Brief regering : Reactie op verzoek commissie er de uitkomsten van het gesprek met de Inspectie Gezondheidszorg en Jeugd (IGJ) over databeveiliging, alsmede over de checks die bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker

26 643
Informatie- en communicatietechnologie (ICT)

Nr. 333
BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 september 2025

Tijdens het commissiedebat Publieke Gezondheid op 10 september jl. heb ik uw Kamer
toegezegd om u per brief te informeren over de uitkomsten van mijn gesprek met de
Inspectie Gezondheidszorg en Jeugd (IGJ) over databeveiliging, alsmede over de checks
die bij de twee laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek
baarmoederhalskanker. De vaste commissie voor Volksgezondheid, Welzijn en Sport heeft
op 24 september jl. mij verzocht om deze brief voor het tweeminutendebat Publieke
Gezondheid te ontvangen dat gepland staat op 1 oktober a.s. Met deze brief kom ik,
mede namens de Staatssecretaris Jeugd, Preventie en Sport, tegemoet aan uw verzoek.

Het Ministerie van VWS stemt regelmatig af met de IGJ over dataveiligheid, waaronder
over trends, capaciteit en nieuwe ontwikkelingen. In mijn gesprek met de Inspecteur
Generaal dat 30 september 2025 plaats vond, is specifiek de dataveiligheid bij laboratoria
besproken. De IGJ doet momenteel onderzoek naar de hack die plaatsvond bij het laboratorium
Clinical Diagnostics. De IGJ doet haar onderzoek bij Clinical Diagnostics in nauwe
afstemming met de Autoriteit Persoonsgegevens die dit ook in onderzoek heeft. Uiteraard
wacht ik met grote interesse op de uitkomsten van dat onderzoek, ook om kennis te
nemen van de lessen van deze hack voor de hele zorg. Wanneer de resultaten van dit
onderzoek komen is nog niet bekend.

De IGJ werkt risico gestuurd. De afgelopen jaren is het toezicht op digitale veiligheid
geprioriteerd. De IGJ heeft tot de recente hack geen signalen ontvangen die zorg gaven
over de informatiebeveiliging in laboratoria. Er is niet eerder een zo ernstig incident
opgetreden.

De hack en het datalek bij Clinical Diagnostics zijn voor de IGJ een extra aanleiding
om laboratoria in het vizier te krijgen en mee te nemen in hun werkplan. De IGJ is
onafhankelijk, ik kan en wil niet in hun bevoegdheid treden.

Bevolkingsonderzoek Nederland (BVO NL) laat, zoals eerder aan uw Kamer gemeld, zelf
ook onafhankelijk onderzoek uitvoeren naar de oorzaak en omvang van de hack. De uitkomsten
van dit onderzoek zijn mogelijk ook relevant voor andere laboratoria. Ik vind het
belangrijk de uitkomsten af te wachten alvorens maatregelen te treffen.

Ondertussen zit ik niet stil. Het expertisecentrum cybersecurity in de zorg (Z-CERT)
heeft op mijn verzoek naar aanleiding van de hack alle laboratoria waarmee BVO NL
samenwerkt benaderd om bij hen alle systemen die benaderbaar zijn via het internet
continu technisch te monitoren. Deze monitoring is nu actief, ook bij de twee overgebleven
laboratoria in het bevolkingsonderzoek baarmoederhalskanker die de werkzaamheden van
het gehackte laboratorium hebben overgenomen.

De verwachting is dat voor 1 oktober a.s. alle laboratoria die met BVO NL samenwerken
opgenomen zijn in de monitoring. Z-CERT is hierbij afhankelijk van de bereidheid van
de laboratoria om gegevens aan te leveren.

BVO NL heeft zelf ook een quick scan uit laten voeren naar acute risico’s bij de twee
laboratoria die momenteel werkzaamheden uitvoeren voor het bevolkingsonderzoek baarmoederhalskanker.
Hieruit kwam naar voren dat deze laboratoria voldoende veilig zijn. In algemene zin
kan ik zeggen dat BVO NL eisen stelt aan de laboratoria op het gebied van databeveiliging.
Van BVO NL heb ik vernomen dat in de contracten onder andere is opgenomen dat de beveiliging
dient te voldoen aan de beveiligingseisen op grond van de Algemene Verordening Gegevensbescherming
(AVG) en dat er technische en organisatorische maatregelen dienen te worden genomen
tegen onrechtmatige verwerking van persoonsgegevens, zoals ontvreemding.

Tot slot wordt uw Kamer, zoals toegezegd tijdens het commissiedebat Digitale ontwikkelingen
in de zorg op 10 april 2025, komende weken geïnformeerd middels een bredere brief
over cybersecurity en digitale weerbaarheid in de zorg.

De Minister van Volksgezondheid, Welzijn en Sport,
J.A. Bruijn