Testvergadering TK-commissie 2 - markeeropstelling

[0:02:22] Ik hang even op, ja?

[0:02:49] Goedemorgen bij de vaste commissie voor Financiën, waar we vandaag het commissiedebat hebben over de bestrijding, witwassen en terrorismefinanciering.

[0:03:04] Welkom ook aan alle luisteraars, welkom aan de minister van Financiën.

[0:03:09] En vandaag zijn we met drie Kamerleden, de heer De Vree van de PVV,

[0:03:14] De heer Ergin van Denk en mevrouw Aukje de Vries van de VVD die straks vervangen zal worden door mevrouw van Eyck.

[0:03:23] Omdat de agenda's deze dagen een beetje bijzonder zijn en dat is heel fijn.

[0:03:29] We hebben een indicatieve spreektijd per fractie van vier minuten.

[0:03:34] En ik denk dat ik dan de heer de Vree als eerste nu het woord mag geven.

[0:03:39] Gaat uw gang.

[0:03:42] Ja, dank voorzitter.

[0:03:44] Het is terecht dat er wordt gewerkt aan een nieuwe aanpak om witwassen tegen te gaan.

[0:03:49] Het streng optreden tegen de kortschietende anti-witwas maatregelen heeft geleid tot een overreactie.

[0:03:55] Daardoor waren poortwachters in sommige gevallen doorgeslagen.

[0:04:03] Daarbij speelt mee dat poortwachters vaak bang zijn om te weinig informatie bij klanten op te vragen.

[0:04:09] Het is daarom van belang dat ze precies weten welke gegevens zij van cliënten moeten opvragen om mogelijke malefiede praktijken op te sporen.

[0:04:18] In zijn brief merkt de minister terecht op dat poortwachters de regelgeving soms strekter interpreteren dan absoluut noodzakelijk, waardoor zij meer informatie verzamelen dan ook noodzakelijk is.

[0:04:30] Wat me dan verbaast is dat de minister hier geen oplossingen geeft buiten dat de Nederlandse Vereniging van Banken standaarden heeft opgesteld om banken te ondersteunen

[0:04:39] bij hun klantonderzoek en dat deze standaarden worden geëvalueerd.

[0:04:44] Voorspelbaar bekend zijn er in sectoren zoals zekeraars en notarissen nog geen of slechts beperkte afspraken en richtlijnen voor poortwachters.

[0:04:56] Kan de minister aangeven in welke sectoren deze standaarden wel of niet aanwezig zijn?

[0:05:01] En welke invloed heeft de minister op het vaststellen van deze standaarden aangezien het hier gaat om het uitvoeren van beleid?

[0:05:08] Is het niet de verantwoordelijkheid van de overheid om het pleit zo uit te leggen dat voor poortwachters duidelijk is wat er precies van hen wordt verwacht, vraag ik de minister.

[0:05:20] Op welke termijn kunnen we de evaluatie van de NVB verwachten?

[0:05:23] En waarom noemt de minister dit als oplossing in zijn brief over de nieuwe anti-witwas aanpak?

[0:05:32] Kortom, wat gaat het kabinet specifiek doen om te zorgen dat poortwachters risicogebaseerd te werk kunnen gaan?

[0:05:39] Vergeten we niet het belangrijkste in de strijd tegen witwassen, voorzitter.

[0:05:42] Waarom worden kappenzakers, warmattenten en wat eentjes winkels, want die horen er kennelijk tegenwoordig ook bij, zonder klanten niet grondiger gecontroleerd?

[0:05:52] De minister stelt dat het kabinet de nieuwe Europese anti-witwassenregels zo lastenluw mogelijk zal implementeren.

[0:06:00] Aangezien de minister al eerder een nationale kop op deze regel heeft ingevoerd,

[0:06:04] Vraag ik de minister om in zijn plannen duidelijk aan te geven welke onderdelen als zodanig kunnen worden aangemerkt.

[0:06:12] Een vrij logische vraag.

[0:06:14] Wel nog, hoe wordt de proportionaliteit van lasten voor gewone burgers en bedrijven gewaarborgd en gemeten?

[0:06:22] Wanneer wordt eindelijk duidelijkheid verschafd over de definitie van verdachte transacties?

[0:06:27] En hoe worden burgers hiertegen beter beschermd?

[0:06:32] Wat doet het kabinet concreet om de privacy van ubo's te waarborgen?

[0:06:37] En dan in het licht van toenemende registraties.

[0:06:40] Waarom wordt bijvoorbeeld de vereniging van vrije journalisten niet toegelaten?

[0:06:47] Wordt onderscheid gemaakt.

[0:06:49] En om welke maatschappelijke organisaties gaat het?

[0:06:53] Het is wel goed om dat ook af te pakken.

[0:06:55] En dat, voorzitter, was mijn bijdrage in eerste termijn.

[0:07:00] Ja, hartstikke dank.

[0:07:03] Ook de heer Itzinga van Nieuw Sociaal Contract is aangesloten, maar ik geef eerst het woord aan de heer Erking van Dijk.

[0:07:10] Ja, dankjewel voorzitter.

[0:07:12] De WDFT is een wet bedoeld om criminelen en terroristen buiten ons financiële systeem te houden.

[0:07:17] Dat is een goede bedoeling, volgens mij staan we daar allemaal achter, maar in de praktijk gaat het vaak mis.

[0:07:22] We weten niet hoeveel criminelen deze wet heeft aangepakt.

[0:07:25] We weten wel wat deze wet betekent als je een migratieachtergrond hebt en doneert

[0:07:29] aan een islamitische goede doel.

[0:07:32] Je krijgt wantrouwen, een vastlijst aan vragen en blokkades op je rekening daarvoor terug.

[0:07:39] Bijvoorbeeld bij Mohammed die moest uitleggen waarom hij honderd euro naar zijn moeder in Marokko stuurde of aan Aisha die na een donatie van vijftig euro aan voedselpakketten

[0:07:50] niet meer bij haar rekening komt omdat hij geblokkeerd werd.

[0:07:54] Voorzitter, dit zijn geen criminelen.

[0:07:56] Dit zijn gewone Nederlanders.

[0:07:57] En toch krijgen ze de behandeling van de bank alsof ze verdacht zijn en alsof ze crimineel zijn.

[0:08:03] En in het vorige debat, voorzitter, begin dit jaar was dat, hebben we samen met de minister

[0:08:09] conclusie getrokken.

[0:08:10] Dit moet anders, dit kan niet.

[0:08:12] De minister zei ik kom in april met een brief met concrete maatregelen.

[0:08:15] Nou die brief die kwam veel later en het is inmiddels september.

[0:08:19] Voorzitter wat mij verbaast is dat de minister helemaal niets zegt over losse discriminatie in zijn brief.

[0:08:26] Ook in zijn implementatiewet zie je dat er nauwelijks iets staat om

[0:08:31] de WWFT te repareren, maar tegelijkertijd ook te erkennen dat bepaalde groepen er specifiek uit worden gehaald en gewoon enorm veel last hebben van deze wet.

[0:08:43] En dat brengt me eigenlijk bij de vraag hoe ik dit moet duiden.

[0:08:46] Is het nou een afwachtende houding van de minister of moet ik het zien als de minister hier in het debat eigenlijk de boel probeert te pappen en nat te houden en eigenlijk als het gaat om maatregelen daar verder niks tegen doet.

[0:08:59] Wat gaat deze minister doen?

[0:09:01] Wacht hij op een wonder of gaat hij nog maatregelen nemen?

[0:09:05] Ja, na die zin komt er een interruptie van de PVV, de heer De Vrij.

[0:09:10] Dank voorzitter.

[0:09:13] Collega Ergin, is de discriminatie, want zo noemt u het, beperkt tot moslims?

[0:09:16] Of zijn er ook andere groepen die door de WWFT worden gediscrimineerd?

[0:09:26] De grootste groep en de groep waarvoor dit onvermijdelijk is, dat zijn mensen met een migratieachtergrond en mensen die moslim zijn.

[0:09:35] Je kan je achternaam heel moeilijk veranderen en als je een kapperszaak hebt

[0:09:39] Met al die vragen ben je beu, dan kan je echt wel als ondernemer, dat is nog steeds heel moeilijk, kan je overwegen om iets anders te doen.

[0:09:45] Maar je identiteit, je naam, je achternaam, ja, die verander je niet zomaar.

[0:09:50] Dus de groep die het meest hier last van heeft, is overduidelijk, het zijn overduidelijk mensen met een migratieachtergrond.

[0:09:57] Mensen die doneren aan de moskee, aan een islamitisch goede doel.

[0:10:01] Daar durf ik echt wel voor mijn rekening te nemen.

[0:10:04] Nog een keer, de heer Frenk?

[0:10:05] Nee?

[0:10:06] Dan, meneer Erkin, gaat u verder met uw betoog.

[0:10:09] Ja, want voorzitter, als we kijken naar de oplossing van deze minister, zegt de minister... ...ja, we moeten volledige gegevens gaan delen en risicogericht gaan werken.

[0:10:18] Maar voorzitter, dat is juist het probleem.

[0:10:21] Deze zin is eigenlijk een dreiging voor al die mensen die nu van deze minister een oplossing verwachten.

[0:10:26] Want die mensen die weten wat dit betekent, en dat zegt het college voor de rechten van de mensen ook in de brief, als je gaat kijken naar nationaliteit of afkomst, dan raak je juist deze groep moslims en mensen met een migratieachtergrond, die pak je vaker.

[0:10:41] Als je gaat kijken naar, wat noemden ze dat nou in de wet, naar geografische gegevens,

[0:10:47] Ja, dan bouw je juist discriminatie, eigenlijk een discriminatie machine.

[0:10:52] Je bouwt een discriminatie machine als je gaat kijken naar nationaliteit, afkomst en naar geografische kenmerken.

[0:10:59] In plaats van dat het probleem wordt opgelost, maak je het probleem juist groter.

[0:11:04] Dus ook hier weer, wat nu?

[0:11:05] Wat gaat de minister nou doen?

[0:11:06] Gaat hij weer hier in het debat het leed erkennen en aangeven dat hij in gesprek gaat met de banken of komt hij met echte maatregelen?

[0:11:14] bij helpen.

[0:11:16] Gaat hij bijvoorbeeld ervoor pleten dat banken en toezichthouders gewoon zonder een gesprek, zonder daar helemaal tafels voor te beleggen, onderzoeken voor te doen, de banken verplichten om

[0:11:29] Gaat de minister bijvoorbeeld, en dat is mijn tweede maatregel waar de minister mee aan de slag gaat, gaat hij nou in zijn implementatie weer duidelijk aangeven dat discriminatie verboden gaat worden?

[0:11:41] Voorzitter, gaat de minister, en dat is de derde maatregel die wij voorstellen, gaat hij nou één partij aanwijzen die de regie heeft om te voorkomen dat in de brede keten deze maatregelen en deze aanpak gewoon stopt?

[0:11:54] Graag een reactie daarop.

[0:11:56] Voorzitter, dan mijn laatste punt gaat over

[0:11:59] Eigenlijk een andere kant van deze wet.

[0:12:02] Aan het voorzien dat Nederlandse stichtingen die miljoenen ophalen voor illegale kolonisten op de westelijke Jordanoven.

[0:12:10] Bijvoorbeeld een stichting zoals Israël Hartland die wapens heeft aangeboden om wapens te financieren, maar ook Christen voor Israël die meebouwt, meefinanceert aan illegale wijken op bezet Palestijns gebied.

[0:12:24] En voorzitter, het is onze eigen regering die helemaal niets doet bij straffeloosheid en genocide.

[0:12:29] Zelfs onze eigen regering die heeft gezegd dat deze nederzettingen illegaal zijn en duidt

[0:12:35] en ziet de handelingen van deze extremistische colonisten als colonistenterreur.

[0:12:42] Zelfs onze eigen regering zegt dat.

[0:12:51] Wat ik eigenlijk aan de minister wil vragen, hoe kan het zo zijn dat de WWFT iemand die 50 euro doneert voor een voedselpakket aan Gaza

[0:12:58] Het leven zuur maakt, maar aan de andere kant stichtingen miljoenen kunnen verzamelen en doorsluizen voor extremistische kolonisten die Palestijnen terroriseren.

[0:13:08] En de vraag eigenlijk aan de minister is, waarom hebben deze stichtingen nooit last van de WWFT en al die andere mensen wel?

[0:13:15] Dank u wel.

[0:13:16] Dank voor je inbreng.

[0:13:17] Gaan we door naar mevrouw Aukje de Vries of moeten we misschien heel even wachten op de lange bel?

[0:13:23] Voor de luisteraars thuis, dat is de startbel van de plenaire zaal.

[0:13:28] En die duurt zo lang, dat we dan niet naar de woorden van mevrouw Akkie de Vries kunnen luisteren.

[0:13:33] En dat is ook een beetje vervelend.

[0:13:37] Wat ik eigenlijk aan de minister wil vragen, hoe kan het zo zijn dat de WDFT iemand die guit gelibandeert voor de voedselbond in Gaza,

[0:13:48] Rol bij het welzijn en sport.

[0:13:54] Mijn naam is Harry Bevis, ik mag vanochtend uw voorzitter zijn.

[0:13:56] Aan de orde is een technische briefing over dataveiligheid in de zorg.

[0:14:06] Deze technische briefing is mede aangevraagd naar aanleiding van de grote datahek bij Clinical Diagnostics.

[0:14:15] De leden hebben via een e-mail procedure gevraagd of op korte termijn, in ieder geval vandaag voor de twee minuten debat, digitale ontwikkelingen plaats kon vinden.

[0:14:22] Dus laat ik allereerst mijn grote dank uitspreken dat het gelukt is om op zo'n korte termijn deze briefing te organiseren.

[0:14:32] We hebben zo dadelijk van onze gasten, die ik zo zal voorstellen,

[0:14:36] Een presentatie die zal ongeveer 20 minuten tot een half uur duren en daarna gaan we gewoon volgens het vaste stramieren proberen nog een aantal vragen te stellen, u te laten stellen aan de gasten.

[0:14:49] Ik maak daar één opmerking bij.

[0:14:52] Hoewel de aanleiding is clinical diagnostics, geef ik u mee dat onze gasten natuurlijk op geen enkele wijze

[0:14:59] iets kunnen zeggen over de oorzaak van dat specifieke data-lek.

[0:15:06] Dus ik zou willen vragen om dat ook maar even te laten totdat de uitslag van dat beeld is.

[0:15:16] 10 over 12.

[0:15:17] Dat gaat natuurlijk over de inhoud van dat debat, maar er was wel gevraagd of we deze briefing daar vooraf gaan komen hebben.

[0:15:25] Ik wijs u erop dat afgelopen dinsdag door collega Paulusma van D66 een Plunner-debat is aangevraagd.

[0:15:30] Dat is breed gesteund.

[0:15:33] Daar weten we nog geen datum van, maar hopelijk komt dat snel en hopelijk hebben we dan ook

[0:15:38] enige rapportage over de oorzaak van deze specifieke situatie.

[0:15:43] Van de zijde van de Kamer zijn aanwezig mevrouw de Korte namens NSC, de heer Klaassen van de PVV, mevrouw Slagtegelman namens GroenLinks P van de A, en mevrouw Jozef namens BBB.

[0:15:56] Onze gasten vandaag zijn Bianca Rouwehorst, directeur directie informatiebeleid, Marcel Floor, MT-lid van de directie informatiebeleid, beide van VWS,

[0:16:07] Van het ministerie van Binnenlandse Zaken en Koninkrijk Salatie, Lizzie van Wissem, MT-lid van de directie Digitale Overheid.

[0:16:16] En dan Aad Jochem, denk ik met de mooiste titel, Chief Information Security Officer Rijk.

[0:16:23] Nou dat alleen al is indrukwekkend.

[0:16:26] We gaan van start met de presentatie en informatie van de zijde van onze gasten en het woord is aan mevrouw Rauwenhorst.

[0:16:36] Dank u wel voorzitter en ook dank u wel dat u inderdaad ook al bij voorbaat aangeeft dat wij op dit moment natuurlijk inderdaad niet kunnen ingaan op de data die heb ik.

[0:16:51] verschillende vele onderzoeken die daar nog op lopen op dit moment.

[0:16:54] Dank voor de uitnodiging en ook dank aan mijn collega's van Binnenlandse Zaken dat zij hierbij konden aanschuiven inderdaad.

[0:17:02] Deze technische briefing heeft als thema inderdaad veiligheid in de zorg en

[0:17:07] Ik heb de collega's van BSDK zullen vooral ook wat meer zeggen over dataveiligheid in het algemeen en wij nemen u mee over hoe we dat in de zorg op dit moment de situatie is en wat het geldende beleid daarop is.

[0:17:25] Ik neem u toch nog even mee in waarom en waarheen, waar we zijn mee bezig vanuit

[0:17:34] VWS samen met het zorgveld in het kader van digitalisering en het kader van databeschikbaarheid en het gebruik van data.

[0:17:43] Daarom nog even naar de nationale visie en strategie kijkend het vertrouwen wat daarin zo van belang is.

[0:17:51] Dan even inzoomend op de verschillende wettelijke kaders die er op dit moment al zijn ten aanzien van alles rondom informatieveiligheid en dataveiligheid in de zorg.

[0:18:03] en de technische mogelijkheden.

[0:18:06] Ik ben een paar maanden geleden bij u geweest voor een technische briefing waarin ik u heb uitgelegd over onze nationale visie en strategie waarin we via verschillende ontwikkelpaden, plateaus naar data beschikbaarheid toewerken samen met het zorgveld en alle partijen die daarin actief zijn, dus ook de stelselpartijen die daarbij horen.

[0:18:29] Alles gericht op het feit dat we eigenlijk de druk in de zorg, ten aanzien in de arbeidsmarkt, maar ook de betaalbaarheid en de kwaliteit, dat we die kunnen ondersteunen met het goed inzetten van data en gegevens en het goed kunnen laten gebruiken van data en gegevens door verschillende digitale toepassingen.

[0:18:52] Die gezondheidsdata zijn wat dat betreft ook daarvoor heel erg noodzakelijk en die databeschikbaarheid is afhankelijk van de datakwaliteit die daarvoor op een hoog niveau moet zijn en datakwaliteit zit hem op verschillende aspecten maar ook op veiligheid rondom de data die daarmee speelt.

[0:19:13] De nationale visie brengt ons in drie plateaus daartoe.

[0:19:16] We zijn op dit moment druk bezig samen met het Zorgveld, en dat zult u mij heel vaak horen zeggen vandaag, om te werken om te kijken dat we in ieder geval integraal in de interoperabiliteit georganiseerd krijgen voor de vijf verschillende weegjes uitwisselingen die er zijn.

[0:19:35] Dat zijn de grote

[0:19:37] uitwisselingen die als eerste geprioriteerd zijn om daarin te kunnen zorgen dat zorgverleners op het juiste moment, op de juiste plek en alleen de juiste zorgverleners bij de data kunnen van de patiënten.

[0:19:50] Het volgende plateau is, daar zijn we ook al voorbereiding aan aan het treffen, is om te kijken of we dat ook netwerk georganiseerd kunnen doen om uiteindelijk het integraal georganiseerd te krijgen en het niet meer hebben over

[0:19:59] gegevensuitwisseling, maar daadwerkelijk data beschikbaarheid waarbij de data aan de bron blijft en de data op het moment dat het noodzakelijk is voor een vraag getoond wordt en gebruikt kan worden, maar ook daarmee dus niet daadwerkelijk verplaatst wordt.

[0:20:17] Onder de nationale visie en strategie hebben wij eigenlijk drie fundamenten benoemd.

[0:20:23] De eerste is komend op data beschikbaarheid, om die beschikbaar, bereikbaar en bruikbaar te maken van gegevens en met waarborgen voor privacy en veiligheid.

[0:20:34] Het tweede fundament, en daarom hebben we hem ook geel gemaakt, is het fundament wat vertrouwen is.

[0:20:41] Vertrouwen in het kunnen gebruiken van de data.

[0:20:44] Dus u hoort mij zeggen, de kwaliteit van data.

[0:20:47] Is het up-to-date?

[0:20:48] Is het de juiste data?

[0:20:49] Is het goed vastgelegd?

[0:20:51] Daarvoor is standaardisatie ook zoveel belang.

[0:20:55] Maar ook in de integere omgang van data.

[0:20:57] Dus kunnen alleen de personen bij de data die daarbij mogen en kan alleen de data gebruikt worden voor het doeleinde waarvoor het is bestemd.

[0:21:09] En dat vertrouwen wordt ernstiger geschaad door data hacks zoals die afgelopen begin juli plaats hebben gevonden bij Clinical Diagnostics.

[0:21:22] Dus alles rondom ook informatieveiligheid en privacy scharen wij onder vertrouwen en moet daar ook een bijdrage om het vertrouwen hoger te maken zodat zowel burgers, patiënten daar op mogen vertrouwen, maar ook zorgverleners.

[0:21:41] En regie, wat we hebben gezien is dus dat in de afgelopen jaren

[0:21:46] Er zijn verschillende initiatieven geweest, maar eigenlijk altijd of individuele initiatieven van zorgaanbieders zijn geweest, zeker een beetje op regionaal niveau, maar in ieder geval niet op landelijk niveau dezelfde stappen zijn ondernomen.

[0:21:58] Dus het is noodzakelijk om te komen tot regionale en landelijke beschikbaarheid van data.

[0:22:05] Dat er regie op wordt gevoerd en dat ook regie ook op alle fronten zometeen daadwerkelijk wordt ingevoerd, ook bijvoorbeeld als het gaat over data governance en dat soort aspecten.

[0:22:16] De nationale visie en strategie is gezamenlijk met het zorgveld opgesteld en wordt ook door het gehele zorgveld ondersteund.

[0:22:24] En ik moet ook eerlijk zeggen, is ook de basis voor de ISA-afspraken en de ASWA-afspraken die daar ook om gemaakt zijn.

[0:22:34] Als we dan kijken naar de huidige wettelijke kaders in kader van dataveiligheid,

[0:22:41] Ziet u aan de linkerkant dat in de zorg de zorgaanbieders te maken krijgen met de AVG, de wet aanvullende bepalingen.

[0:22:52] Ik vind het altijd zo'n waps.

[0:22:55] Waar stond hij precies voor?

[0:22:58] Ja, dat is hem.

[0:23:00] Ik kom er zo'n deel op terug.

[0:23:02] Ik heb hem er uitgeschreven en gestaan, maar de waps is in principe... Het is heel erg dit.

[0:23:10] Die regelt de specifieke voorwaarden voor het verwerken van persoonsgegevens binnen de zorg.

[0:23:16] En is een aanvulling op de AVG.

[0:23:18] En daar staan bijvoorbeeld ook zaken in zoals toegangsbeperkingen.

[0:23:24] De kwaliteit van zorg wordt in de WKKGZ geregeld.

[0:23:28] Daar hebben zorg en mis mee te maken.

[0:23:30] De WGUBO, waarin het patiëntenrecht en geheimhouding is geregeld.

[0:23:35] Bijvoorbeeld het medisch dossier Alleen delen met toestemming van patiënten.

[0:23:40] Daar staat dus op dit moment de opt-in situatie in geregeld.

[0:23:44] De Jeugdwet en de WMO, waarin ook weer specifieke kaders staan ten aanzien van bescherming van persoonsgegevens.

[0:23:51] Je moet bijvoorbeeld denken aan de beveiliging van dossiers van cliënten die in de jeugdhulp zitten.

[0:23:57] De NEM 7510, NEM 12 en NEM 13, dat zijn de normen die er zijn ten hoeve van risicoanalyse en maatregelen die genomen moeten worden in het kader van veilige uitwisselingen.

[0:24:09] En waar bijvoorbeeld de netwerkbescherming en de logging in zit volgens de NEM voor.

[0:24:14] Maar dat zijn een aantal aankomende kaders die eraan komen.

[0:24:19] De cyberbeveiligingswet die eraan komt, die komt vanuit Europa en is de NIST-2-richtlijn.

[0:24:24] Samen met de wet werbaarheid kritieke entiteten.

[0:24:27] DIAS, dat is de wet die er ligt in kader van identificatie en authenticatie.

[0:24:35] En wij zijn bezig met het ontwikkelen van een PRS om in kader van mijn gezondheidsoverzicht om daar ook daarin mogelijkheden te hebben om op de veiligheid van de gegevens te zitten.

[0:24:51] We hebben verschillende rollen en taken.

[0:24:54] Toch nog even terug naar het wettelijk kader.

[0:24:58] We hebben dus al best veel, maar het is ook best versnipperd en complex.

[0:25:04] En dat is wel waar we ook vanuit zorgambieders horen.

[0:25:08] En dat is dus ook waar wij eigenlijk met alle aspecten waar we nu mee bezig zijn, bezig zijn om te kijken.

[0:25:15] En dat heeft ook onze minister in het vorige debat toegezegd in hoeverre we de verplichtingen dus moeten bundelen en daarin dat traject zijn we aan het onderzoeken.

[0:25:26] Zodat we het ook duidelijker en transparanter kunnen maken.

[0:25:29] We hebben verschillende kaders.

[0:25:33] Vanuit VWS zijn wij voor dataveiligheid in de zorg.

[0:25:38] Maar het zorgveld zelf is verantwoordelijk voor de veiligheid in hun huis of in hun instelling.

[0:25:46] En dat betekent dus dat zij ook zelf verantwoordelijk zijn om alle normen en kaders zich daaraan te voldoen.

[0:25:54] Ik vergelijk het toch altijd maar een beetje met het feit dat zij ook gewoon net zoals dat ze

[0:25:59] Aandacht hebben voor de sloten op de deuren van hun pand.

[0:26:04] Dat ze ook zorgen dat de sloten op de digitale systemen geregeld is.

[0:26:10] Of de brandinstallatie die er is.

[0:26:15] Dit is wel iets waar we zien dat daar echt nog heel veel aandacht voor nodig is.

[0:26:20] Ja, de fysieke beveiliging is logisch lijkt het, maar de digitale beveiliging is echt iets wat op dit moment nog in het zorgveld te wensen overlaat.

[0:26:32] En dat is dus niet alleen in dit geval mogelijk, want dat weten we niet, bij Clinical Diagnostics gebleken.

[0:26:40] Maar we weten ook dat gewoon in het zorgveld zelf bij de 60.000 zorgamiddels niet overal aan de normen wordt voldaan.

[0:26:49] Even kijken, hoe gaat-ie?

[0:26:58] Naast de kaders die er zijn en de normen die er zijn, zijn er ook gewoon wel wat technische mogelijkheden die zorgaanbieders hebben om te zorgen dat zij invulling geven aan die informatieveiligheid en die privacy.

[0:27:14] Maar nogmaals, dat is dus aan hen om dat dan ook daadwerkelijk toe te passen.

[0:27:20] Zo kunnen ze de toegangsbeveiliging moeten ze natuurlijk regelen.

[0:27:25] Logging en monitoring, data-encryptie, het beveiligen van het netwerk, endpoint-beveiliging.

[0:27:33] Het is allemaal wat technischer.

[0:27:35] En natuurlijk het beveiligen van de communicatie.

[0:27:37] Bijvoorbeeld het gebruiken van beveiligde VPN.

[0:27:41] En bij endpoint-beveiliging bijvoorbeeld echt het toepassen van goede antivirus- en antimalware-toepassingen.

[0:27:47] Dat soort zaken.

[0:27:51] Dat zijn de mogelijkheden die er zijn en die zijn ook, die worden ook bijvoorbeeld al in de AVG bijvoorbeeld aangegeven als mogelijkheden om toe te passen.

[0:28:03] En eigenlijk zitten er in de normen 75, 10, 12 en 13 zitten dus eigenlijk ook dat wel degelijk wettelijke verplichte normen zijn voor de voor de zorg.

[0:28:13] Zitten ook deze zaken zitten daarin.

[0:28:20] De grootste uitdaging die wij als VWS zien is niet om op dit moment te kijken of er meer wetten of meer kaders moeten komen, want eigenlijk zijn die er, maar is wel hoe we het zorgveld kunnen ondersteunen, ook vanuit VWS met betrekking tot dat zij eigenlijk

[0:28:42] vooral ook dat gedrag en die bewustwording daarop hebben.

[0:28:47] En dat gaat dan ook van de raad van bestuur, van de raad van de toezichten van de verschillende instellingen tot aan de individuele medewerkers zelf.

[0:28:55] Omdat je ook in de zorg ziet dat data lekken vooral ook heel vaak door het gedrag van medewerkers, gedrag van mensen wordt veroorzaakt.

[0:29:07] Dus in dit geval de data-hack heeft een daadwerkelijke externe oorzaak in het kader van een criminele groepering die data gestolen heeft.

[0:29:18] Maar als we kijken naar helemaal informatieveiligheid in de zorg, dan zit vooral de data-lekker op het gedrag van mensen in de zorghuizen zelf.

[0:29:28] En is dat ook iets wat wij proberen met Z-cert om ook de bewustwording en ook de ondersteuning aan de zorg

[0:29:36] aan het zorgveld daarop te volgen.

[0:29:39] Dit was even mijn verhaal, dan geef ik nu hem over aan de minister, over aan de aarts.

[0:29:55] Dank je wel.

[0:29:59] Ik ga iets meer over wat dat nou doet, die kwetsbaarheid in het digitale domein met het vertrouwen in de overheid.

[0:30:09] Mijn rol is die van CISO voor de Rijksoverheid.

[0:30:13] Ik hou me dus bezig met beleid en kaders die voor de Rijksoverheid gelden, maar ook met de samenwerking en verbinding tussen de departementen.

[0:30:22] Net als in de zorg zijn er heel veel, ook bij de Rijksoverheid, heel veel onafhankelijke organisaties die zelf hun beveiliging moeten en kunnen regelen.

[0:30:31] En om daar samenhang in aan te brengen, dat is mijn rol.

[0:30:39] En waar begint dat vertrouwen mee?

[0:30:41] Nou in ieder geval die voortgaande digitalisering die we zien, dat zit echt tot in de haarvaten van organisaties en van mensen, van burgers.

[0:30:52] Al is het een kaartje voor de trein bestellen, al is het weten hoe ik hier kom, noem maar op.

[0:30:57] Overal gebruiken we die digitalisering voor.

[0:31:00] Digitalisering werkt met software, met apps, zeg maar programma's die draaien op computers, maar ook heel veel onderling verbonden systemen, communicatienetwerken.

[0:31:10] Dus als we willen weten wat voor weer het wordt, of het gaat regenen of niet, dan wordt er informatie gedeeld tussen het KNMI en meteobedrijven.

[0:31:20] Dus dat is in een andere sector het geval.

[0:31:23] Maar het feit dat we zoveel software gebruiken en zoveel communicatie doen, dat maakt ons eigenlijk wel inherent kwetsbaar.

[0:31:30] Dat betekent dat je deuren moet aanbrengen in je omgeving om die communicatie tot stand te kunnen brengen.

[0:31:39] En iedere toegangspoort moet je ook goed beveiligen.

[0:31:43] De enige manier om daarmee om te gaan, om met die trend van verdergaande digitalisering, is om gelijke tred te houden met het organiseren van je weerbaarheid.

[0:31:52] Dus in hoeverre zijn we in staat om een aanval, en dat kan een criminele aanval zijn of een aanval van een ander land als het meer geopolitiek is,

[0:32:04] Hoe kan je dat weerstaan?

[0:32:06] Maar eigenlijk ook wel ongelukkige gebruikersfouten.

[0:32:08] Dat zijn natuurlijk ook dingen die de beschikbaarheid van je gegevens of de betrouwbaarheid van je gegevens kunnen beïnvloeden.

[0:32:15] Dus het is zaak om die weerbaarheid goed aan te pakken.

[0:32:20] En om een inkijkje te geven hoe zo'n aanval op het laboratorium eruit ziet.

[0:32:27] Er is in het algemeen, dus niet in deze casus, maar er is een criminele organisatie die zoekt op het internet naar kwetsbare omgevingen.

[0:32:37] een laboratorium of een overheidsorganisatie en denkt hier kan ik wat mee doen.

[0:32:42] En ze hebben dus een kwetsbaarheid ontdekt waarmee ze in staat zijn geweest om zich toegang te verschaffen tot een netwerk.

[0:32:49] Dat gebeurde ook bij de Rijksoverheid, een paar jaar geleden ook de Tweede Kamer had daar mee te maken.

[0:32:57] Nou, wat kun je daartegen doen?

[0:32:58] Nou, zorgen dat die kwetsbaarheid, als die wordt gesignaleerd in die software, dat je die snel repareert, zodat je niet gevonden wordt.

[0:33:04] Maar ook zorgen dat je doorhebt wanneer je aangevallen wordt.

[0:33:09] Dat je je logging en je detectie en je monitoring, dat zijn dan technische maatregelen, op orde hebt, zodat je snel kunt handelen.

[0:33:17] En dat geheel, dat zit eigenlijk in een soortement, dat noemen we dan in informatiebeveiliging een management systeem.

[0:33:23] Dus je moet zorgen dat daar een bestuurder bij betreft,

[0:33:28] dat de technische maatregelen werken, dat daar toezicht op is en dat het ook steeds verbetert.

[0:33:33] Dus bij iedere test die je doet of iedere incident, dat je ook zorgt dat dat verbetert.

[0:33:39] Op die manier organiseer je eigenlijk de weerbaarheid.

[0:33:41] En dat moet je continu doen.

[0:33:43] Op het moment dat je dat denkt van ik heb het nu ingeregeld, dan werkt dat de komende maanden goed.

[0:33:50] Maar daarna ben je weer kwetsbaar.

[0:33:52] Je moet dus blijvend werken aan je weerbaarheid.

[0:33:56] Wat betekent als je onvoldoende weerbaar bent?

[0:33:59] Ja, dat hebben we gezien met dit datalek van het bevolkingsonderzoek.

[0:34:05] Maar bijvoorbeeld ook het Openbaar Ministerie die drie weken lang zich heeft moeten loskoppelen van internet.

[0:34:11] En dat is heel vervelend voor de kerntaken van die overheidsorganisatie of die zorginstellingen.

[0:34:17] Maar dat heeft natuurlijk ook een impact op de mensen die

[0:34:22] die staan in die lijst van bevolkingsonderzoek of die net een proces hadden lopen in de rechtszaak.

[0:34:29] En die impact duurt misschien nog wel langer dan de technische impact na het repareren van zo'n hek.

[0:34:38] Dat is ook wel de reden dat in de Nederlandse digitaliseringstrategie, daar is gisteren een technische briefing aan de Kamer voor geweest, dat digitale weerbaarheid en het organiseren daarvan, dat ook overheidsbreed, een prioriteit is geworden.

[0:34:54] Hoe werkt dat stelsel nu?

[0:34:58] Hoe zorgen we ervoor dat we dat overheidsbreed hebben georganiseerd?

[0:35:01] Sowieso is iedere departement, iedere ZBO, zelfstandig bestuursorgaan en ook private organisaties waar de overheid mee samenwerkt, zelfverantwoordelijk voor het beveiligen van hun omgeving.

[0:35:19] Daar zijn kaders voor.

[0:35:21] Daar kom ik zo meteen even op.

[0:35:25] En de departementen worden gezamenlijk geadviseerd hierin door het National Cyber Security Centre en de inrichtingendiensten.

[0:35:33] Dus als zij kwetsbaarheden ontdekken of daar meldingen van krijgen, dan zullen ze daar ook andere organisaties mee proberen te helpen.