Beantwoording Kamervragen over het bericht ‘Cybersecurity van apparatuur in ziekenhuizen kwetsbaar’

Naar aanleiding van het  bericht ‘Cyber security van apparatuur in ziekenhuizen kwetsbaar' zijn kamervragen gesteld door de Kamerleden Verhoeven (D66) en Dijkstra (D66). Op 6 juli heeft de minister van Volksgezondheid, Welzijn en Sport, Schippers, mede namens de Staatssecretaris van Veiligheid en Justitie, de antwoorden hierop ingezonden.

Op de vraag in hoeverre er besmettingsgevallen met malware bij Nederlandse ziekenhuizen bekend zijn, wordt geantwoord dat er bij de Inspectie voor de Gezondheidszorg (IGZ) geen concrete meldingen van dergelijke cyberincidenten bekend zijn. Bij het Nationaal Cyber Security Centrum (NCSC) zijn er in het afgelopen jaar twee vrijwillige meldingen van malware besmettingen geweest. Deze meldingen betreffen aanvallen op kantoorautomatisering. Er zijn bij het NCSC geen signalen bekend dat deze aanvallen hebben geresulteerd in grootschalige uitval of verstoring. 

In de eerdere beantwoording van vragen is aangegeven dat informatiebeveiliging een eigen verantwoordelijkheid van de zorginstelling is, ongeacht de mate van ondersteuning die het NCSC een partij biedt. In de EU richtlijn inzake Netwerk- en Informatiebeveiliging (NIB) wordt de zorgsector overigens wel aangewezen als sector waarbinnen moet worden bepaald welke specifieke organisaties aanbieders van essentiële diensten zijn en in verband hiermee onder bepaling van de richtlijn komen te vallen. Over de implementatie van de NIB-richtlijn en verdere acties wordt de Tweede Kamer nog door de Minister van Veiligheid en Justitie geïnformeerd. 

Er is sprake van een omvangrijk aantal activiteiten op het gebied van cybersecurity in de zorg, die met betrokkenheid van het NCSC, worden ontplooid. Allereerst heeft het NCSC in samenwerking met de sector een Information Sharing and Analysis Centre (ISAC) voor de zorg opgezet. Een ISAC is een publiek-privaat sectoraal samenwerkingsverband, waarbinnen op tactisch niveau deelnemers van verschillende ziekenhuizen onderling informatie en ervaringen uitwisselen over cybersecurity en kwetsbaarheden in de sector (‘situational awareness’). Daarnaast wordt gewerkt aan de inrichting van een Computer Emergency Response Team (CERT) voor de zorg (Z-CERT). Tot slot publiceert het NCSC openbare kennisproducten (o.a. het Cybersecurity Beeld Nederland (CSBN) en Factsheets) die zorginstellingen kunnen gebruiken bij het verbeteren van hun informatiebeveiliging.

Binnenkort verschijnt ook de tweede druk van het “Convenant Veilige toepassing van medische technologie”. Het convenant is een veldnorm voor de instellingen voor medisch-specialistische zorg en biedt handvatten voor de totale levenscyclus van een medisch hulpmiddel. Daarin wordt het aspect “cybersecurity” aangemerkt als onderdeel van de risicoanalyse.
 

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF