Cybersecuritywet ziet ziekenhuizen niet als essentiële dienst

De Cybersecuritywet, die aanbieders van essentiële diensten zoals drinkwaterbedrijven, banken en energiebedrijven verplicht om aan beveiligingseisen te voldoen, ziet ziekenhuizen niet als essentiële dienst en minister Bruins van Medische Zorg heeft nu aan de Tweede Kamer laten weten waarom

De naam van de Cybersecuritywet is onlangs gewijzigd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). 

Achtergrond

De Wbni strekt ter uitvoering van de Europese NIB-richtlijn. Het doel van deze richtlijn is om, ter ondersteuning van het functioneren van onze samenleving en economie, eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging, door de digitale paraatheid te vergroten en de gevolgen van cyberincidenten te verkleinen.

In bijlage II van de NIB-richtlijn wordt de gezondheidszorg genoemd als sector met potentiële aanbieders van essentiële diensten (AED’s), met als deelsector zorginstellingen. Het is vervolgens aan de lidstaten zelf te bepalen of en welk deel van de zorgsector tot de scope van de richtlijn behoort.

Zorg

Niet alleen worden essentiële diensten door de Cybersecuritywet verplicht om aan beveiligingseisen te voldoen, ook moeten ernstige cyberincidenten worden gemeld bij de toezichthouders. Ziekenhuizen worden echter niet als essentiële dienst aangemerkt, wat voor vragen van de vaste commissie voor Volksgezondheid zorgde. In zijn uitleg waarom dit het geval is wijst Bruins naar de criteria die gelden voor het beoordelen van vitale processen.

Een proces in de samenleving wordt als vitaal beschouwd wanneer uitval leidt tot meer dan 5 miljard euro schade of een 1.0 procent daling van het reëel inkomen, meer dan 1.000 doden, ernstig gewonden of chronisch zieken, of wanneer meer dan 100.000 personen emotionele problemen of ernstig maatschappelijke overlevingsproblemen ondervinden.

"Wij zijn destijds tot de conclusie gekomen dat er geen situaties zijn waarin uitval van ict-systemen of -structuren in de zorg deze gevolgen zullen hebben. In Nederland is er namelijk geen centrale vitale technische infrastructuur voor de gehele zorg die bij uitval dergelijke gevolgen heeft voor landsbrede zorg", stelt Bruins. De minister merkt op dat de zorg en de zorginfrastructuur in Nederland niet centraal georganiseerd zijn, maar decentraal en de instellingen zelf verantwoordelijk zijn voor de veiligheid van informatievoorziening en gegevensuitwisseling.

Mocht een deel van de zorg uitvallen, dan kan deze zorg volgens de minister in veel gevallen worden overgenomen door andere zorgaanbieders. "Daarom heeft het ministerie van Volksgezondheid geen processen in de zorg als vitaal geïdentificeerd en zijn er dus geen aanbieders van essentiële diensten aangewezen", aldus Bruins. Hij merkt daarbij op dat de informatievoorziening en gegevensuitwisseling in de zorg van groot belang is voor de patiëntveiligheid en er daarom wordt ingezet op andere maatregelen om de veiligheid van de technische infrastructuur in de zorg te verhogen, zoals het opstellen van specifieke normen en het oprichten van een Computer Emergency Response Team voor de Zorg.

 

 

 

 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF