Het afgelopen jaar hebben twee ziekenhuizen bij het Nationaal Cyber Security Center (NCSC) van de overheid gemeld dat ze een malwarebesmetting hadden opgelopen. Bij de Inspectie voor de Gezondheidszorg (IGZ) kwamen helemaal geen meldingen over cyber-incidenten binnen.
In het geval van de malware-infecties bleek het om aanvallen op de kantoorautomatisering te gaan en zijn er bij het NCSC geen signalen bekend dat deze aanvallen hebben gezorgd voor grootschalige uitval of verstoring. Dat laat minister Schippers van Volksgezondheid op Kamervragen van D66 weten. Aanleiding voor de vragen was een onderzoek naar de veiligheid van ziekenhuisapparatuur in Europa, het Midden-Oosten en Afrika.
Bij meer dan de helft van de 24 onderzochte ziekenhuizen werden standaardwachtwoorden gebruikt om apparatuur te beveiligen. Ook bleek dat bijna de helft van de ziekenhuizen niet weet of hun apparatuur voldoet aan de aankomende Europese privacyregelgeving. Daarnaast geeft maar een vijfde van de onderzochte ziekenhuizen aan bij het merendeel van hun apparatuur gebruik te maken van een versleutelde verbinding met het netwerk om de betrouwbaarheid en vertrouwelijkheid van gegevens te borgen.
D66-Kamerleden Dijkstra en Verhoeven wilden weten hoe vaak Nederlandse ziekenhuizen met malware zijn besmet. Volgens Schippers zijn er bij het NCSC twee vrijwillige meldingen binnengekomen. Ook wilden de Kamerleden weten of de minister bereid is onderzoek te doen onder Nederlandse ziekenhuizen en andere zorginstellingen naar het voldoen van apparatuur aan de privacyregelgeving, het gebruikmaken van versleutelde verbindingen bij op het netwerk aangesloten apparaten en beleid rondom het dichten van kwetsbaarheden in software van medische apparatuur.
Schippers laat weten dat informatiebeveiliging een verantwoordelijkheid van de ziekenhuizen zelf is. Wel vinden er verschillende activiteiten plaats op het gebied van cybersecurity in de zorg, die met betrokkenheid van het NCSC worden ontplooid. Zo heeft het NCSC in samenwerking met de sector een Information Sharing and Analysis Centre (ISAC) voor de zorg opgezet. Daarnaast wordt gewerkt aan de inrichting van een Computer Emergency Response Team (CERT) voor de zorg (Z-CERT).
De minister stelt verder in haar antwoord (pdf) dat er een groeiend bewustzijn is rondom de risico’s van de steeds meer verbonden medische apparaten. Tevens wordt gewerkt aan het vergroten van het risicobewustzijn bij zorgverleners en instellingen op het gebied van cyberveiligheid en privacy. Zo heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) een Netwerk Informatiebeveiliging waar kennis en ervaring wordt uitgewisseld.
Deze posting is gelocked. Reageren is niet meer mogelijk.