Speciaal crisisteam moet cybercrime in zorg aanpakken

In navolging van de Rijksoverheid krijgt de zorgsector een branche-eigen Computer Emergency Response Team (CERT). Dit Z-CERT is een gezamenlijk initiatief de Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), GGZ Nederland en het Nationaal Cyber Security Centrum (NCSC).

Het Z-CERT moet er voor zorgen dat vitale systemen in geval van een aanval zo veel mogelijk blijven functioneren, teneinde de veiligheid en continuïteit van de zorg binnen getroffen ziekenhuizen te garanderen. Dit blijkt uit antwoorden van minister Schippers op Kamervragen over de recente ransomware-aanvallen op Amerikaanse ziekenhuizen. Het afgelopen voorjaar werden zeker vier ziekenhuizen door hackers met malafide software in gijzeling genomen. Een dergelijke situatie waarbij aanvallen hebben geresulteerd in grootschalige uitval of verstoring hebben zich in Nederland - voor zover bekend - (nog) niet voorgedaan. 

Indien zich een dergelijk incident voordoet dient daarvan mogelijk melding gedaan te worden bij de Autoriteit Persoonsgegevens (AP) indien er persoonsgegevens gecompromitteerd zijn. Of bij ransomware een datalek moet worden gemeld, hangt af van de ernst van het datalek. In het geval van ransomware moet de verantwoordelijke organisatie deze afweging niet beperken tot de gegevens op het gecompromitteerde apparaat. Hij moet het risico meewegen ten aanzien van alle soorten persoonsgegevens waarvan aangenomen kan worden dat die vanaf het randapparaat via een netwerkverbinding benaderd kunnen worden.

De IGZ heeft op 17 maart 2016 de brancheorganisaties Nederlandse Vereniging van Ziekenhuizen (NVZ), Nederlandse Federatie van Universitair Medische Centra (NFU), Zelfstandige Klinieken Nederland (ZKN), GGZ Nederland en Revalidatie Nederland (RN) en hun leden per brief gewezen op de meldplicht datalekken. Daarbij heeft de IGZ de koepels en hun leden ook opgeroepen een dergelijk incident vrijwillig te melden aan de IGZ. 

De eisen voor informatiebeveiliging voor ziekenhuizen zijn te vinden in de NEN 7510, NEN 7512 en NEN 7513 voor respectievelijk veilige omgang met informatie, gegevensuitwisseling en het vastleggen van acties op elektronische patiëntdossiers. IGZ gebruikt deze normen om te toetsen of ziekenhuizen qua informatiebeveiliging voldoende maatregelen hebben genomen om de continuïteit en kwaliteit van zorg te kunnen waarborgen. In een Algemene Maatregel van Bestuur (AMvB) behorend bij het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens, dat ter behandeling voorligt in de Eerste Kamer, worden op grond van artikel 26 Wet bescherming persoonsgegevens (Wbp) specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling en zorginformatiesystemen wettelijk verankerd door het voldoen aan de bovengenoemde NEN-normen verplicht te stellen.

In de komende periode zal daarnaast de Netwerk- en InformatieBeveilingsrichtlijn (NIB-richtlijn), waarover eind 2015 binnen de EU een politiek akkoord bereikt is, worden geïmplementeerd. Hierin is de zorg ook genoemd. Deze NIB-richtlijn bestaat onder andere uit een zorg- en meldplicht. Uw Kamer wordt door het ministerie van Veiligheid en Justitie reeds periodiek geïnformeerd over de voortgang van de NIB-richtlijn. Daarnaast publiceert ook NCSC richtlijnen met betrekking tot de inrichting en beveiliging van ICT-systemen. 

In aanvulling hierop bestaat een door het NCSC in samenwerking met de sector opgezet Information Sharing and Analysis Centre (ISAC) voor de zorg. Een ISAC is een publiek-private sectoraal samenwerkingsverband, waarbinnen op tactisch niveau deelnemers van verschillende ziekenhuizen onderling (incident) informatie en ervaringen uitwisselen over cybersecurity en kwetsbaarheden in de sector (‘situational awareness’). Door het delen van (incident) informatie en het opbouwen van een netwerk kunnen ziekenhuizen hun eigen informatiebeveiliging verbeteren. 


 

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF