image

Minister: zorg moet alert blijven op informatiebeveiliging

maandag 24 februari 2020, 09:54 door Redactie, 12 reacties

De aankomende wet elektronische gegevensuitwisseling van minister Bruins biedt allerlei bepalingen voor informatieveiligheid en privacy in de zorg, maar dat neemt niet weg dat zorgaanbieders zelf alert moeten blijven op informatiebeveiliging, zo laat de minister weten op Kamervragen van de VVD.

VVD-Kamerlid Veldman had vragen gesteld over de aanval op de Citrix-systemen van het Medisch Centrum Leeuwarden (MCL). Eerder hadden het CDA en SP al vragen over deze specifieke aanval gesteld en Bruins herhaalt dan ook dat het MCL de beschikbare mitigerende maatregelen van Citrix niet op tijd had doorgevoerd. Daarnaast heeft de minister geen zicht op het gebruik van Citrix in de zorg en of andere ziekenhuizen hun dataverkeer naar aanleiding van de aanval op het MCL hebben platgelegd.

Veldman wilde ook van de minister weten in hoeverre kwetsbaarheden in servers waar ziekenhuizen gebruik van maken worden meegenomen in de nieuwe wetgeving rondom gegevensuitwisseling in de zorg. Bruins wil ziekenhuizen verplichten om digitaal gegevens uit te wisselen. Om dit mogelijk te maken zal de minister dit jaar met een wetsvoorstel komen, alsmede 75 miljoen euro beschikbaar stellen.

"De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ict-producten mogelijk maken. Kwetsbaarheden in producten zullen overigens aan het licht blijven komen. Daarom is het van belang dat zorgaanbieders blijvend aandacht besteden aan informatiebeveiliging", antwoordt Bruins op de vraag van Veldman.

Afsluitend gaat de minister in op de uitspraak van minister Grapperhaus van Justitie en Veiligheid over het aanpakken van bedrijven die hun it-beveiliging niet op orde hebben. "Ik deel met mijn ambtsgenoot minister Grapperhaus dat informatieveiligheid een prioriteit dient te zijn, zo ook op alle bestuurslagen van de zorgsector. Zoals reeds gemeld zijn zorginstellingen zelf primair verantwoordelijk voor hun eigen ict en de informatieveiligheid onder alle omstandigheden", aldus Bruins, die toevoegt dat hij bezig is om te kijken of bepaalde organisaties binnen de zorgsector als vitale aanbieders zouden moeten worden aangewezen.

Reacties (12)
24-02-2020, 10:10 door Anoniem
Kat op 't spek binden en dan zeggen "wel opletten dat'ie niet van het spek eet hoooooorrrjjj."

Erg geloofwaardig allemaal. Maar dat betekent dus wel dat deze ministerT eventjes het EPD door de achterdeur naarbinnen frommelt. Eerste kamer, doe er wat aan.
24-02-2020, 10:38 door Anoniem
De overheid verplicht zorgaanbieders om computers te gebruiken. Maar als het mis gaat is het niet de schuld van de overheid. Heel duidelijk.
24-02-2020, 11:57 door Anoniem
De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik [Bruins] aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ict-producten mogelijk maken

Lekker vaag allemaal.
Ik lees hier dus dat er niets concreet geregeld gaat worden. Anders had de minister dat wel gezegd.
24-02-2020, 15:24 door Anoniem
Door Anoniem: Kat op 't spek binden en dan zeggen "wel opletten dat'ie niet van het spek eet hoooooorrrjjj."

Erg geloofwaardig allemaal. Maar dat betekent dus wel dat deze ministerT eventjes het EPD door de achterdeur naarbinnen frommelt. Eerste kamer, doe er wat aan.
Ik gok dat je met "het EPD" de LSP infrastructuur bedoelt? Want ieder ziekenhuis gebruikt een EPD om zorg überhaupt mogelijk te maken. Weet je wat zo mooi was aan de LSP? Dat er een lange lijst aan zware eisen en een heel audit circus omheen lag waar instellingen aan moesten voldoen. LSP ging niet door, dus de eisen met beveiligingsmaatregelen ook niet. Nu zijn instellingen bezig om ad-hoc gegevensuitwisseling op te tuigen. Beter, zegt u?

Door Anoniem:
De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik [Bruins] aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ict-producten mogelijk maken

Lekker vaag allemaal.
Ik lees hier dus dat er niets concreet geregeld gaat worden. Anders had de minister dat wel gezegd.
Je moet het eerst mogelijk maken om iets te doen, voordat je het daadwerkelijk kan doen. Op het moment heeft de overheid nog geen mogelijkheid om eisen te stellen aan IT systemen van derden (zoals zorginstellingen), dat kan dus straks wel.
24-02-2020, 16:49 door Erik van Straten
Afgelopen week gepubliceerd door ENISA, m.i. goed leesbaar document: https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services (link naar PDF in die pagina).

Vanzelfsprekend geen hapklare checklist voor systeembeheerders: mensen met voldoende verstand van zaken (zowel security als grondige ICT kennis i.r.t. de in gebruik zijnde systemen - waarbij volledig en up-to-date asset management een van de basisvoorwaarden is) zijn onontbeerlijk, maar kunnen dit soort documenten wel als ruggesteuntje gebruiken.

Bron: https://www.zdnet.com/article/cybersecurity-do-these-ten-things-to-keep-your-networks-secure-from-hackers-hospitals-told/
24-02-2020, 18:13 door karma4 - Bijgewerkt: 24-02-2020, 18:25
Sorry, dat de zorgaanbieders de informatiebeveiliging op orde moeten hebben is logisch.
De impact bij een enkeling zal voor het overgrote deel niet echt massaal zijn. Ziekenhuizen natuurlijk door de consolidatie wel.
Veel belangrijker is dat informatiebeveiliging in het massale circuit van declaraties en verzekeraars op orde is, daar faalt de minister om een gedegen onafhankelijk toezicht te hebben.

Door Erik van Straten: Afgelopen week gepubliceerd door ENISA, m.i. goed leesbaar document: https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services (link naar PDF in die pagina). ….
Is je opgevallen dat het document voor procurement geschreven is?. Dat genoemd wordt dat de leverancier aan de richttijn moet voldoen waar het er echt om gaat dat verwerkingsverantwoordelijke er aan moet voldoen?
In nederland is die uitbreiding 2799 in NEN 7510 uitgewerkt. Inkoop heeft niets met ICT, wel met kosten. Dat is een snijvlak waar het constant mis gaat. Die andere is het niet begrijpen van dat soort richtlijnen zoals NEN7510 bij ICT.
24-02-2020, 22:42 door Erik van Straten
Door karma4:
Door Erik van Straten: Afgelopen week gepubliceerd door ENISA, m.i. goed leesbaar document: https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services (link naar PDF in die pagina). ….
Is je opgevallen dat het document voor procurement geschreven is?. Dat genoemd wordt dat de leverancier aan de richttijn moet voldoen waar het er echt om gaat dat verwerkingsverantwoordelijke er aan moet voldoen?
Ja, maar het viel me vooral op dat het document veel verder gaat, en dat de titel wellicht niet helemaal handig gekozen is.

Onderwerpen zoals "Develop incident response plans", "Raise cybersecurity awareness among staff", "Perform asset inventory and configuration management", "Segregate your network", "Set gateways to keep legacy systems/machines connected" en "Provide cybersecurity training on the organization's security practices to staff and external consultants" zijn maatregelen die je altijd moet nemen - los van selectie en aanschaf van (medische) apparatuur, software en diensten.

Het goede van dit document is dat het niet pas begint nadat de contrachten getekend zijn, maar -m.i. zoals het hoort- de hele lifecycle van "alles met een netwerkaansluiting" beschouwt v.w.b. belangrijke beveiligingsaspecten. En doordat het geen droge abstracte pil van 800 pagina's is, zal het (hopelijk) ook medisch specialisten en financieel verantwoordelijken aanspreken (in tegenstelling tot bijv. NEN7510 - ook geen 800 pagina's, maar wel erg abstract). Anders dan een gemiddelde server schrijf je immers een röntgenapparaat niet in 3 tot 5 jaar af.
25-02-2020, 08:19 door Anoniem
Door Erik van Straten:in tegenstelling tot bijv. NEN7510 - ook geen 800 pagina's, maar wel erg abstract
De NEN7510-1 gaat hem over een managementsysteem, en is inderdaad erg hoog over. De NEN7510-2 gaat hem over beheersmaatregelen en is wel lekker concreet. Probleem blijft uiteraard dat het gaat om een document van 200+ pagina's waar het volledig implementeren in een organisatie een behoorlijke klus is.
25-02-2020, 09:23 door Anoniem
Misschien kan de Minister dan eens beginnen om partijen als Vektis en Vecozo aan te pakken. Zorginstellingen zijn verplicht gebruik te maken van hun diensten. Maken van passende afspraken over de beveiliging, bijvoorbeeld de datacom verbinding, is niet mogelijk, dan geven ze niet thuis.
En ziekenhuizen willen best wel digitaal gegevens uitwisselen. Het zijn o.a. apothekers en huisartsen die met de fax blijven werken en niet anders willen. Pak dat eens aan ...

Daarbij blijft het natuurlijk vreemd dat als een arts een patiënt doorverwijst naar een ander ziekenhuis deze alleen de gegevens mag verstrekken die relevant zijn voor de doorverwijzing, terwijl de patiënt via zijn portaal zijn gehele dossier kan opvragen en kan meenemen naar dat andere ziekenhuis. Denk eens na over het grotere geheel en niet in deeloplossingen. Voorkom ook dat zorgverleners (terecht) veel aandacht en geld besteden aan beveiliging terwijl data elders in de keten weglekt en niet mee beveiligd wordt (patiënt die geen idee heeft hoe hij zijn PGO moet beheren).
25-02-2020, 11:47 door Anoniem
Door Anoniem:
De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik [Bruins] aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ict-producten mogelijk maken

Lekker vaag allemaal.
Ik lees hier dus dat er niets concreet geregeld gaat worden. Anders had de minister dat wel gezegd.
Je moet het eerst mogelijk maken om iets te doen, voordat je het daadwerkelijk kan doen. Op het moment heeft de overheid nog geen mogelijkheid om eisen te stellen aan IT systemen van derden (zoals zorginstellingen), dat kan dus straks wel.[/quote]
Want in een wet neem je geen minimale eisen op, hoe vaag die ook nog zijn. Dat is alleen maar lastig. Want dan moet je iets controleren en afdwingen. En dat wil je bij het uitwisselen van gevoelige patient-gegevens niet.
25-02-2020, 15:55 door Anoniem
Door Anoniem:
Door Anoniem: Kat op 't spek binden en dan zeggen "wel opletten dat'ie niet van het spek eet hoooooorrrjjj."

Erg geloofwaardig allemaal. Maar dat betekent dus wel dat deze ministerT eventjes het EPD door de achterdeur naarbinnen frommelt. Eerste kamer, doe er wat aan.
Ik gok dat je met "het EPD" de LSP infrastructuur bedoelt? Want ieder ziekenhuis gebruikt een EPD om zorg überhaupt mogelijk te maken. Weet je wat zo mooi was aan de LSP? Dat er een lange lijst aan zware eisen en een heel audit circus omheen lag waar instellingen aan moesten voldoen. LSP ging niet door, dus de eisen met beveiligingsmaatregelen ook niet. Nu zijn instellingen bezig om ad-hoc gegevensuitwisseling op te tuigen. Beter, zegt u?
Vals, zeg ik. Want een verantwoordelijke minister die haar plannetjes door de Eerste Kamer afgeschoten ziet worden en dan heel verantwoordelijk haar plannetjes uit haar verantwoordelijke ministeriële handjes laat vallen en heel verantwoordelijk zegt dat ze de plannetjes dan maar compleet met alle verantwoording ``aan de markt laat'', is precies dat: Vals.

Ze had terug gemoeten naar de tekentafel en met iets behoorlijks komen. Haar verantwoordelijkheid. Maargoed, dat woord is dus ondertussen ledig en betekenisloos, in 't Haagsche.
26-02-2020, 18:42 door Anoniem
Maar waar maakt de markt tegenwoordig niet de dienst uit?
J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.