, ten opzichte van risicoanalyse en maatregelen die genomen moeten worden in het kader van veilige uitwisselingen.
[0:10:21] En waar bijvoorbeeld de netwerkbescherming en de logging in zit volgens de NEN-boer.
[0:10:27] Maar er zijn een aantal aankomende kaders die er aankomen.
[0:10:31] We hebben een beveiligingswet die er aankomt.
[0:10:33] Die komt vanuit Europa en is tenminste twee richtlijnen.
[0:10:36] samen met de wet werbaarheid kritieke entiteiten.
[0:10:39] DIAS, dat is de wet die er ligt in kader van identificatie en authenticatie.
[0:10:47] En wij zijn bezig met het onderontwikkelen van een PRS om in kader van mijn gezondheidsoverzicht om daarin mogelijkheden te hebben om op de veiligheid van de gegevens te zitten.
[0:11:04] We hebben verschillende rollen en taken.
[0:11:06] Toch nog even terug naar het wettelijk kader.
[0:11:11] We hebben dus al best veel, maar het is ook best versnipperd en complex.
[0:11:17] En dat is wel waar we ook vanuit zorgaanbieders zo horen.
[0:11:21] En dat is dus ook waar wij eigenlijk met alle aspecten waar we nu mee bezig zijn, bezig zijn om te kijken, dat heeft ook onze minister in het vorige debat toegezegd, in hoeverre we de verplichtingen dus moeten
[0:11:33] en daarin dat traject zijn we aan het onderzoeken, zodat we het ook duidelijker en transparanter kunnen maken.
[0:11:41] We hebben verschillende kaders.
[0:11:45] Vanuit VWS zijn wij voor dataveiligheid in de zorg, maar het zorgveld zelf is verantwoordelijk voor de veiligheid in hun huis of in hun instelling.
[0:11:58] En dat betekent dus
[0:11:59] Dat zij ook zelfverantwoordelijk zijn om alle normen en kaders zich daaraan te voldoen.
[0:12:06] Ik vergelijk het toch altijd maar een beetje met het feit dat zij ook gewoon, net zoals dat ze aandacht hebben voor de sloten op de deuren van hun pand, dat ze ook zorgen dat de sloten op de digitale systemen geregeld is.
[0:12:23] Nou ja, de brandinstallatie die er is.
[0:12:27] Dit is wel iets waar we zien dat daar echt nog heel veel aandacht voor nodig is, omdat de fysieke beveiliging logisch is, lijkt het, maar de digitale beveiliging is echt iets wat je op dit moment nog in het zorgveld tenminste overlaat.
[0:12:45] En dat is dus niet alleen in dit geval mogelijk, want dat weten we niet, bij Clinical Diagnostics bleken.
[0:12:53] Maar we weten ook dat gewoon in het zorgveld zelf bij de 60.000 zorgaanbieders niet overal aan de normen wordt voldaan.
[0:13:11] Naast de kaders die er zijn en de normen die er zijn, zijn er ook gewoon wel wat technische mogelijkheden die zorgaanbieders hebben om
[0:13:20] te zorgen dat zij invulling geven aan die informatieveiligheid en die privacy.
[0:13:27] Maar nogmaals, dat is dus aan hen om dat dan ook daadwerkelijk toe te passen.
[0:13:32] Zo kunnen ze de toegangsbeveiliging moeten ze natuurlijk regelen, logging en monitoring, dataencryptie, het beveiligen van het netwerk, endpointbeveiliging, het is allemaal wat technischer, en natuurlijk het beveiligen van de communicatie.
[0:13:49] Bijvoorbeeld gebruiken van beveiligde VPN en bij importbeveiliging bijvoorbeeld echt het toepassen van goede antivirus en anti-malware toepassingen, dat soort zaken.
[0:14:03] Dat zijn de mogelijkheden die er zijn en die worden ook bijvoorbeeld al in de AVG aangegeven als mogelijkheden om toe te passen.
[0:14:14] Eigenlijk zitten er in de normen 75, 10, 12 en 13, dat wel degelijk wettelijke verplichte normen zijn voor de zorg, ook deze zaken zitten daarin.
[0:14:31] De grootste uitdaging die wij als VWS zien, is niet om op dit moment te kijken of er meer wetten of meer kaders moeten komen, want eigenlijk zijn die er, maar is wel hoe we het zorgveld kunnen ondersteunen, ook vanuit VWS, met betrekking tot dat zij
[0:14:52] Eén, eigenlijk vooral ook dat gedrag en die bewustwording daarop hebben.
[0:14:58] En dat gaat dan ook van de raad van bestuur, van de raad van de toezichten van de verschillende instellingen tot aan de individuele medewerkers zelf.
[0:15:07] Omdat je ook in de zorg ziet dat data lekken vooral ook heel vaak door het gedrag van medewerkers, gedrag van mensen wordt veroorzaakt.
[0:15:19] Dus in dit geval de data-hack heeft een daadwerkelijke externe oorzaak in het kader van, nou ja, eigenlijk een criminele groepering die data gestolen heeft.
[0:15:31] Maar als we kijken naar helemaal informatieveiligheid in de zorg, dan zit vooral de data-lekker op gedrag van mensen in de zorghuizen zelf.
[0:15:40] En is dat ook iets wat wij proberen met
[0:15:42] Z-cert om ook, zeg maar, daar bewustwording en ook de ondersteuning aan het zorgveld daarop te verhogen.
[0:15:52] Dit was even mijn verhaal, dan geef ik nu hem over aan Nancy of aan Aart.
[0:16:08] Dank u wel.
[0:16:09] Ja, dankjewel.
[0:16:11] Ik ga iets meer over wat dat nou doet, die kwetsbaarheid in het digitale domein met het vertrouwen in de overheid.
[0:16:22] Mijn rol is die van CISO voor de Rijksoverheid.
[0:16:25] Ik hou me dus bezig met beleid en kaders die voor de Rijksoverheid gelden, maar ook met de samenwerking en verbinding tussen de departementen.
[0:16:34] Net als in de zorg zijn er heel veel, ook bij de Rijksoverheid, heel veel onafhankelijke organisaties die zelf hun beveiliging moeten en kunnen regelen.
[0:16:44] En om daar samenhang in aan te brengen, dat is mijn rol.
[0:16:51] En waar begint dat vertrouwen mee?
[0:16:53] Nou, in ieder geval die voortgaande digitalisering die we zien, dat zit echt tot in de haarvaten van organisaties en van mensen, van burgers.
[0:17:04] Al is het een kaartje voor de trein bestellen, al is het weten hoe ik hier kom, noem maar op.
[0:17:10] Overal gebruiken we die digitalisering voor.
[0:17:13] Digitalisering werkt met software, met apps, zeg maar programma's die draaien op computers, maar ook heel veel onderling verbonden systemen, communicatienetwerken.
[0:17:23] Dus als we willen weten wat voor weer het wordt, of het gaat regenen of niet, dan wordt er informatie gedeeld tussen
[0:17:29] Het KNMI en meteobedrijven, dus dat is in een andere sector het geval.
[0:17:35] Maar het feit dat we zoveel software gebruiken en zoveel communicatie doen, dat maakt ons eigenlijk wel inherent kwetsbaar.
[0:17:43] Dat betekent dat je deuren moet aanbrengen in je omgeving om die communicatie tot stand te kunnen brengen.
[0:17:51] En iedere toegangspoort moet je ook goed beveiligen.
[0:17:56] De enige manier om daarmee om te gaan, met die trend van verdergaande digitalisering, is om gelijke tred te houden met het organiseren van je weerbaarheid.
[0:18:05] Dus in hoeverre zijn we in staat om een aanval, en dat kan een criminele aanval zijn of een aanval van een ander land, als het meer geopolitiek is, hoe kan je dat weerstaan?
[0:18:18] Maar eigenlijk ook wel ongelukken, gebruikersfouten.
[0:18:20] Dat zijn natuurlijk ook dingen die de beschikbaarheid van je gegevens
[0:18:25] betrouwbaarheid van je gegevens kunnen beïnvloeden.
[0:18:28] Dus het is zaak om die weerbaarheid goed aan te pakken en om een inkijkje te geven hoe zo'n aanval als op het laboratorium eruit ziet.
[0:18:39] Er is in het algemeen, dus niet in deze casus, maar er is een criminele organisatie die zoekt op het internet naar kwetsbare omgevingen, vindt
[0:18:50] een laboratorium of een overheidsorganisatie en denkt, hier kan ik wat mee doen.
[0:18:54] En ze hebben dus een kwetsbaarheid ontdekt waarmee ze in staat zijn geweest om zich toegang te verschaffen tot een netwerk.
[0:19:02] Dat gebeurde ook bij de Rijksoverheid een paar jaar geleden, ook de Tweede Kamer had daar mee te maken.
[0:19:09] Nou, wat kun je daartegen doen?
[0:19:11] Nou, zorgen dat die kwetsbaarheid, als die wordt gesignaleerd in die software, dat je die snel repareert, zodat je niet gevonden wordt.
[0:19:17] Maar ook zorgen dat je doorhebt wanneer je aangevallen wordt.
[0:19:21] Dat je je logging en je detectie en je monitoring, dat zijn dan technische maatregelen, op orde hebt, zodat je snel kunt handelen.
[0:19:29] En dat geheel, dat zit eigenlijk in een soortement, dat noemen we dan in informatiebeveiliging een managementsysteem.
[0:19:35] Dus je moet zorgen dat daar een bestuur erbij betrokken is, dat dat georganiseerd is, dat de technische maatregelen werken, dat daar toezicht op is en dat het ook steeds verbetert.
[0:19:45] Dus bij iedere test die je doet of iedere incident, dat je ook zorgt dat dat verbetert.
[0:19:51] Op die manier organiseer je eigenlijk de weerbaarheid.
[0:19:54] En dat moet je continu doen op het moment dat je dat...
[0:19:57] denkt van ik heb het nu ingeregeld, dan werkt dat de komende maanden goed, maar daarna ben je weer kwetsbaar.
[0:20:04] Je moet dus blijvend werken aan je weerbaarheid.
[0:20:09] Wat betekent als je onvoldoende weerbaar bent?
[0:20:12] Dat hebben we gezien met dit datalek van het bevolkingsonderzoek, maar bijvoorbeeld ook het Openbaar Ministerie die drie weken lang zich heeft moeten loskoppelen van internet.
[0:20:24] En dat is heel vervelend voor de kerntaken van die overheidsorganisatie of die zorginstellingen.
[0:20:29] Maar dat heeft natuurlijk ook een impact op de mensen die staan in die lijst van bevolkingsonderzoek of die net een proces hadden lopen in de rechtszaak.
[0:20:41] En die impact duurt misschien nog wel langer dan de technische impact na het repareren van zo'n hek.
[0:20:50] Dat is ook wel de reden dat in de Nederlandse digitaliseringstrategie, daar is gisteren een technische briefing aan de Kamer voor geweest, dat digitale weerbaarheid en het organiseren daarvan, ook overheidsbreed, een prioriteit is geworden.
[0:21:06] Hoe werkt dat stelsel nu?
[0:21:11] Hoe zorgen we ervoor dat we dat overheidsbreed hebben georganiseerd?
[0:21:14] Sowieso is iedere departement, iedere ZBO, zelfstandig bestuursorgaan, en ook private organisaties waar de overheid mee samenwerkt, zelfverantwoordelijk voor het beveiligen van hun omgeving.
[0:21:31] Daar zijn kaders voor.
[0:21:35] Daar kom ik zo meteen even op.
[0:21:37] En de departementen worden gezamenlijk geadviseerd hierin door het National Cyber Security Centre en de inrichtingendiensten.
[0:21:45] Dus als zij kwetsbaarheden ontdekken of daar meldingen van krijgen, dan zullen ze daar ook andere organisaties mee proberen te helpen.
[0:21:58] Het misbruiken van een kwetsbaarheid, dus als er daadwerkelijk iets gebeurt wat een crisis veroorzaakt, dus wat zo'n grote impact heeft in onze maatschappij, dat er echt landelijk gecoördineerd moet worden, dan is daar een landelijk crisisplan digitaal, LCP digitaal, voor beschikbaar opgesteld door de NCTV.
[0:22:21] Daar heeft voor de Rijksoverheid, het ministerie van Binnenlandse Zaken, een coördinerende rol.
[0:22:27] Nou ja, en dan mijn rol, die van CISO Rijk, is dus inderdaad die zorg dat rijksbreed dit onderwerp wordt gecoördineerd.
[0:22:37] Dat we ook samen kaders opstellen waar we aan moeten voldoen.
[0:22:42] En als het inderdaad ook misgaat, dan ook de respons, de reactie daarop te coördineren.
[0:22:53] En dan kort even over de geldende kaders.
[0:22:56] Die zijn net ook al aan de orde geweest.
[0:22:59] Voor de Rijksoverheid is een belangrijke baseline informatiebeveiliging voor de overheid, de bio, dat is een...
[0:23:10] Dat is gebaseerd op een internationale standaard, de ISO 27001, die al 25 jaar of 30 jaar bestaat en steeds verbeterd is, die ISO-norm.
[0:23:22] De BIO is in zijn tweede versie op dit moment bezig.
[0:23:25] Die vult dus maatregelen aan van de ISO-norm voor de Rijksoverheid.
[0:23:33] En op dit moment is de BO een afspraak tussen de overheden en dus een stukje zelfregulering.
[0:23:41] Maar in de cyberbeveiligingswet die naar de Tweede Kamer is gestuurd, krijgt de BO ook een wettelijk kader, een wettelijk haakje.
[0:23:50] Voor hooggerubriseerde informatie, dus dat is staatsgeheim, is nog een andere voorschrift voor de Rijksoverheid.
[0:23:59] Het voorschrift Informatiebeveiliging Rijksoverheid voor bijzondere informatie, het FEERBI.
[0:24:06] Die is net in juli ook de nieuwe versie door de ministerraad vastgesteld.
[0:24:14] Natuurlijk de cyberbeveiligingswet.
[0:24:17] De cyberbeveiligingswet die geeft echt ook die stok achter de deur om wettelijk hiermee aan de slag te gaan.
[0:24:26] Dus waar zelfregulering onvoldoende werkt is nu ook een wettelijke taak.
[0:24:31] Er is een toezichthouder ook daarvoor.
[0:24:33] Voor de overheid is dat de RDI, de Rijksinspectie Digitale Infrastructuur.
[0:24:39] En behalve dat daar ook wel gezegd wordt van nou je moet je maatregelen goed inrichten, wordt er ook heel duidelijk iets gezegd van nou je bent als bestuurder van een organisatie die vitaal is in de maatschappij ook aansprakelijk voortgoed inrichten.
[0:24:55] Dus daar zijn we druk mee bezig om dat in te richten.
[0:24:58] Nou we hebben het net al even gehad over voor de zorg de NEN 7510 en de onderliggende onderdelen.
[0:25:05] Dat is een Nederlandse norm die specifiek verplicht is voor zorginstellingen, die ook gebaseerd is op diezelfde ISO norm, de ISO 27001, maar daar specifiek op bijvoorbeeld toegang tot gegevens, maar ook toezicht daarop, een aantal extra maatregelen heeft aangevuld.
[0:25:27] Nou, en dan als laatste kader gaat het natuurlijk over de bescherming van de privacy.
[0:25:33] De Algemene Verordening Gegevensbescherming, de AVG, is daar de Nederlandse implementatie van, of de vertaling.
[0:25:42] En daarin staat ook in van hoe kun je toegang tot persoonsgegevens regelen, wie is er verantwoordelijk, hoe zit dat ook in een lijn.
[0:25:52] De autoriteit persoonsgegevens is de toezichthouder op dit onderwerp.
[0:25:57] Dus dat kort even de schets van hoe belangrijk de weerbaarheid is in het digitale domein voor het vertrouwen van de burgers in de overheid, maar ook hoe dat geregeld is.
[0:26:12] En dan geef ik het woord aan Lissie.
[0:26:16] Mijn naam is Lissie van Wissen van het ministerie van Binnenlandse Zaken.
[0:26:21] Mijn afdeling is verantwoordelijk voor het beleid op de basisregistratie personen en het BSN, onder andere.
[0:26:38] Het BSN bestaat al even.
[0:26:39] In 2007 is het ingevoerd als opvolger van het SOFI-nummer dat al breed in gebruik was bij de Belastingdienst.
[0:26:49] Het is ook bij wet geregeld en het doel van het BSN is
[0:26:53] om eenvoudige identificatie en registratie van burgers mogelijk te maken.
[0:26:57] Iedere burger heeft zijn eigen BSN en staat daarmee bij de overheid geregistreerd.
[0:27:04] En deze wet regelt ook dat overheidsorganisaties gebruik mogen maken van het BSN.
[0:27:10] Dus in principe wordt dat via deze wettelijke grondslag geregeld.
[0:27:15] Voor gebruik buiten de overheid is er een speciale wettelijke grondslag nodig.
[0:27:19] Dat geldt dus ook voor de zorgsector, daar hebben we het net ook over gehad.
[0:27:23] Dat is voor de zorgsector geregeld in de wet aanvullende bepalingen... verwerking persoonsgegevens in de zorg, als ik hem helemaal goed heb.
[0:27:30] Dus daar is die wettelijke grondslag ook in geregeld.
[0:27:36] Dat is wel heel belangrijk.
[0:27:37] dat dat allemaal netjes geregeld is.
[0:27:42] Ik denk ook dat het belangrijk is om erbij te vermelden dat de verantwoordelijkheid voor het gebruik van het BSN ligt bij degene die die verwerkingsverantwoordelijkheid heeft.
[0:27:50] Dus daar ligt echt primaire verantwoordelijkheid.
[0:27:54] Om nog even terug te komen bij het BSN.
[0:27:56] Het is een inhoudsloos nummer.
[0:27:59] Dat betekent dat we daar geen persoonsgegevens in hebben verwerkt.
[0:28:02] Je geboortedatum bijvoorbeeld of andere persoonsgegevens zitten niet verwerkt in je BSN.
[0:28:07] Op zich heeft het BSN zelf ook geen rechten.
[0:28:11] Er zijn mensen die een BSN hebben, die ook buiten Nederland wonen bijvoorbeeld.
[0:28:15] Je kunt daar op zichzelf geen rechten aan ontlenen aan het nummer.
[0:28:19] Het verwijst naar een controleerbare identiteit in de registratie van de Rijksoverheid, onder andere de basisregistratie personen, of als je niet ingezetene bent, in de registratie niet ingezetene.
[0:28:31] Het is een uniek nummer.
[0:28:32] Iedereen heeft een eigen BSN.
[0:28:34] Er komen geen twee BSN's
[0:28:36] Niet één BSN bij twee verschillende personen terecht en ook niet twee BSN's bij één persoon.
[0:28:44] Dus iedereen heeft een eigen BSN.
[0:28:47] En het is niet intrekbaar of te wijzigen.
[0:28:49] Daar kom ik zo nog even op terug, want daar hebben we ook onderzoek naar laten doen.
[0:28:55] Het wordt bij inschrijving bij de BRP verstrekt aan mensen of bij de RNI, de registratie niet ingezetene, voor mensen die wel een relatie met de Nederlandse overheid hebben, maar niet hier als ingezetene geregistreerd kunnen worden.
[0:29:07] En er zijn dus verantwoordelijkheden centraal belegd bij BZK, onder andere stelselverantwoordelijkheid en verantwoordelijkheid voor de beheerverziening BSN, waar de meeste partijen die gebruik maken van het BSN, die geen overheidspartij zijn, op aangesloten zijn.
[0:29:24] En er zijn ook decentrale regels vastgelegd.
[0:29:28] Daar hebben we net ook al gedeeltelijk over gehad, maar dus ook de partijen die het BSN ontvangen, hebben eigen verplichtingen en eigen verantwoordelijkheden daarin.
[0:29:38] Zoals ik al zei, de BSN voor overheidsorganisaties is dus wettelijk geregeld in de BSN-regelgeving.
[0:29:50] Of een BSN sectoraal mag worden gebruikt, is dus afhankelijk van sectorale wetgeving.
[0:29:55] Dat is dus in de zorgsector goed geregeld.
[0:30:03] Het BSN en de wetgeving biedt ook ruimte voor koppeling met andere nummers.
[0:30:07] Dus als je het BSN mag verwerken, betekent het niet dat je daarnaast geen andere nummers binnen je stelsel mag gebruiken.
[0:30:20] Enige tijd geleden hebben wij onderzoek laten uitvoeren naar... Als er nou een datalek is geweest waarbij het BSN is betrokken, kun je mensen dan een ander...
[0:30:31] BSN uitreiken omdat het BSN mogelijk besmet is.
[0:30:34] Is dat mogelijk en wat gebeurt er dan?
[0:30:37] We hebben dat laten onderzoeken door Berenschot en de conclusie daaruit is dat de impact voor zowel de burger om wie het gaat, de persoon om wie het gaat, als voor alle partijen in het stelsel echt enorm is.
[0:30:51] Uit het onderzoek is naar voren gekomen dat waarschijnlijk de negatieve effecten voor zowel de persoon zelf als voor het hele stelsel groter zijn dan de positieve effecten.
[0:31:03] Daarom raden wij dat ook echt ten zeerste af.
[0:31:08] Het bsm wordt gebruikt bij honderden processen binnen de overheid en buiten de overheid.
[0:31:12] Wij schrijven een stelsel.
[0:31:14] Als je dat op één plek doet, moet dat overal worden doorgevoerd.
[0:31:17] Er zijn ook partijen waarvan wij niet weten dat ze het BSN verwerken.
[0:31:21] Dat zijn partijen die dat niet via onze BSN-beheerverziening doen.
[0:31:25] Dus om goed in kaart te hebben in welke processen dat overal gebeurt, als je dat ergens niet doorvoert, dat nieuwe BSN, dan komt die burger enorm in de knel.
[0:31:34] Dus dat is echt een probleem.
[0:31:38] Vele jaren later concludeert het rapport ook, zou zo'n burger nog tegen heel veel zo'n persoon, ik vind burger een beetje een vervelend woord soms, het gaat hier om mensen, komt zo'n persoon, kan er nog mee te maken hebben dat er toch ergens in de administratie nog het oude BSN wordt verwerkt en dat er dus dingen misgaan.
[0:31:56] Dat betekent natuurlijk niet dat er verder niks gedaan kan worden.
[0:32:03] We hebben daar al eerder gekeken naar welke maatregelen er genomen kunnen worden.
[0:32:09] Qua technische maatregelen is er al het een en ander besproken in de voorgaande presentaties.
[0:32:16] Juist zo'n BSN maakt het ook mogelijk om voor partijen om...
[0:32:19] niet alles in één database te hebben staan, om gegevens uit verschillende databases te halen.
[0:32:24] Dus op zichzelf is het al een maatregel om juist tot dataminimalisatie en bescherming van persoonsgegevens te komen.
[0:32:31] Het is ook mogelijk om een ander persoonsnummer intern te hanteren bij organisaties via een koppeltabel.
[0:32:40] Zo zijn er in ieder geval verschillende maatregelen die genomen kunnen worden.
[0:32:43] Volgens mij is daar net ook al het nodige over gezegd.
[0:32:50] En daarnaast hebben wij bij de Rijksdienst voor Identiteitsgegevens ook nog een aantal dingen ingeregd.
[0:32:58] Er is een centraal meldpunt identiteitsfraude.
[0:33:01] Zij helpen slachtoffers van identiteitsfraude.
[0:33:03] Dat is bij eerdere datalekken ook gebeurd.
[0:33:05] Dus zij helpen mensen om te adviseren van hoe kun je hier nu mee omgaan.
[0:33:10] inperken van de effecten van een datalek.
[0:33:14] En er is een kopie-ID-app ontwikkeld waarmee mensen, als zij dan toch een kopie van hun ID moeten afgeven, waarmee je BSN onder andere kunt zwart maken, zodat zo'n andere partij niet de scan van jouw ID-bewijs heeft en die dus ook op die manier niet bij een lek gepubliceerd kan worden.
[0:33:37] Dank u wel.
[0:33:48] Mevrouw Dobbe namens de SP is binnengekomen.
[0:33:51] Ik stel voor dat we beginnen met de vraagronde.
[0:33:53] Ik laat u per persoon een vraag stellen.
[0:33:56] Ik laat het even aan onze gasten over om in te schatten in hoeverre wie het beste de vraag kan beantwoorden.
[0:34:03] Het woord is aan mevrouw de Korte.
[0:34:06] Dank u wel, voorzitter.
[0:34:07] En dank u wel ook dat zo snel toelichting gegeven kon worden, want het gaat nogal om veel mensen, vrouwen vooral, die vertrouwen eigenlijk stellen in hun beveiligde data en die komen op straat te liggen.
[0:34:24] Ja, er is eigenlijk al heel veel geregeld voor datenbeveiliging.
[0:34:32] En toch heel veel organisaties, zorgorganisaties en waarschijnlijk ook laboratorium ook hierbij is volgens mij.
[0:34:39] niet voldaan aan de NEN7510.
[0:34:42] Het is een eis.
[0:34:44] Het ligt, geloof ik, maar misschien kunt u dat nog toelichten.
[0:34:50] NEN7510, daar houden dus veel zorgorganisaties en laboratoria zich niet aan.
[0:34:58] En ja, het handhaven lukt natuurlijk niet.
[0:35:01] Maar wat kunnen we nou doen dat iedereen hier zich gewoon aan gaat houden?
[0:35:05] We weten nu hoe belangrijk het is.
[0:35:08] We hebben hier eerder discussie gehad.
[0:35:10] Nou, hoe belangrijk is beveiliging?
[0:35:12] We hebben als nieuw sociaal contract altijd gehamerd op beveiliging.
[0:35:16] En nu is gebeurd wat we eigenlijk nooit wilden.
[0:35:20] Maar hoe kunnen we ervoor zorgen dat nu toch elke zorgorganisatie en laboratorium
[0:35:26] aan de slag gaat met die optimale beveiliging.
[0:35:33] Ik kijk even naar rechts met de opmerking dat we een technische briefing hebben, geen politiek debat.
[0:35:38] Dus ik vraag of daar wel terughoudend in zijn.
[0:35:41] Ik geef mevrouw jou als het hoort.
[0:35:44] Ja, dank u wel.
[0:35:47] Het niet voldoen aan de 75-10, laat ik beginnen, dat het ook best ingewikkeld is om te voldoen aan de 75-10.
[0:35:57] Dus ik wil hier wel even voor mij zeggen dat het niet altijd een bewuste keuze is om bewust niet te voldoen aan de 75-10 door zorginstellingen of verzorgaanbieders.
[0:36:11] De afgelopen jaren hebben we aan de IgE gevraagd om te kijken of zij in het kader van hun beperkte toezicht wat kunnen doen.
[0:36:24] In ieder geval is eerst aan de slag gegaan met de ziekenhuizen.
[0:36:28] Dat heeft geleid dat zij alle ziekenhuizen hebben bezocht en hebben gekeken in hoeverre zij voldeden aan de 75-10.
[0:36:37] Op dat moment was dat echt schrikbarend slecht.
[0:36:40] En wat is dan de maatregel die er kan plaatsvinden?
[0:36:45] Dat is dat de IgE op dat moment vraagt om verbeterplannen en om te gaan zorgen dat ze daaraan voldoen.
[0:36:49] En eigenlijk kunnen we zeggen dat een jaar later alle ziekenhuizen aan de 75-10 voldoen.
[0:36:59] En eigenlijk zijn we dus in gesprek met de IgE om hetzelfde soort aanpak dus ook bij de volgende sectoren te gaan doen, waarbij natuurlijk de sectoren steeds divers worden,
[0:37:10] De ziekenhuizen zijn toch wel over het algemeen ook qua informatievoorziening iets meer georganiseerd dan bijvoorbeeld in de verdele huisartsenpraktijken.
[0:37:22] Dus wat kunnen wij doen?
[0:37:24] Waar wij op inzetten is op die bewustwording.
[0:37:27] De Cyberbeveiligingswet en de wet weer bij het kritiek entiteit gaat ons echt ook wel helpen omdat we daarin ook
[0:37:34] Partijen zullen gaan aanwijzen die onder die vitale infrastructuur zullen vallen en daarmee ook echt moeten gaan voldoen aan de eisen die er vanuit de Cyberbeveiligingswet daarin staan.
[0:37:47] Bewustwording en wij doen via Z-cert, proberen we het zorgveld dus ook daarin ook echt te ondersteunen in het
[0:37:55] laten voldoen aan de 7510.
[0:37:59] En we hebben een aantal programma's lopen, informatieveiligheid in de zorg, waarmee we proberen zowel
[0:38:08] op de werkvloer, als ook in de raden van bestuur in de kamers, waar het eigenlijk gewoon, zeg ik al weleens, op dezelfde agenda moet staan als bijvoorbeeld de huisvesting van het pand, ook dat daar nodig moet zijn.
[0:38:23] Het is al een verplichting, maar 60.000 zorgaanbieders handhaven of de toezicht ophouden is ook een opgave.
[0:38:36] Dank u wel, meneer Klaassen.
[0:38:38] Dank u wel, voorzitter.
[0:38:39] Er zijn al een heleboel systemen genoemd en ik ga er, en als er niets is moet u me corrigeren, gemakkelijkste halve van uit, dat Intrusion Detection, Backup Redundancy en Cloud Access Security er onderdeel van zijn.
[0:38:53] En terecht werd gezegd dat aan de één kant, je kunt dat allemaal inregelen,
[0:38:57] Maar ja, je hebt te maken met de eindgebruiker.
[0:39:00] Hoe gaat hij daarmee om?
[0:39:03] Mijn eerste vraag zal vooral gaan over wat er straks werd gezegd.
[0:39:10] Ik heb de indruk dat hackers altijd voorop lopen.
[0:39:13] Die hebben alle tijd en de meeste technologieën om een ja te vinden in de systemen, zeker van overheden en gezondheidszorg waar het meeste te halen is.
[0:39:24] Moeten we eigenlijk dan niet gewoon vaststellen dat we altijd responsief zullen zijn?
[0:39:29] Of jagen we het idee na dat we dat niet meer hoeven te zijn, dat we altijd voor kunnen lopen op de hackers?
[0:39:36] Wat is het doel van jullie inzet daarop?
[0:39:41] Voor ik het woord geef, wachten we even tot hij over is.
[0:40:27] Gaat in gang.
[0:40:29] Dank u wel.
[0:40:31] De vraag, zoals ik hem hoorde inderdaad, ervan uitgaande dat technische maatregelen genomen zijn voor beveiliging.
[0:40:39] Lijkt het alsof hackers altijd een stap voor lopen.
[0:40:43] Moeten we daar ongebij neerleggen of, ik vertaal hem zo eventjes, of zijn er andere mogelijkheden?
[0:40:51] Ja, wat ik net ook al aangaf, het is ook echt een proces, want het is waar, hackers lopen altijd voor.
[0:40:59] En op het moment dat een kwetsbaarheid bekend wordt, die moet er bekend gemaakt worden, omdat je anders het niet kan repareren, dan zie je dat in een hele korte tijd, hackers noem ik ze maar, om alles in één groep te doen, in een hele korte tijd alle mogelijkheid hebben gevonden om zo'n kwetsbaarheid ook echt te misbruiken.
[0:41:21] Als je dat tegen elkaar overzet, dan moet er dus een beheerder zijn van een systeem die ook heel snel hoort van die kwetsbaarheid.
[0:41:28] Direct een change in plan zoals dat heet, dus een wijziging in het systeem.
[0:41:33] Het zijn meestal systemen die 100% van de dag gebruikt worden en hem dan ook fixt.
[0:41:38] Dus daar zit je eigenlijk altijd achter.
[0:41:42] Het opzet van zo'n NEN 7510 maar ook zo'n ISO 27000 is erop gericht dat je verschillende lagen van beveiliging hebt.
[0:41:51] Dus je kan voorkomen dat je jouw kwetsbaarheid misbruikt wordt door andersoortige maatregelen te doen.
[0:42:01] Maar je moet wel altijd bijblijven.
[0:42:05] Zeker organisaties die een wettelijke plicht hebben, in de zorgsector was dat al geregeld en voor de overheid gaat dat met de cyberbeveiligingswet komen, betekent dat je ook eigenlijk wel van tevoren moet kunnen aantonen en dat is ook waar een inspectie zich op richt.
[0:42:22] Dat je al die maatregelen genomen hebt en dat je ze ook regelmatig test en dat je ze verbetert.
[0:42:29] En uiteindelijk blijft er ook de reactietijd.
[0:42:32] Dus ben je er snel achter dat je gehekt wordt en ben je dan in staat om heel snel adequate maatregelen te nemen om de schade te beperken.
[0:42:41] Dat het ook een onderdeel is.
[0:42:45] De Cyberbeveiligingswet gaat nog een stap verder, ook als het uitgroeit tot een crisis, moet je eigenlijk al maatregelen hebben genomen, dus je crisisplannen.
[0:42:54] Dus je probeert zicht te hebben op wat is voor jou van belang, wat zijn nou je kroonjuwelen, wat zijn je te beschermen belangen.
[0:43:02] Je probeert te voorkomen dat ze misbruikt worden.
[0:43:05] Als ze misbruikt worden, probeer je daar zo snel mogelijk achter te komen en dan een goede respons en herstel te organiseren.
[0:43:13] En dat vraagt best wel wat conditie of professionaliteit van de organisatie die dan die kroonjuwelen te beschermen hebben.
[0:43:23] En hoe belangrijker die kroonjuwelen zijn, hoe meer je dus moet investeren in techniek, maar ook in mensen en in processen.
[0:43:33] En je loopt daarmee, je kan met preventieve maatregelen dus wel iets voorlopen op hackers.
[0:43:40] Maar per definitie zijn zij, en zij hoeven natuurlijk maar één kwetsbaarheid te vinden.
[0:43:44] En als beveiliger moet je alle kwetsbaarheden weten te beveiligen.
[0:43:49] Maar zo'n gestructureerde aanpak, dat zit ook in die NEN 7510 verwerkt.
[0:43:54] En in de ISO, dat is eigenlijk wel waar je voor gaat.
[0:43:58] Dank u wel.
[0:43:59] Mevrouw Slagtegemon.
[0:44:01] Dank je wel.
[0:44:02] Dank voor de presentatie.
[0:44:04] Mijn vraag is meer procesmatig.
[0:44:06] Want we handelen op basis van vertrouwen.
[0:44:09] En dat baart me echt hele grote zorgen.
[0:44:12] Want we hebben een zorgplicht en waarin ook de veiligheid te borgen.
[0:44:19] Dus ik vraag me af in hoeverre bij de zorginkoop, dus als dat rechtstreeks van VWS is in publieke gezondheidsdiensten,
[0:44:29] via zorgverzekeraars of via zorgkantoren, dus echt bij de grotere instanties, of daar bij de zorginkoop al data-veiligmanagements-experts bij betrokken zijn, om die processen vooraf te borgen en ook bij de vergunningsplichtige zorg, bij de IGJ, of bij in ieder geval de vergunningsplichtige zorg, deze processen van continue kwetsbaarheden opsporen en reactief handelen en responsief, of dat echt geborgd is in de
[0:44:59] proceslijnen en daar heb ik vragen over.
[0:45:03] Is dat nu zo?
[0:45:04] En in hoeverre is dat zo?
[0:45:05] En wat zijn verbeterstappen?
[0:45:07] Dank u wel.
[0:45:08] Ik kijk even naar de rechterkant.
[0:45:13] Dank u, voorzitter.
[0:45:17] Terechte vraag.
[0:45:19] U beschrijft ook de hele breedte van het zorgveld, dus dat geeft ook al een deel van de complexiteit en ook het antwoord.
[0:45:30] Er liggen meerdere wettelijke verplichtingen vanuit de AVG, vanuit 7510, en daarmee is eigenlijk het wettelijk kader voor iedere zorgaanbieder ook, en de zorgaanbieder handelt vanuit het wettelijke kader ook naar derde partijen, contractpartijen.
[0:45:45] Dus die contractering is eigenlijk de plek waar de inhoudelijke eisen gesteld worden en ook de beveiligingsmaatregelen worden afgesproken.
[0:45:55] Of we daar zicht op hebben voor de hele zorg?
[0:45:58] Nee.
[0:46:00] te groot, te ingewikkeld en ook wel vanuit het meer systemische.
[0:46:07] De uiteindelijke zorgcontext en de zorgambinant die kiest voor die zorgcontext neemt de volle verantwoordelijkheid, de financiële, de inhoudelijke, de juridische, de beveiligings, de volle verantwoordelijkheid uiteindelijk voor die contractaanspraken.
[0:46:23] Het beeld wat we hebben is dat er aan die beveiligingsaspecten in die contractering
[0:46:29] dat daar wel het een en ander kan verbeteren.
[0:46:32] Dan druk ik mij heel diplomatiek uit.
[0:46:34] En dat is de opgave waar we voor staan.
[0:46:38] Dat is de reden waarom we dus inderdaad vanaf de werkvloer tot en met de bestuurskamer dat tussendoor proberen te krijgen.
[0:46:45] Dit is een dagelijks ding.
[0:46:47] Het is de verantwoordelijkheid van ons allemaal.
[0:46:50] Ook in die contractering moet dat glashelder afgesproken worden.
[0:46:54] En eventueel ook, dat is een onderdeel van die contactering, hoe zie je daar vervolgens als contractpartijen, hoe zie je daarop toe?
[0:47:01] Niet alleen aan de voorkantregel, maar ook tijdens de looptijd van een afspraak.
[0:47:06] Hoe hou je elkaar daarin scherp?
[0:47:07] Dat is echt een gezamenlijke verantwoordelijkheid.
[0:47:12] Dank u wel.
[0:47:13] Een korte, hele korte vraag.
[0:47:15] Ja, want u zegt weer op het eind een gezamenlijke verantwoordelijkheid, maar zo was de presentatie niet.
[0:47:21] En ik denk toch echt dat VWS hier een verantwoordelijke,
[0:47:25] om die processen zo te regelen dat die data veiligheid geborgd is en dat de zorgverleners echt laten zien dat zij aan hun veiligheid werken voordat zij contractering krijgen.
[0:47:42] Dat is echt de verantwoordelijkheid van VWS in mijn ogen.
[0:47:46] Of vanaf de zorginkoop gedetacheerd onder VWS, want die regelen alle publieke gelden.
[0:47:55] Ik moet iets specifieker zijn.
[0:47:58] Als ik heb gezamenlijke verantwoordelijkheid, dan doel ik op die gezamenlijke verantwoordelijkheid van die contractpartijen.
[0:48:04] En voor de publieke zaak en de contractering, zoals de collega ook al aangaf, daar zitten we vanuit de Rijksoverheid uiteraard vanuit die verantwoordelijkheid op die manier scherp in.
[0:48:17] Voor de hele zorg is het een ander verhaal.
[0:48:19] De zorg is het private domein waarin op een andere manier gecontracteerd wordt.
[0:48:27] Dank u wel.
[0:48:27] Mevrouw Jozef.
[0:48:29] Ja, dank u wel.
[0:48:30] Mijn vraag zat eigenlijk ook op de verantwoordelijkheid.
[0:48:34] Wie is aansprakelijk, zeg maar, bijvoorbeeld als er nu vrouwen in de problemen komen vanwege dit data-lack bijvoorbeeld.
[0:48:43] Want ik dacht zelf, als je mensen aansprakelijk stelt, dan nemen ze ook meer verantwoordelijkheid.
[0:48:52] Ik kijk even naar rechts.
[0:48:53] Mevrouw Jaurel.
[0:48:55] Ja, dat is een moeilijke vraag waar ik ook niet weet of ik één antwoord op heb.
[0:49:04] Als op dit moment mensen in problemen komen, dan kijk ik ook even naar een collega van BCKNK als het gaat om identiteitsvrouwen.
[0:49:13] daardoor de problemen zullen ontstaan in deze situatie.
[0:49:19] Zij kunnen dan in ieder geval via de autoriteit persoonsgegevens kijken of ze in ieder geval in aanmerking kunnen komen voor een schadevergoeding.
[0:49:32] Maar dat heeft natuurlijk helemaal niets met de aansprakelijkheid te maken.
[0:49:35] In principe is de verwerker
[0:49:37] van het gereven is zelf verantwoordelijk voor het juiste verwerken.
[0:49:43] Ik kijk even naar Lies.
[0:49:54] Niet in de algemene zin, dat is gewoon een hele ingewikkelde vraag.
[0:50:00] Tenminste, het is een ingewikkelde materie.
[0:50:07] Misschien kan ik even aanvullen.
[0:50:09] Het lijkt een beetje op wat mevrouw Slagtegelman vroeg, maar ik kom uit de pensioensector en de pensioenfonds is verantwoordelijk voor de data.
[0:50:17] De data wordt verwerkt door administrateurs, overal en nergens, maar de pensioenfondsbesturen houden dat uitbestedingsbeleid onwijs in de gaten.
[0:50:24] Zeker bij de kritieke uitbestedingspartners.
[0:50:27] Dus zo verwacht ik een soort boom, zeg maar, dat er iemand eindverantwoordelijk is.
[0:50:31] Ja, we willen een boom.
[0:50:31] En de vraag was, is dat in de zorg misschien nog niet geregeld dan?
[0:50:34] In principe is in de zorg, dus de zorgbestuurder van de zorgambieder is verantwoordelijk voor zijn data.
[0:50:47] Nou, wel of geen boom, dat...
[0:50:49] We beginnen bijna op tuinierentijd.
[0:50:54] We doen zo nog een ronde, dus vaste mogelijkheid.
[0:50:56] Mevrouw Dobber, ik geef u het woord op mijn vraagstel.
[0:51:00] Ja, dank u wel.
[0:51:02] En ook dank u wel voor de toelichting.
[0:51:03] Dat is heel fijn, want het is nogal technische materie.
[0:51:06] Ik heb ook allerlei nieuwe afkortingen geleerd, dus wij hebben daar ook niet elke dag mee te maken hier.
[0:51:10] Dus misschien is dat ook wel het probleem.
[0:51:12] Er zijn veel vragen bij vrouwen, vooral vrouwen, maar ook natuurlijk bij ons als Kamerleden.
[0:51:20] Zijn onze gegevens nu nog wel veilig?
[0:51:22] En in uw presentatie had u het ook over vertrouwen.
[0:51:25] en dat het ook natuurlijk belangrijk is in de hele boom, laat ik het maar zo zeggen.
[0:51:32] Mijn vraag is, voldoet het wettelijk kader wat er nu is?
[0:51:40] En is de naleving van dat wettelijk kader niet te ingewikkeld?
[0:51:45] Want dan voldoet het ook niet.
[0:51:47] Als zorginstellingen of bedrijven zich niet kunnen houden aan dat wettelijk kader omdat het te ingewikkeld is, dan voldoet het ook niet.
[0:51:54] Dus ik ben heel benieuwd naar uw inschatting daarop.
[0:52:00] Wij zijn van mening dat het wettelijke kader voldoet, dat dat op dit moment ook is.
[0:52:05] Maar dat het dus inderdaad schort op dit moment aan de naleving en implementatie.
[0:52:09] En dat we eigenlijk dus, wat ik eigenlijk het voorbeeld gaf, we zien dat daar het zorgveld wel wat in geholpen moet worden.
[0:52:18] Omdat het zorgveld is divers.
[0:52:21] En je ziet dus dat daar ook gewoon de expertise ook... ...bij alle zorgaanbieders op dezelfde manier aanwezig is... ...en ook de mogelijkheid is om tot die expertise te komen.
[0:52:35] Dus wij zijn wel van mening dat ze daar hulp bij moeten hebben... ...en dat proberen we dus door middel van Z-cert... ...en een aantal programma's, in ieder geval vanuit VWS, te stimuleren.
[0:52:46] En ook door met de IGJ, zeg maar, ook te kijken in hoeverre we dus de naleving...
[0:52:51] sectorgewijs kunnen oppakken en kunnen kijken hoe dan de verbeterplannen daarvoor ze daarin geholpen kunnen worden, zoals we bij de ziekenhuizen hebben gedaan.
[0:53:01] Het is daar niet van mening dat er nog meer wettelijk kader op dit moment aan zou moeten komen.
[0:53:09] Ja, zou ik daar ook mogen aanvullen, want het is inderdaad natuurlijk een technisch domein met veel afkortingen en begrippen en dat soort zaken.
[0:53:18] En dat is ook wel een beetje het probleem, met name bestuurlijk is het toch heel erg wennen aan hoe dit werkt.
[0:53:25] Dus waar je met een fysieke deur iemand ervoor zet en er komt iemand binnen, kan met een digitale deur, kan iemand vanuit verweggistan, om het zo maar te noemen, opeens binnenkomen.
[0:53:37] Het is onzichtbaar en opeens heb je een probleem.
[0:53:41] En dat vergt ook aan de kant van de bestuurder, dus degene die verantwoordelijk is binnen een organisatie uiteindelijk, om dit goed in te regelen.
[0:53:52] Dat gaat in de cyberbeveiligingswet die voor ligt in de Kamer.
[0:53:56] Er wordt ook echt wel aandacht aangegeven.
[0:53:59] Zo'n bestuurder moet verplicht een opleiding gaan doen, zodat hij snapt hoe het digitale domein in elkaar zit.
[0:54:07] Zodat hij het gesprek met zijn CISO aan kan gaan.
[0:54:10] Tegelijkertijd moet de CISO natuurlijk ook die bestuurlijke taal kunnen spreken.
[0:54:14] om ervoor te zorgen dat investeringen en aandacht ook hiernaartoe gaan.
[0:54:20] En de boeken die over het digitale domein worden geschreven zeggen vaak van, maar je ziet het niet.
[0:54:28] Er is van alles aan de hand, maar je ziet het niet.
[0:54:30] En dat is ook echt wel het geval.
[0:54:33] Maar ook voor een bestuurder geldt, wat je niet ziet kan zeker een risico zijn.
[0:54:41] Ik zie u kijken.
[0:54:42] Heeft u een korte vervolgvraag?
[0:54:44] Mijn vraag is ook, is het niet dan gewoon te ingewikkeld voor bijvoorbeeld zorgbestuurders die hier niet elke dag mee bezig zijn?
[0:54:51] En in die zin voldoet het dan wel als het te ingewikkeld is?
[0:54:54] Of is dat niet zo?
[0:54:58] Nou, als ik iets ingewikkeld vind, dan ga ik naar een expert.
[0:55:04] En dat zou eigenlijk zo'n bestuurder ook moeten doen.
[0:55:07] Dus die heeft de gelegenheid om
[0:55:09] te zeggen, oké, die digitalisering wordt veel belangrijker voor mij of voor mijn organisatie of voor mijn afnemers.
[0:55:18] Dus ik moet het organiseren dat het ook veilig is, net als dat je een beveiliger organiseert en de receptie bij de toegang organiseert.
[0:55:26] Dus daar zit ook wel, zeker ook bij de Rijksoverheid, hebben we daar in het stelsel gezegd, nou, ieder departement moet een CISO hebben, een Chief Information Security Officer,
[0:55:37] die gewoon regie voert over dat beveiligingsdomein.
