image

Cybersecuritywet ziet ziekenhuizen niet als essentiële dienst

woensdag 4 juli 2018, 11:21 door Redactie, 7 reacties

De Cybersecuritywet, die aanbieders van essentiële diensten zoals drinkwaterbedrijven, banken en energiebedrijven verplicht om aan beveiligingseisen te voldoen, ziet ziekenhuizen niet als essentiële dienst en minister Bruins van Medische Zorg heeft nu aan de Tweede Kamer laten weten waarom (pdf).

Niet alleen worden essentiële diensten door de Cybersecuritywet verplicht om aan beveiligingseisen te voldoen, ook moeten ernstige cyberincidenten worden gemeld bij de toezichthouders. Ziekenhuizen worden echter niet als essentiële dienst aangemerkt, wat voor vragen van de vaste commissie voor Volksgezondheid zorgde. In zijn uitleg waarom dit het geval is wijst Bruins naar de criteria die gelden voor het beoordelen van vitale processen.

Een proces in de samenleving wordt als vitaal beschouwd wanneer uitval leidt tot meer dan 5 miljard euro schade of een 1.0 procent daling van het reëel inkomen, meer dan 1.000 doden, ernstig gewonden of chronisch zieken, of wanneer meer dan 100.000 personen emotionele problemen of ernstig maatschappelijke overlevingsproblemen ondervinden.

"Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ict-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg", stelt Bruins. De minister merkt op dat de zorg en de zorginfrastructuur in Nederland niet centraal georganiseerd zijn, maar decentraal en de instellingen zelf verantwoordelijk zijn voor de veiligheid van informatievoorziening en gegevensuitwisseling.

Mocht een deel van de zorg uitvallen, dan kan deze zorg volgens de minister in veel gevallen worden overgenomen door andere zorgaanbieders. "Daarom heeft het ministerie van Volksgezondheid geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen aanbieders van essentiële diensten aangewezen", aldus Bruins. Hij merkt daarbij op dat de informatievoorziening en gegevensuitwisseling in de zorg van groot belang is voor de patiëntveiligheid en er daarom wordt ingezet op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals het opstellen van specifieke normen en het oprichten van een Computer Emergency Response Team voor de Zorg.

Reacties (7)
04-07-2018, 13:07 door Anoniem
No Shit? Dus als ik kwaad zou willen, leg ik ziekenhuizen plat, daarna zorg ik voor totale chaos in het verkeer of qua stroom waarbij ik uiteraard zorg dat er gewonden vallen... en NL ligt compleet totaal plat, met ook geen hulpverlening, want dat hadden de ziekenhuizen zelf maar moeten regelen. Maar.. daartoe waren ze vanuit een centraal orgaan niet toe verplicht.

Soms zijn politici ook maar net mensen zeg.
04-07-2018, 14:43 door Anoniem
Het lijkt erop alsof de Minister van VWS de Cybersecuritywet (die overigens de Wet Beveiliging Netwerk- en Informatiesystemen; Wbni heet) niet goed heeft gelezen. In het verleden is er binnen de Rijksoverheid gesproken over Vitale Infrastructuur. Daarvoor zijn criteria benoemd. Naar die criteria (aantallen doden, economische schade) verwijst de minister nu.
De Wbni, die de Nederlandse implementatiewet is van de NIB richtlijn, hanteert echter andere criteria om te bepalen of organisaties essentieel zijn. Het gaat hierbij al om een aanzienlijk verstorend effect (zie artikel 6 van de NIB-richtlijn). Bovendien gaat het bij de Wbni niet alleen om beschikbaarheid van diensten, maar ook om integriteit, vertrouwelijkheid en authenticiteit.
Criteria voor Vitale Processen (nationaal) en Essentiële diensten (NIB-richtlijn/Cybersecuritywet) lijken door elkaar gehaald te zijn.
04-07-2018, 14:53 door Anoniem
De Minister van VWS spreekt over het opstellen van specifieke normen voor het waarborgen van de veiligheid van de technische infrastructuur. Hij bedoelt daarmee waarschijnlijk de NEN7510.
Uit een recent onderzoek van de Inspectie voor de Zorg (IGJ) blijkt dat de meeste ziekenhuizen hier niet aan voldoen (https://www.nu.nl/internet/5265071/gezondheidsdata-volgens-inspectie-slecht-beveiligd.html en https://www.igj.nl/actueel/nieuws/2018/05/14/meer-aandacht-nodig-voor-afspraken-en-informatiebeveiliging-bij-gebruik-e-health).
De vraag is dus of zo'n norm zonder handhaving voldoende is; zoals voorgeschreven in de NIB-richtlijn.
04-07-2018, 15:54 door Anoniem
Maar het meest bizarre is, dat dit ws niet uit de hoed van de minister komt ( hij is wel eindverantwoordelijk ), maar door ambtenaren en dure consultants die dus voor veel veel geld uit hun nek kletsen.

Kan ik ook. Tijd voor een overstap.
04-07-2018, 17:28 door Anoniem
Hij merkt daarbij op dat de informatievoorziening en gegevensuitwisseling in de zorg van groot belang is voor de patiëntveiligheid en er daarom wordt ingezet op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals het opstellen van specifieke normen en het oprichten van een Computer Emergency Response Team voor de Zorg.

Dus bij het ministerie van Volksgezondheid gaan ze het wiel opnieuw uitvinden?
Want dat is efficienter en goedkoper dan op bestaande regelgeving mee te liften...


Wie hebben dit geadviseerd, en wie stellen nu de nieuwe maatregelen op?
Misschien dezelfde personen of bureautjes?
04-07-2018, 18:32 door Anoniem
Mensen die in het ziekenhuis liggen zijn economisch toch al uitgeschakeld, en het is nog maar de vraag of ze weer
helemaal beter worden en volop kunnen meedraaien in de neoliberale draaimolen van het leven. Dus dat er aan die
groep minder prioriteit gegeven wordt dan aan de rest van de burgers dat is vrij logisch als je neoliberaal denkt.
10-07-2018, 23:19 door Anoniem
Lees het cyberhoofdstuk in Crisisbeheersing Witte Kolom ... en huiver over welk risico er is en komt.

Hoezo niet essentieel als een laboratorium (tegenwoordig centraliseerd - heel Zeeland is afhankelijk van één ziekenhuis laboratorium in Rotterdam) ransomware in de systemen krijgt?

Verder is de NIS Directive geenzins vrijblijvend, het zijn minimumeisen voor alle 28 EU landen; health sector zomaar uitsluiten kan niet als het een zorginstelling betreft die voor meer landen essentieel is (bijv. Maastricht-Aken), zeker als andere landen (Duitsland, België) andere criteria dan Nederland hanteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.