Antwoord schriftelijke vragen : Antwoord op vragen van het lid Raemakers over het bericht ‘Opnieuw datalek in Utrechtse Jeugdzorg’
Vragen van het lid Raemakers (D66) aan de Minister van Volksgezondheid, Welzijn en Sport over het bericht «Opnieuw datalek in Utrechtse Jeugdzorg» (ingezonden 12 juni 2019).
Antwoord van Minister De Jonge (Volksgezondheid, Welzijn en Sport) (ontvangen 14 juni
2019)
Vraag 1
Bent u bekend met het bericht «Opnieuw datalek in Utrechtse Jeugdzorg»?1
Antwoord 1
Ja.
Vraag 2 en 3
Kunt u aangeven wat voor dossiers en hoeveel hiervan per abuis online zijn gezet?
Hoeveel bezoekers van de website hebben inzage gehad in de dossiers en in welke dossiers?
Antwoord 2 en 3
Stichting Kwaliteitsregister Jeugd (SKJ) is het beroepsregister voor professionals
in de jeugdsector. Dit beroepsregister houdt zich bezig met (her)registratie, tuchtrecht
en scholing.
SKJ heeft een kennisbank in ontwikkeling waarop alle geanonimiseerde beslissingen
in SKJ tuchtzaken terug te lezen zijn en eenvoudig met zoekfuncties geselecteerd kunnen
worden. De testwebsite die hiervoor wordt gebouwd, is per abuis online gezet. Op de
testwebsite stonden niet geanonimiseerde beslissingen in SKJ tuchtzaken.
SKJ heeft onderzoek gedaan naar het aantal malen dat de testwebsite van de kennisbank
is bezocht toen hij online stond en naar het aantal niet geanonimiseerde beslissingen
dat op de testwebsite heeft gestaan. Op basis van dit onderzoek concludeert SKJ dat
naar alle waarschijnlijkheid enkele bezoekers niet geanonimiseerde beslissingen hebben
ingezien. In totaal waren volgens SKJ 34 niet geanonimiseerde beslissingen online
toegankelijk.
Vraag 4
Deelt u de mening dat er een zeer slecht signaal richting jeugdzorgprofessionals en
jeugdzorginstellingen uitgaat wanneer het Stichting Kwaliteitsregister Jeugdzorg (SKJ),
die toe moet zien op kwaliteit, toetsing en scholing van jeugdprofessionals, zelf
onvoldoende de cyberveiligheid waarborgt?
Antwoord 4
Van geanonimiseerde beslissingen in tuchtzaken kan de gehele beroepsgroep leren en
daardoor zichzelf verbeteren. Dat niet geanonimiseerde beslissingen online toegankelijk
waren is een onwenselijke situatie en een onwenselijk signaal richting jeugdprofessionals.
Ik vind het erg vervelend voor de gedupeerde betrokkenen. SKJ heeft met alle gedupeerde
betrokkenen telefonisch contact opgenomen.
Vraag 5
Welke acties heeft u sinds het debat over datalekken in de jeugdzorg genomen om meer
datalekken te voorkomen?
Antwoord 5
Tijdens het debat over datalekken in de jeugdzorg heb ik uw Kamer toezeggingen gedaan
om aandacht voor gegevensbescherming en dataveiligheid in het jeugdveld te vergroten.
Allereerst wil ik benadrukken dat zorgorganisaties zorgvuldig dienen om te gaan met
persoonlijke gegevens. Zij zijn zelf verantwoordelijk voor het treffen van maatregelen
om persoonsgegevens te beschermen. De organisaties moeten ook adequaat kunnen optreden
en handelen wanneer zich een incident of storing voordoet. Gegevensverwerking bij
jeugdhulpaanbieders en gecertificeerde instellingen dient te voldoen aan de vereisten
van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.
Ik heb Jeugdzorg Nederland gevraagd – mede namens het Ministerie van JenV en de VNG
– om dringend het belang van goede gegevensbescherming bij hun leden onder de aandacht
te brengen en hen te adviseren om hun eigen gegevensbescherming te evalueren, risico’s
in kaart te brengen – en op basis van geconstateerde risico’s – aanvullende maatregelen
te nemen.
Jeugdzorg Nederland onderzoekt op dit moment welke extra maatregelen nodig zijn om
het informatiebeveiligingsniveau in de sector te verbeteren. Zij zullen mij begin
juli informeren over welke extra maatregelen hun leden nodig achten om het informatiebeveiligingsniveau
te verbeteren en welke rol Jeugdzorg Nederland als brancheorganisatie op zich kan
nemen om ervoor te zorgen dat de maatregelen voortvarend worden opgepakt.
Ten tweede voert de Inspectie Gezondheidszorg en Jeugd (hierna IGJ) dit jaar bij aanbieders
in het jeugddomein een onderzoek uit dat bestaat uit een quick scan als verkenning
in de breedte naar de stand van zaken ICT, waaronder informatiebeveiliging, gevolgd
door verdiepend toezicht bij enkele instellingen. Dat samen resulteert in een eerste
beeld op risico’s op het gebied van ICT voor de kwaliteit van jeugdhulp. Daarover
zal de inspectie aan het eind van het jaar rapporteren. Ik zal uw Kamer over beide
onderzoeken informeren.
Daarnaast laat ik pen-testen bij een aantal jeugdzorginstellingen uitvoeren (conform
motie Hijink en Raemakers, 2019D16344) om inzicht te krijgen in de risico’s en kwetsbaarheden van de (netwerk)systemen
en infrastructuren van de jeugdzorginstellingen om hiermee de informatiebeveiliging
binnen de jeugdzorg naar hoger niveau te tillen. De bevindingen van de penetratietesten,
kunnen aanleiding zijn om te komen tot extra maatregelen, of een aanscherping van
al getroffen (beleidsmatige)maatregelen op het gebied van informatieveiligheid en
bescherming van persoonsgegevens bij de onderzochte jeugdzorginstellingen.
De Minister voor Medische Zorg en Sport zal in september een aparte brief over informatiebeveiliging
in de zorg aan uw Kamer sturen. Hierin zal hij onder andere de uitkomsten van de pen-testen
meenemen en onder andere ook ingaan op doorontwikkeling van Z-Cert, inclusief aansluiting
hierop van jeugdzorginstellingen.
Vraag 6
Deelt u de mening dat het niveau van cyberveiligheid in de gehele zorgsector, inclusief
de jeugdzorg, op een hoger niveau gebracht moet worden?
Antwoord 6
Ik vind dat informatieveiligheid een essentiële voorwaarde is voor onze ambitie op
verdergaande digitalisering in de gehele zorgsector en die moet daarmee op een hoger
niveau worden gebracht. Terecht neemt de aandacht voor informatieveiligheid in de
zorgsector steeds verder toe.
Vraag 7
Bent u alsnog bereid om in lijn met de motie-Raemakers een plan van aanpak op te stellen
om de cyberveiligheid in de gehele zorgsector op een hoger niveau te brengen?2
Antwoord 7
Mijn voorganger heeft in samenwerking met verschillende zorgkoepels in 2017 een Actieplan
Verhoging bewustzijn informatiebeveiliging patiëntengegevens opgesteld met een breed
palet van maatregelen. Hiermee wordt ingezet op de verhoging van bewustwording van
informatieveiligheid in de gehele zorgsector. De uitvoering van het Actieplan wordt
geleid door Brancheorganisaties Zorg (BoZ).
Het is belangrijk dat informatiebeveiliging continu onderwerp van gesprek is binnen
de zorgsector, inclusief de jeugdzorg. De Minister voor Medische Zorg en Sport gaat
hier daarom na het zomerreces in een aparte brief over informatieveiligheid in de
zorg uitgebreid op in.
Vraag 8
Bent u bereid deze vragen nog voor het algemeen overleg Jeugdhulp op 13 juni 2019
te beantwoorden?
Antwoord 8
Ja.
Ondertekenaars
-
Eerste ondertekenaar
H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.