[0:55:42] Die dus zowel die techniek snapt, die snapt hoe het werkt in de markt, maar ook in staat is om dat bestuurlijk te maken.
[0:55:50] Dus ja, waar het ingewikkeld is... Ik probeer wat voorbeelden te bedenken.
[0:56:00] In de chemische industrie wordt dagelijks met hele gevaarlijke stoffen gewerkt.
[0:56:04] Ja, en daar wordt ook niet van een directeur verwacht of die weet dat... Nou, dan begeef ik me op glad ijs, want ik ben geen chemicus.
[0:56:12] Dat je het ene stofje bij het andere, dat dat een explosie veroorzaakt.
[0:56:16] En daar heeft u wel mensen voor georganiseerd.
[0:56:20] Dank u wel.
[0:56:21] Nog een aanvulling?
[0:56:24] Als ik dat verder mag aanvullen, op de Nent 7510, die sector specifiek voor de zorg, die is voor het begin van dit jaar is die vernieuwd.
[0:56:31] om beeld te geven, dat is niet een norm die we vanuit een hoge toren in Den Haag... Nee, die komt echt tot stand met en vanuit de zorg.
[0:56:39] Dus de CISO's van ziekenhuizen en van andere gaan bij elkaar zitten kijken van buiten naar binnen van waar moet die norm geactualiseerd worden.
[0:56:49] Echt dus vanuit het praktijkdenken is geïntegreerd in die norm.
[0:56:52] In het begin van het jaar is die geactualiseerd.
[0:56:54] Dus daarmee ook een zekere terughoudendheid om andermaal zo'n proces te starten, maar wel...
[0:56:59] vanuit het volle bewustzijn dat, kijk eens, we hebben een nieuwe norm, 300 pagina's, veel succes.
[0:57:05] Gaat hem niet worden.
[0:57:06] Dus vandaar dat we ook direct eigenlijk in dat hele proces van vernieuwing hebben gezegd, we hebben een methode nodig om die norm, waar veel techniek in zit, ook om die toegankelijk te maken.
[0:57:19] Dus we hebben om die reden
[0:57:21] handleidingen, om klein te beginnen, om die zorgbestuurders tegemoet te komen in die grote opgaven waar ze voor staan.
[0:57:31] Die zijn kosteloos ter beschikking voor alle zorgpartijen.
[0:57:35] Dus we proberen op allerlei manieren, dus aan de ene kant die norm wel, want de buitenwereld vraagt om een scherpe norm, en tegelijkertijd om aan die norm te bewegen, om dat proces te vergemakkelijken.
[0:57:48] Dank u wel.
[0:57:49] Tweede vraag ronde naar mevrouw de Kort.
[0:57:51] Dank u wel, voorzitter.
[0:57:54] Ik blijf hangen op de implementatie.
[0:57:58] Het lab had 900.000 data van vrouwen.
[0:58:05] Er zijn 60.000 zorgaanbieders, labs en ziekenhuizen.
[0:58:10] Ze voldoen lang niet allemaal aan de NEN7510.
[0:58:16] Als we kijken naar de implementatie, kunnen we dan misschien zeggen van ja, er zijn ook hele kleine zorgorganisaties met maar enkele patiënten.
[0:58:26] We zullen ons vooral moeten richten op die grote databestanden met zoveel patiënten.
[0:58:30] Dat is het meest interessante voor de hackers.
[0:58:34] Kunnen we misschien zeggen van ja, over een jaar
[0:58:37] Zijn in ieder geval de zorgorganisaties in het laboratorium met honderd of duizend NEN 7510 gecertificeerd?
[0:58:48] Hoe kunnen we dit aanpakken en hoe kunnen we hier stappen in zetten?
[0:58:57] Ik snap ook niet eens hoe een deurslot werkt.
[0:59:04] Maar we moeten gewoon zorgen dat het er is.
[0:59:06] Dus het slot op de data moet er ook gewoon zijn.
[0:59:10] Dus kunt u ons helpen?
[0:59:11] En waar kunnen we naartoe streven binnen een jaar?
[0:59:18] Ik zal mij tot onze feitelijke inschattingen proberen te beperken.
[0:59:24] Wat we zien is eigenlijk een mix van maatregelen waar we het over hebben.
[0:59:32] Technische maatregelen, waarvan we laten zien, er is al heel veel.
[0:59:36] Het gaat om het creëren van bewustzijn van de werkvloer tot aan de bestuurskamer.
[0:59:41] Eigenlijk in alle gesprekken die wij voeren met zorgbestuurders, met koepels, het is niet alleen ambtelijk, maar onze politieke bazen identiteit al, het vraagstuk van cyberweerbaarheid, standaard op de agenda.
[0:59:54] Dus het werken aan bewustzijn op alle niveaus.
[0:59:58] verlagen van die eventuele drempels om aan normen te voorzien.
[1:00:03] En uiteindelijk het toezicht is een sluitsteen, een sluitsteen op dat construct.
[1:00:09] Dus we moeten met elkaar die beweging maken, versnellen eigenlijk, naar dat bewustzijn en naar die beweging.
[1:00:17] Ik wil een kleine nuance aanbrengen in wat u vraagt.
[1:00:25] In de 75-10 is er geen certificeringsplicht.
[1:00:32] De beschrijving is, je moet aantoonbaar op dat niveau zitten.
[1:00:37] En dat is een bewuste keuze geweest, want het certificeren is ook weer een bewerkelijk kostbaar proces.
[1:00:45] En ook vanuit de zorgpraktijk is geconstateerd, ja, maar we kunnen eigenlijk die energie en die middelen veel beter besteden in die voortdurende cyclus
[1:00:54] zijn we nog aan de voorhoede van onze preventie en mogelijke incidentrespons, dan dat we die effort gaan steken in zware certificeringsprocessen.
[1:01:08] Want zelfs met een certificering uiteindelijk... Ja, dat is een momentopname.
[1:01:14] Waar we echt naartoe moeten, is veel meer het cyclicieproces, het voortdurend, dus in de grootchemie,
[1:01:24] Het is voor mij ook wel een voorbeeld, op het moment dat je veiligheidsdenken is, daar doordringt in alles wat je doet.
[1:01:31] Als je met een collega een trap oploopt en je houdt een reling niet vast in een groot gemeente, dan krijg je strafpunten.
[1:01:37] Zo klein, maar zo bewust, zo veilig bewust, zou ik de zorg ook heel graag gunnen.
[1:01:43] En dat kost tijd, dat is een gedragsverandering, dat is een effort.
[1:01:48] En om daar een termijn op te plakken, daar blijf ik nog even bij weg.
[1:01:56] Nog niet helemaal helder, want ik zat toch een beetje van... Moeten we in ieder geval niet die hele grote organisaties met hele grote databestanden echt zo snel mogelijk gecertificeerd hebben?
[1:02:08] Dus ja, of je nou 900.000 hebt of je hebt er 100, zeg maar.
[1:02:15] Ja, ik denk, we moeten toch ergens in ieder geval onze focus opleggen.
[1:02:21] Je kan niet die 60.000 meteen allemaal...
[1:02:25] aan de eisen laten voldoen.
[1:02:26] Maar ja, liefst wel natuurlijk.
[1:02:28] Ja, en dat is natuurlijk een dilemma.
[1:02:31] Tegelijkertijd zien we ook dat het toezicht vanuit de IGJ is risicogestuurd.
[1:02:36] Die kijken ook inderdaad van waar, als, mocht er zich incidenten voordoen, waar is de kans en vooral de impact uiteindelijk groot versus wat kleiner.
[1:02:51] Het is een proces van prioritering ook daarmee.
[1:02:56] We hadden het net over de security richting aan de systeemkant.
[1:03:04] We hebben ook die gebruikerskant, die end-user.
[1:03:08] Daar gaat mijn vraag over.
[1:03:09] Maar ik heb die vraag in mijn hoofd al een paar keer gesteld en telkens lijkt het lichtpolitiek te worden.
[1:03:15] Dus als het zo is, moet je het corrigeren, voorzitter.
[1:03:17] Dat is echt niet de intentie.
[1:03:19] Ik noem dat data veiligheid awareness, dus dat medewerkers weet hebben van hoe die veiligheid werkt en welk gedrag daarbij hoort.
[1:03:34] Ik vraag me af aan hoeverre dat nu een eis is dat je als werknemer of als werkgever aanbiedt, maar ook de eis hebt dat iemand daaraan voldoet en dat je dat toetst.
[1:03:48] En of het misschien ook niet, dat zou iets voor OCW zijn wellicht, of dat het ook een standaard onderdeel wordt van curricula.
[1:03:56] Nou, dat was ik aan het denken.
[1:03:57] Volgens mij zou dat ook een oplossing kunnen zijn.
[1:03:59] Ik vroeg me af of we daaraan bezig zijn en of dat überhaupt wel zou helpen.
[1:04:06] Mooie vraag en toevallig heb ik zelf een paar maanden geleden een praktijkvoorbeeld daarvan gezien.
[1:04:11] Ook in eerste instantie zie je, dit is ook weer aan de zorgambieden als werkgever zelf.
[1:04:16] En je ziet dus dat zorgambieden die hier dus mee bezig zijn, die doen dit.
[1:04:21] Een voorbeeldje, Parnassia hier in Den Haag.
[1:04:28] Toevallig, mijn dochter liep daar stage en ze krijgt als te ondertekenen
[1:04:34] de informatieveiligheidsvoorschriften die er worden gehanteerd bij Parnassia.
[1:04:38] En daar moet ze kennis van nemen en moet ze ook inderdaad voordat ze daar zijn.
[1:04:43] Dus daar zijn ze dus bewust bezig met het feit dat iedereen die binnen de organisatie komt bewust bezig is met dat je bezig bent met gegevens van personen, van patiënten en dat je daar je klep over houdt en daar ook geen andere vervelende dingen mee doet.
[1:05:03] Dus het is aan iedere zorganbieder zelf en de grote zorganbieders zullen daar mogelijk dus meer op dit moment bewust mee bezig zijn dan anderen.
[1:05:12] Het is volgens mij niet een eis die direct vanuit de 75-10 wordt neergelegd, behalve wel dat dus weer die bewustwording voor informatieveilig gedrag ook onderdeel zou moeten zijn van daadwerkelijk de bedrijfsuitvoering die je hebt.
[1:05:31] Ja, prima.
[1:05:32] En dat is mooi, maar dat is dan weten dat het er is en misschien ook weten hoe het moet.
[1:05:41] Maar daar hoort volgens mij ook bij dat je in ieder geval oefent of hebt laten zien in een omgeving dat je ook weet hoe het moet, behalve dat je weet dat het er is.
[1:05:51] En het voorbeeld wat u gaf is volgens mij vooral weten dat het er is en dat je een handtekening zet.
[1:05:57] Als je een nieuwe licentie op je software hebt, dat je door moet scrollen tot het einde en dan oké en dan kun je verder.
[1:06:01] Dus het zou echt in dat niveau verder moeten naar niet weten hoe, maar ook weten hoe je het moet toepassen.
[1:06:10] Dat is ook zo en het klopt ook dat het opleiden van je personeel in veilig gebruik is onderdeel van die normen eigenlijk allemaal.
[1:06:21] Tegelijkertijd, zeker met een grote organisatie en met heel divers personeelsbestand, weet je dat het ook weleens misgaat.
[1:06:31] Dat is in allerlei sectoren, dus je moet tegelijkertijd ook, en daar zorgt die NEN 7510 ook wel voor, dat je goed locht van wie toegang tot welke gegevens heeft en daar ook op acteert als dat misgaat.
[1:06:44] Dus het is aan de ene kant gebruikerseducatie en oefenen en trainen en aan de andere kant ook logging en handhaven.
[1:06:54] Mevrouw Slachtingerman.
[1:06:56] Ja, ik heb een vraag die daar een beetje op doorgaat, want het C-CERT is een programma voor het stimuleren, of helpt met stimuleren, maar die implementatielijnen, hoe lopen die nu?
[1:07:14] Want de ziekenhuizen hadden voorrang.
[1:07:18] En ik zie daar inderdaad ook mogelijkheden, omdat we hier beroepsverenigingen... Daar zijn nog geen... Voor zover ik weet, en ik bij verschillende beroepsverenigingen betrokken ben, zie ik daar nog geen actieprogramma's op.
[1:07:36] Ik zie nog niet in tijdschriftenblaadjes...
[1:07:40] hier actieprogramma's en praktische e-learnings voor ontstaan... die ook generiek kunnen zijn voor de hele zorg.
[1:07:46] Dus komt er nog een generieke e-learning van VWS bijvoorbeeld... voor praktische dingen, voor mensen om de digitale deuren te sluiten?
[1:07:57] En als die er al is, hoe wordt die dan verder geïmplementeerd... dat die ook echt van macro mee zo naar micro komt?
[1:08:04] Want hij ligt niet op microniveau op dit moment.
[1:08:07] En bij onderwijs al wel beter.
[1:08:09] Ik zie studenten worden getraind, docenten worden getraind op sommige onderwijsinstellingen.
[1:08:13] Ik zie dat het bij onderwijsinstellingen beter loopt dan bij zorgverleningen.
[1:08:20] Wij hebben het EECP, niet Z-cert, maar het EECP doet voor ons het programma Informatie en Veilig Gedrag in de Zorg.
[1:08:33] Het feit dat dat niet op microniveau, op medewerkerniveau, zeg maar, of zorgverlenerniveau bekend is, dat is denk ik wel iets waar meer aandacht voor moet zijn.
[1:08:46] Dus daarin... En dat is ook wel iets wat mijn collega net ook al zei.
[1:08:55] Wij zullen in ieder geval, daar zijn we al mee bezig, maar ook in de komende tijd, of eigenlijk gewoon constant,
[1:09:02] ook dit onderwerp gewoon meer op de tafels, ook met de beroepsverenigingen, met de koepels, onder de aandacht brengen.
[1:09:10] En trouwens onze bewindspersonen hebben ook toegezegd dat ze dat ook nu vanaf nu ook standaard gewoon meenemen, standaard op de agenda bij elk gesprek die ze hebben met zorgaanbieders of zorgkoepels of brancheverenigingen.
[1:09:24] Dus ik denk dat die implementatie inderdaad gewoon wel een setje kan gebruiken.
[1:09:30] Mevrouw Jozef.
[1:09:31] Ja, dank u wel.
[1:09:34] Maar ik zat de hele tijd met een vraag.
[1:09:37] Je hebt dat bevolkingsonderzoek, maar ik weet niet of jullie dat specifiek dan weten.
[1:09:41] Maar ik dacht gewoon, je hebt bevolkingsonderzoek, je hebt misschien een kantoortje, bijzondersprekend, daar komen de spullen binnen.
[1:09:47] En waarom zenden ze dan niet... En waarom zenden ze en de BSN en de persoonsgevens en alles naar het lab om dat te onderzoeken?
[1:09:56] Waarom niet alleen maar...
[1:09:58] Nou ja, bijvoorbeeld een koppeltabel, zoals jullie ook aangeven.
[1:10:03] En houden ze dan meer de data gescheiden, zeg maar?
[1:10:06] Ik snap niet wat daar precies gebeurd is of dat daar misschien meer gebruik van gemaakt kan worden in de zorg.
[1:10:13] En dit is dus een van de aspecten die op dit moment wordt onderzocht.
[1:10:16] Dus wat is daarin afgesproken en waarom?
[1:10:21] En dus daar wil ik echt even op afwachten totdat we dat weten, zeg maar.
[1:10:28] Maar ik denk wel te lezen, misschien ook in jullie... Hoe heet dat?
[1:10:34] De presentatie die jullie hebben gemaakt, dat het wel... Nou ja, juist een aanbeveling is, zeg maar, dat het BSN wel gebruikt wordt, maar daardoor hoef je niet alles bij elkaar te houden.
[1:10:45] Nee, in de zorg hebben we bewust gekozen om gebruik te maken van BSN, om te zorgen dat dat unieke nummer ook leidt tot patiëntveiligheid, dus daarmee woordtussen.
[1:10:56] En zoals mijn collega al zei, BSN an si gift gewoon een inhoudsloos nummer.
[1:11:01] In combinatie met andere gegevens zou die risico's kunnen opleveren.
[1:11:07] En daarom is dit dus ook onderdeel van het onderzoek.
[1:11:11] Waarom zijn die andere gegevens meegeleverd?
[1:11:14] Of zijn die andere gegevens meegeleverd?
[1:11:16] En waarom zijn die andere gegevens geleverd?
[1:11:18] En was dat noodzakelijk voor andere mogelijkheden?
[1:11:21] Dus op welke lering lessen kunnen we hieruit trekken?
[1:11:26] Mevrouw Dobber.
[1:11:28] Ja, dank u wel.
[1:11:28] Ik ben wel benieuwd wat uw inschatting is als we niet alleen de controle en handhaving publiek organiseren, maar ook de uitvoering.
[1:11:39] Dus in hoeverre vormt het uitbesteden van zorgtaken, zoals bevolkingsonderzoeken, aan commerciële externe partijen een risico?
[1:11:50] Maakt het het complexer, de handhaving complexer?
[1:11:54] Het zijn natuurlijk allemaal verschillende soorten organisaties die dat dan gaan doen.
[1:11:58] En in hoeverre vormt dat een risico voor de dataveiligheid?
[1:12:02] Is daar naar gekeken?
[1:12:05] Ook in dit specifieke geval is dit ook onderdeel van het onderzoek.
[1:12:12] De zorg hebben we privaat georganiseerd en dat betekent eigenlijk dus dat daarmee we ook stellen dat partijen die
[1:12:22] zorg leveren of ondersteunend zijn aan die zorglevering, wat je bijvoorbeeld kan zien bij een test bij een laboratoria, dat we zeggen, ja, die moet gewoon voldoen.
[1:12:32] Of dat nou een private partij is of een publieke partij, dezelfde regels gelden daarin en dan dezelfde regels moeten ze voldoen.
[1:12:42] Dus dat is eigenlijk, maar op dit moment is het dus ook als onderzoek inderdaad van
[1:12:48] zijn dus ook de kaders vooraf ook gewoon goed meegegeven waar aan moet worden voldaan.
[1:12:54] Dat is dan weer die boom die we hebben.
[1:13:00] Er is nog ruimte voor wat vragen.
[1:13:06] Nou, volgens mij zijn er heel veel vragen gesteld, dus ik dacht van, ik behoud me maar even bij het voorzitter.
[1:13:14] Er is nog ruimte voor wat vragen.
[1:13:16] Of u, als u nu alle vier de vinger opsteekt, dan zou ik een korte vraag... Zijn er nog dingen waarvan u zegt... Daar wil ik in ieder geval nog een vraag over stellen.
[1:13:25] Mevrouw Jozef in ieder geval, dan gaan we daar gewoon beginnen.
[1:13:27] En dan mevrouw Dobbe en dan kijken we even hoever we komen.
[1:13:31] Ja, dit is ook een beetje een brainstormvraag misschien, maar ik dacht, kunnen we niet in plaats van de BSN gewoon een uniek zorgnummer maken?
[1:13:39] Want ik zie hier van de BSN kan je niet zomaar vervangen, dat snap ik ook, dat zit ongeveer overal in.
[1:13:44] Ja, maar je zou eigenlijk misschien... Ja, die vraag is natuurlijk ook opgekomen, misschien vanwege de datalek.
[1:13:49] Je zou misschien wel willen dat je nummer vervangen zou kunnen worden nu, als je data gelekt is, zeg maar.
[1:13:58] Nee, maar misschien dat er...
[1:13:59] Een andere mogelijkheid is gewoon voor de toekomst dat we een uniek zorgnummer hebben wat je wel kan vervangen.
[1:14:05] Ik kijk even inderdaad naar rechts.
[1:14:07] Ik merk er wel bij op dat inderdaad al een opmerking over patiëntveiligheid is geweest.
[1:14:12] Daar zit hij.
[1:14:17] Het grootste risico is met BSN, in combinatie met meerdere gegevens, is dat er dus identiteitsproblematiek, identiteitsfraude, plaatsvindt.
[1:14:29] Als je een uniek zorgnummer zou toepassen en dat zou worden gelekt, om zo maar even te zeggen, dan zou daar niet zozeer de identiteitsfraude in zitten, omdat dan je het BSN niet meegeeft.
[1:14:46] Dus er is echt bewust gekozen in het kader van patiëntveiligheid om het BSN... en dat is ook een stukje dataminimalisatie die we daarbij ook toepassen.
[1:14:57] Want als je dus extra unieke nummers in gaat doen, ga je dus weer extra data toevoegen.
[1:15:07] Mevrouw Tobbe?
[1:15:10] Ja, ik vroeg me gewoon af door dat datalek...
[1:15:15] Betekent dit nu dat we ook op andere plekken onveiliger zijn vanwege dat datalek wat nu is gebeurd?
[1:15:20] Of worden we juist veiliger van omdat er overal bewustwording ontstaat en mogelijkheden worden gedicht?
[1:15:28] En dan ben ik vooral geïnteresseerd in het antwoorden over de onveiligheid natuurlijk.
[1:15:35] Het risico van zo'n data-lek in het algemeen, waarbij deze gegevens zijn, wordt vooral gezien in de mogelijkheid waarop die informatie gebruikt kan worden om jou in de val te laten lopen van mensen die fraudeleuze mogelijkheden hebben, zoals je wordt opgebeld door.
[1:15:55] Ik verzin op de plek een kliniek, zoveel, en je hebt het bsn-nummer en de uitslag van het test.
[1:16:03] En als je verder wil gaan, dan moet je geld overmaken of zo.
[1:16:07] Dat maakt het natuurlijk makkelijker, want je als persoon denkt, oké, die gegevens kloppen.
[1:16:12] Dus dit is heel waarschijnlijk dat dit gebeurt.
[1:16:17] Dus dat is heel direct met zo'n data-lack het geval.
[1:16:24] Tegelijkertijd is, en ik wil vooral niet tekort doen aan dit datalek, maar datalekken ontstaan op een heel boel plekken.
[1:16:34] We zijn er al een beetje gewend ook wel om nog even te verifiëren van wie hier aanbelt.
[1:16:44] Ik klop dat wel, ook deze man aan de deur of wat dan ook.
[1:16:48] Het vraagt wel meer alertheid van de betrokkenen, omdat dit misbruikt kan worden.
[1:16:58] Dus de tweede vraag van gaat dit meer bewustzijn bij organisaties opleveren, dat je daar veel beter mee om moet gaan, dat is altijd maar een korte termijn bewustwording.
[1:17:11] En ik denk dat strakker toezicht een andere mogelijke oplossing is.
[1:17:21] Het is een heel goed antwoord, maar het was niet hoe ik mijn vraag had bedoeld.
[1:17:26] Ik bedoelde meer het gat wat hier nu is ontgevonden door hackers en waar gebruik van is gemaakt.
[1:17:33] Hebben hackers nu ontdekt van oh, dat is een interessant gat en dat ga ik nu overal zoeken?
[1:17:40] In het onderzoek moet dat natuurlijk nog blijken van welk gat is dat geweest.
[1:17:46] Dus hoe hebben ze toegang weten te krijgen, dus daar kan ik niet op ingaan.
[1:17:50] Ik weet het ook niet, maar laten we zo zeggen, op het moment dat er zo'n kwetsbaarheid is, wordt er razendsnel misbruik van gemaakt.
[1:18:00] Het kan zijn dat hier een kwetsbaarheid was, ik weet ook niet of het een technische kwetsbaarheid is of op een andere manier, dat die al veel langer bestond, maar dat die nu wordt gevonden.
[1:18:12] Het kan zijn dat een kwetsbaarheid die nog niet ontdekt is, wel al misbruikt wordt.
[1:18:16] Dat heet ook zogenaamde
[1:18:18] Ja, dan wordt het weer technisch.
[1:18:20] Zero-day kwetsbaarheden, die zijn nog niet ontdekt door de beveiligingsindustrie, maar wel al misbruikt door criminelen.
[1:18:29] Ja, dus je weet niet welke kwetsbaarheid gebruikt wordt.
[1:18:32] Maar het is wel zaken om die kennis en daar werkt ZZ bijvoorbeeld, die is daar een spin in het web, om als dit soort kennis beschikbaar komt vanuit een van de zorgorganisaties, om ervoor te zorgen dat al die zorgorganisaties beschermd worden.
[1:18:50] Toch even toevoegend, inderdaad, Z-Cert heeft wel op de vermoedelijke kwetsbaarheid, want dan moet ik hem even uitspreken, de andere laboratoria van bevoorkingsonderzoeken gecontroleerd op ons verzoek.
[1:19:04] En heeft ook aan zijn leden, want op dit moment heeft Z-Cert leden, dus dat moet je denken, de grote zorgaanbieders, dus de grote ziekenhuizen, ook in kennis gesteld van deze vermoedelijke kwetsbaarheid, zodat die zelf ook konden kijken.
[1:19:20] Dus dat hebben we wel gedaan.
[1:19:23] Dank u wel.
[1:19:24] Ik begreep mevrouw Kort ook nog vragen.
[1:19:27] Nou ja, ik zat toch nog even te denken, want er wordt nu onderzoek gedaan.
[1:19:30] Het werd me niet helemaal duidelijk, wie gaat het nu definitief doen?
[1:19:36] Is dat een onafhankelijk iemand?
[1:19:39] En wanneer kunnen we daar resultaat van verwachten?
[1:19:43] Of wat gaan ze ook precies doen?
[1:19:45] Dat soort dingen wil ik graag weten.
[1:19:47] Het zijn een aantal onderzoeken.
[1:19:50] Het OM heeft aangekondigd om onderzoek te doen.
[1:19:52] De AP heeft aangekondigd om onderzoek te doen.
[1:19:55] Het IGJ heeft aangekondigd om onderzoek te doen.
[1:19:57] Bevolksonderzoek Nederland laat ook onderzoek doen.
[1:20:01] Er zijn op dit moment in afrondende gesprekken met het onderzoeksbureau daarvoor en het laboratorium laat zelf ook onderzoek doen.
[1:20:11] Wanneer de termijn is, wanneer die onderzoeken allemaal opgeleverd zijn, durf ik op dit moment niet te stellen.
[1:20:18] Het is wel zo dat wij aangegeven hebben dat we daarin toch wel graag willen dat er wat haast wordt gemaakt, zeker die hoge prioriteit wordt gegeven.
[1:20:28] De Tweede Kamer wil altijd graag morgen.
[1:20:32] Dat weet ik.
[1:20:34] Ik denk dat de vrouwen het zelf ook willen weten.
[1:20:36] Wat is hier gebeurd en wanneer zijn we weer echt veilig?
[1:20:41] in dat soort databestanden.
[1:20:42] Maar wat is nou een redelijk termijn?
[1:20:45] Is dat nou drie maanden?
[1:20:48] Zou dat kunnen?
[1:20:51] Ik durf het echt niet te zeggen.
[1:20:53] Dat begrijp ik.
[1:20:55] Dank u wel.
[1:20:55] Heeft u nog vragen?
[1:20:58] Tenzij er nog hele ernstige nabranders zijn, denk ik dat... Ja, mevrouw Jozef.
[1:21:04] Ik vroeg me af in welke wet die datum minimalisatie gevraagd wordt.
[1:21:11] In de AVG.
[1:21:14] Ja.
[1:21:14] Dat is duidelijk en die komen we vaak tegen.
[1:21:18] Op veel plekken.
[1:21:19] Dank u wel, nogmaals, ook voor de snelheid waarmee u in staat was om hier met vier mensen naartoe te komen en ons te informeren.
[1:21:29] over de dataveiligheid.
[1:21:31] Nogmaals, er is binnenkort een plenaire debat hierover.
[1:21:35] We weten nog niet precies wanneer, maar voor de mensen die thuis meekijken, u kunt dat altijd blijven volgen op www.tweedekamer.nl.
[1:21:44] Dat is misschien goed om nog even te noemen.
[1:21:47] Vanmiddag een twee minuten debat.
[1:21:50] Dat zal niet specifiek gaan over dit data-lack.
[1:21:53] Maar dat was wel een mooi punt even in de week om toch te kijken of we nog een aantal antwoorden konden krijgen.
[1:21:59] Ik dank mijn collega's voor het stellen van de vragen.
[1:22:02] Ik dank u zeer hartelijk voor uw komst en de uitleg.
[1:22:07] En daarmee sluiten we deze technische briefing af.