Brief regering : Datalekken in de jeugdsector

Nr. 686 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 juni 2019

In het plenair debat van 17 april jl. over een datalek in het jeugdveld (Handelingen
II 2018/19, nr. 76, item 3), heb ik aangegeven uw Kamer voor de zomer nader te informeren over de ingezette
acties. In de Commissiebrief van 13 juni jl.1 ben ik hierop al kort ingegaan. Met deze brief informeer ik u – mede namens de Minister
voor Rechtsbescherming – uitgebreider over de stand van zaken. Dit ter voorbereiding
van het VAO Jeugdhulp op 25 juni 2019 (Handelingen II 2018/19, nr. 97, VAO Jeugdhulp).

Datalekken zijn altijd onwenselijk en bijzonder vervelend voor alle betrokkenen. Informatieveiligheid
van de hele zorg is daarom van groot belang. Incidenten zoals het datalek bij de Stichting
Kwaliteitsregister Jeugd (SKJ) en Samen Veilig Midden Nederland (SVMN) tonen aan hoe
belangrijk dit is. Informatieveiligheidsrisico’s zijn nooit helemaal te voorkomen,
maar we moeten zorgen dat in de zorg de bewustwording groeit, de bewaking en beveiliging
worden versterkt en voldoende capaciteit bestaat om te «blussen» als het nodig is.
Het is in eerste instantie aan organisaties zelf om te zorgen dat ze hun bedrijfsvoering
op orde hebben. Dat geldt ook voor informatieveiligheid. Gegevensverwerking bij jeugdhulpaanbieders,
VT-organisaties en gecertificeerde instellingen dient te voldoen aan de vereisten
van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.

Met deze brief zal ik uw Kamer eerst informeren over aandacht voor informatieveiligheid
in het jeugdveld, het thematisch onderzoek informatieveiligheid in de jeugdsector
dat de Inspectie Gezondheidszorg en Jeugd (hierna: inspectie) uitvoert en toelichten
hoe ik uitvoering geef aan de motie Hijink/Ramaekers2. Ten slotte zal ik kort ingaan op de datalekken bij de SKJ en SVMN.

Aandacht voor dataveiligheid in de jeugdhulp

Naar aanleiding van het datalek bij SVMN in april jl. heb ik Jeugdzorg Nederland –
mede namens de Minister voor Rechtsbescherming en de VNG – gevraagd dringend het belang
van goede informatiebeveiliging onder de aandacht te brengen van hun leden en hen
te adviseren om hun eigen informatiebeveiliging te evalueren, risico’s in kaart te
brengen en – op basis van geconstateerde risico’s – aanvullende maatregelen te nemen.
Jeugdzorg Nederland onderzoekt op dit moment welke extra maatregelen nodig zijn om
het informatiebeveiligingsniveau in de sector te verbeteren. Zij geven aan dat ze
zich bewust zijn van het grote belang van goede informatiebeveiliging en hebben de
brief met de oproep onder hun leden verspreid. Zij zullen mij in de zomer informeren
over welke extra maatregelen hun leden zullen nemen om het informatiebeveiligingsniveau
te verbeteren. Tevens laten zij mij weten welke rol Jeugdzorg Nederland als brancheorganisatie
op zich kan nemen om ervoor te zorgen dat de maatregelen voortvarend worden opgepakt.
Een zelfde oproep als aan Jeugdzorg Nederland heb ik gedaan aan de Branches Gespecialiseerde
Zorg voor Jeugd (BGZJ), waarvan Jeugdzorg Nederland deel uit maakt. Hierover zullen
zij mij in het najaar informeren.

Onderzoek informatieveiligheid in de jeugdsector

De inspectie gaat als toezichthouder na of er verantwoorde en veilige jeugdhulp wordt
geboden. Dat doet zij via toezicht naar aanleiding van signalen en meldingen van incidenten
en calamiteiten en via risicogestuurd toezicht.

Voor de inspectie is het niet op orde hebben van de ICT een risico als de kwaliteit
van de jeugdhulp daardoor in gevaar komt.

De inspectie voert dit jaar in het jeugddomein een onderzoek uit dat bestaat uit een
quick scan als verkenning in de breedte naar de stand van zaken ICT, waaronder informatiebeveiliging,
gevolgd door verdiepend toezicht bij enkele instellingen. Dat samen resulteert in
een eerste beeld over risico’s op het gebied van ICT voor de kwaliteit van de jeugdhulp.
Daarover zal de inspectie aan het eind van het jaar rapporteren en ik zal uw Kamer
daarover informeren. De resultaten van het onderzoek van de inspectie zijn input voor
een eventueel vervolgtraject; hoe dit traject eruit ziet, is afhankelijk van de resultaten
die uit het onderzoek komen.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland
die de bescherming van persoonsgegevens bevordert en bewaakt. Het onderzoek naar dataveiligheid
in de jeugdhulp staat niet als zelfstandig speerpunt genoemd in het toezichtskader
van de AP. Het toezien op de verplichting door (jeugd)zorgaanbieders om adequate beveiligingsmaatregelen
te treffen komt aan de orde in individuele kwesties naar aanleiding van klachten en
signalen van burgers en gemelde datalekken afhankelijk van de ernst en omvang van
de mogelijke overtreding.

Uitvoering motie Hijink/Ramaekers

Conform motie Hijink/Ramaekers (Kamerstuk 31 839, nr. 640) laat ik bij een aantal jeugdzorginstellingen penetratietesten uitvoeren om inzicht
te krijgen in de risico’s en kwetsbaarheden van (netwerk)systemen en infrastructuren
van instellingen om op basis van dit inzicht de informatiebeveiliging binnen de gehele
jeugdzorg naar een hoger niveau te helpen tillen. De bevindingen van deze penetratietesten
kunnen aanleiding zijn om te komen tot extra maatregelen, of een aanscherping van
al getroffen (beleidsmatige)maatregelen op het gebied van informatieveiligheid en
bescherming van persoonsgegevens bij de onderzochte jeugdzorginstellingen. De inspectie
zal de uitkomsten van deze penetratietesten meenemen in haar hierboven genoemd thematisch toezicht.

Update casus Stichting Kwaliteitsregister Jeugd

Op 13 juni jl. heb ik uw Kamer geïnformeerd over het datalek bij SKJ (Kamerstuk 31 839, nr. 674). SKJ is bezig met de ontwikkeling van een kennisbank waarop alle beslissingen na
een tuchtzaak geanonimiseerd vindbaar zullen zijn. De testwebsite die hiervoor wordt
gebouwd is per abuis online gezet en op de testwebsite stonden niet geanonimiseerde
beslissingen.

De testwebsite is offline gezet en de URL verwijderd, waardoor de testwebsite niet
meer beschikbaar is. SKJ heeft melding gemaakt van het datalek bij de Autoriteiten
Persoonsgegevens en is een onderzoek gestart naar het aantal niet geanonimiseerde
beslissingen en het aantal malen dat de website is bezocht. Uit de onderzoeksresultaten
concludeert SKJ dat 3 natuurlijke personen 6 niet geanonimiseerde beslissingen hebben
bekeken. De betrokkenen van deze 6 beslissingen zijn geïnformeerd. Tot slot worden
verbetervoorstellen opgepakt om een dergelijk fout in de toekomst te doen voorkomen.

Update casus Samen Veilig Midden Nederland

Op 15 april jl. heb ik uw Kamer geïnformeerd3 over informatieveilighied in de Jeugdsector naar aanleiding van het datalek bij SAVE
Midden Nederland. SVMN heeft een extern bureau gevraagd de omvang en inhoud van het
datalek te onderzoeken en heeft direct melding bij de Autoriteit Persoonsgegevens
gemaakt.

Naar aanleiding van het datalek bij SVMN op 9 april 2019 heeft SVMN op 15 april 2019
een cybersecurity ingeschakeld forensisch onderzoek te doen naar technisch aspecten
van het datalek om te achterhalen van welke cliënten er gegevens bij de klokkenluiders
terecht is gekomen. De bevindingen van het onderzoek hebben inmiddels bevestigd dat
het lek dicht is. Ook is de crisistool van Veilig Thuis Utrecht, die gezien wordt
als een belangrijke bron van de cliëntgegevens die in het datalek zijn aangetroffen,
is stilgelegd.

Aangezien genoemd bedrijf geen opsporingsbevoegdheden heeft, is op 25 april 2019 de
politie en het OM geïnformeerd over het onderzoek. Zij kunnen dan indien zij daartoe
besluiten, vervolgonderzoek doen waarbij opsporingsbevoegdheden nodig zijn, bijvoorbeeld
om te achterhalen wie de berichten ontvangen heeft.

Gemeente Utrecht laat namens de samenwerkende jeugdregio’s in de provincie Utrecht
een onderzoek uitvoeren naar de organisatorische en beleidsmatige aspecten van de
informatieveiligheid.

Aandacht voor informatiebeveiliging in de zorgsector, inclusief de jeugdsector, is
essentieel. De Minister voor Medische Zorg en Sport zal daarom na de zomer een aparte
brief over informatiebeveiliging in de gehele zorgsector aan uw Kamer sturen en daarin
ook in gaan op informatiebeveiliging in de jeugdsector.

De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge