Antwoord schriftelijke vragen : Antwoord op vragen van het lid Hijink over het bericht ‘Grote ICT-storing treft ziekenhuis, maar Luus (hier 10 uur oud) komt gewoon’

Antwoord van Minister Bruins (Medische Zorg) (ontvangen 13 februari 2019).

Vraag 1

Wat is uw reactie op het bericht dat de ziekenhuizen in Alkmaar en Den Helder met
een grote ICT-storing kampten waardoor een chaos in de ziekenhuizen ontstond, onder
andere omdat het medisch personeel geen toegang had tot agenda’s, patiëntendossiers
of hersenscans?1

Antwoord 1

Laat ik vooropstellen dat toegankelijke en veilige informatie nodig is voor goede
zorg. Ziekenhuizen zijn in eerste plaats zelf verantwoordelijk voor de ICT-voorzieningen
en de toegankelijkheid van gegevens. Ze moeten passende maatregelen nemen om weerbaar
te zijn tegen cyberaanvallen en om computerstoringen zoveel mogelijk te voorkomen.
Ze moeten ook kunnen optreden en adequaat handelen wanneer een incident of storing
zich voordoet.

Vraag 2, 3

Wat is uw reactie op de opmerking van de IT-expert in het desbetreffende artikel dat
het bijzonder is dat er in zo’n geval geen plan B beschikbaar is en dat men op de
EHBO bijvoorbeeld terug moet kunnen naar de gegevens van een dag eerder? Deelt u deze
opvatting?

Bent u van mening dat in alle ziekenhuizen in Nederland effectieve noodscenario’s
klaar moeten liggen voor het geval er (grote) ICT-storingen plaatsvinden?

Antwoord 2, 3

Zorgaanbieders zijn verantwoordelijk voor het leveren van goede en veilige zorg. Een
onderdeel daarvan is, dat zij risico’s in de zorg inventariseren en bijpassende maatregelen
treffen om de risico’s te beheersen. Een voorbeeld van een risicobeheersmaatregel
is een noodscenario om bij uitval van ICT-systemen tijdelijk een alternatieve voorziening
te gebruiken, mits dit leidt tot goede en veilige zorg.

Zorginstellingen moeten zich onder meer houden aan de Nederlandse normen voor informatieveiligheid
in de zorg (NEN-norm 7510).

De getroffen Noordwest ziekenhuisgroep heeft op mijn vraag laten weten dat ze over
een noodscenario als onderdeel van Integraal Crisisbeleid beschikken dat direct na
de ICT-storing ook in werking is getreden. Het doel van dit noodscenario is het vastleggen
van het handelen en het inzichtelijk maken van alternatieven, in geval van uitval
van systemen.

Tot slot is het onderwerp zorgcontinuïteit één van de aandachtspunten bij inspecties
van de Inspectie Gezondheidszorg en Jeugd (IGJ) op het gebied van

eHealth. Daarbij komt aan de orde welke voorzieningen en plannen aanwezig zijn om
op storingen te kunnen reageren. Bij dergelijke maatregelen is wel altijd een zorgvuldige
afweging nodig tussen risico’s, kosten en stand der techniek. Storingen kunnen daarom
nooit volledig worden uitgesloten. Belangrijk is dan dat de zorgverlening op een verantwoorde
wijze wordt voortgezet (met tijdelijke maatregelen op het gebied van bijvoorbeeld
dossierinzage) dan wel op een gecontroleerde manier tijdelijk wordt gestaakt met minimale
gevolgen voor patiënten.

Vraag 4, 5

Is bekend welke ziekenhuizen in Nederland momenteel nog geen noodscenario’s voor ICT-storingen
beschikbaar hebben? Zo nee, wordt dit onderdeel meegenomen door de Onderzoeksraad
voor de Veiligheid in haar onderzoek naar de digitale veiligheid van ziekenhuizen?
Zo nee, bent u bereid dit apart te inventariseren?

Kunt u garanderen dat er binnen afzienbare tijd bij alle ziekenhuizen in Nederland
noodscenario voor ICT-storingen klaarliggen? Zo ja, welke maatregelen gaat u nemen
om dit voor elkaar te krijgen? Zo nee, waarom niet?

Antwoord 4, 5

Het is mij niet bekend welke ziekenhuizen wel of geen noodscenario’s hebben voor ICT-storingen.
Zoals reeds gemeld bij het antwoord op vraag 2 en 3 zijn ziekenhuizen zelf verantwoordelijk
voor het leveren van goede en veilige zorg onder alle omstandigheden. De IGJ ziet
hier op toe.

Uit de informatie die ik ontving van de Onderzoeksraad voor Veiligheid (OVV) blijkt
dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral
wordt gekeken naar hoe ziekenhuizen storingen en misbruik van informatietechnologie
proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen
daarvan te beperken. Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht
in kwartaal drie van dit jaar, bezie ik of/welke acties nodig zijn om risico’s op
ICT-storingen in ziekenhuizen te mitigeren.